Black Hat Asia 2023

Router ในเยอรมัน 900,000 ตัวถูกโจมตี ผู้ใช้บริการ ISP เข้า Internet ไม่ได้ ปัจจุบันแก้ไขแล้ว

Router ของผู้ใช้บริการ Deutsche Telekom ผู้ให้บริการ ISP รายใหญ่ของเยอรมันกว่า 900,000 รายถูกโจมตีจนเชื่อมต่อ Internet ไม่ได้ เนื่องจาก Router มีช่องโหว่ใหญ่ด้วยกันถึง 2 ช่องโหว่

Credit: ShutterStock.com
Credit: ShutterStock.com

German Federal Office for Information Security (BSI) ได้ประกาศถึงการโจมตีครั้งใหญ่ในครั้งนี้ที่ถูกตรวจพบตั้งแต่วันอาทิตย์และดำเนินต่อเนื่องมาจนถึงวันจันทร์ที่ผ่านมา ว่าการโจมตีนี้ที่จริงแล้วนอกจากจะโจมตีผู้ใช้งานทั่วไปแล้ว ก็ยังมีเป้าหมายที่จะโจมตีระบบเครือข่ายของหน่วยงานรัฐบาลเยอรมันด้วย

เชื่อว่าการโจมตีครั้งนี้จะเกิดขึ้นจาก Mirai Worm รุ่นปรับปรุงที่ใช้ตรวจหาช่องโหว่บน Router โดยเฉพาะ โดยในกรณีนี้ Router ของทาง Deutsche Telekom สองรุ่นนั้นก็มีช่องโหว่ด้วยกันถึง 2 ช่องโหว่ จากการวินิจฉัยของ Darren Martyn นักวิจัยด้านความปลอดภัยจาก Insecurity Research

ช่องโหว่แรกนั้นอยู่บน TR-064 Interface สำหรับให้ ISP ใช้ในการบริหารจัดการผ่านโปรโตคอล TR-069 ซึ่ง Router เหล่านี้ไม่มีการป้องกันด้วยการยืนยันตัวตนแต่อย่างใด ทำให้ผู้โจมตีสามารถใช้ช่องโหว่นี้ในการเข้าควบคุม Router แต่ละตัวได้

ช่องโหว่ถัดมานั้นคือการที่คำสั่ง SetNTP Server บน Router เหล่านี้มีช่องโหว่ที่ทำให้สามารถสั่งเรียกใช้งาน Command อื่นๆ ได้

ทั้ง 2 ช่องโหว่นี้เมื่อรวมกันแล้วก็ทำให้การโจมตีครั้งนี้รุนแรงถึง 900,000 ผู้เสียหายที่ถูกโจมตีและเข้าควบคุม Router และช่องโหว่เหล่านี้ก็ยังปรากฎบน Router รุ่นอื่นๆ อีกมากมายทั้งจาก ZyXEL, D-Link, T-Com, T-Home, SpeedPort, MitraStar, Digicom และ Aztech

ปัจจุบันทาง Deutsche Telekom นั้นได้ออก Patch สำหรับ Router ของตนเป็นที่เรียบร้อยแล้ว อย่างไรก็ดีจากการค้นหาผ่าน Shodan นั้นก็ยังชี้ว่ามี Router ทั่วโลกอีกกว่า 5 ล้านตัวที่อาจประสบกับช่องโหว่เดียวกันนี้ได้

ที่มา: http://www.theregister.co.uk/2016/11/28/router_flaw_exploited_in_massive_attack/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

พบ ‘HinataBot’ บอทเน็ตที่อาจสร้างการโจมตี DDoS ขนาด 3.3 Tbps ได้

พบมัลแวร์บอตเน็ตใหม่ HinataBot มุ่งเป้าโจมตี Realtek SDK, Huawei Router และ Hadoop YARN Server เพื่อรวมการโจมตีที่อาจสร้าง Distributed Denial of …

[Video] NCSA Webinar Series EP.8 – WAAP ช่วยยกระดับ Security Posture ขององค์กรได้อย่างไร

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยาย NCSA Webinar Series EP.8 เรื่อง “WAAP ช่วยยกระดับ Security Posture ขององค์กรได้อย่างไร” ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่านมา หรือต้องการรับชมการบรรยายซ้ำอีกครั้ง สามารถเข้าชมวิดีโอบันทึกย้อนหลังได้ที่บทความนี้ครับ