Router ในเยอรมัน 900,000 ตัวถูกโจมตี ผู้ใช้บริการ ISP เข้า Internet ไม่ได้ ปัจจุบันแก้ไขแล้ว

Router ของผู้ใช้บริการ Deutsche Telekom ผู้ให้บริการ ISP รายใหญ่ของเยอรมันกว่า 900,000 รายถูกโจมตีจนเชื่อมต่อ Internet ไม่ได้ เนื่องจาก Router มีช่องโหว่ใหญ่ด้วยกันถึง 2 ช่องโหว่

Credit: ShutterStock.com
Credit: ShutterStock.com

German Federal Office for Information Security (BSI) ได้ประกาศถึงการโจมตีครั้งใหญ่ในครั้งนี้ที่ถูกตรวจพบตั้งแต่วันอาทิตย์และดำเนินต่อเนื่องมาจนถึงวันจันทร์ที่ผ่านมา ว่าการโจมตีนี้ที่จริงแล้วนอกจากจะโจมตีผู้ใช้งานทั่วไปแล้ว ก็ยังมีเป้าหมายที่จะโจมตีระบบเครือข่ายของหน่วยงานรัฐบาลเยอรมันด้วย

เชื่อว่าการโจมตีครั้งนี้จะเกิดขึ้นจาก Mirai Worm รุ่นปรับปรุงที่ใช้ตรวจหาช่องโหว่บน Router โดยเฉพาะ โดยในกรณีนี้ Router ของทาง Deutsche Telekom สองรุ่นนั้นก็มีช่องโหว่ด้วยกันถึง 2 ช่องโหว่ จากการวินิจฉัยของ Darren Martyn นักวิจัยด้านความปลอดภัยจาก Insecurity Research

ช่องโหว่แรกนั้นอยู่บน TR-064 Interface สำหรับให้ ISP ใช้ในการบริหารจัดการผ่านโปรโตคอล TR-069 ซึ่ง Router เหล่านี้ไม่มีการป้องกันด้วยการยืนยันตัวตนแต่อย่างใด ทำให้ผู้โจมตีสามารถใช้ช่องโหว่นี้ในการเข้าควบคุม Router แต่ละตัวได้

ช่องโหว่ถัดมานั้นคือการที่คำสั่ง SetNTP Server บน Router เหล่านี้มีช่องโหว่ที่ทำให้สามารถสั่งเรียกใช้งาน Command อื่นๆ ได้

ทั้ง 2 ช่องโหว่นี้เมื่อรวมกันแล้วก็ทำให้การโจมตีครั้งนี้รุนแรงถึง 900,000 ผู้เสียหายที่ถูกโจมตีและเข้าควบคุม Router และช่องโหว่เหล่านี้ก็ยังปรากฎบน Router รุ่นอื่นๆ อีกมากมายทั้งจาก ZyXEL, D-Link, T-Com, T-Home, SpeedPort, MitraStar, Digicom และ Aztech

ปัจจุบันทาง Deutsche Telekom นั้นได้ออก Patch สำหรับ Router ของตนเป็นที่เรียบร้อยแล้ว อย่างไรก็ดีจากการค้นหาผ่าน Shodan นั้นก็ยังชี้ว่ามี Router ทั่วโลกอีกกว่า 5 ล้านตัวที่อาจประสบกับช่องโหว่เดียวกันนี้ได้

ที่มา: http://www.theregister.co.uk/2016/11/28/router_flaw_exploited_in_massive_attack/

About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Microsoft เผยไอเดียแก้ Security Updates บน Windows หลังเหตุการณ์ CrowdStrike

หลังจากเกิดเหตุการณ์ Blue Screen of Death จาก CrowdStrike หลังอัปเดต Security บนเครื่องมือ EDR บน Windows ล่าสุดดูเหมือน Microsoft …

Fortinet ยอมรับถูกขโมยข้อมูลออกไปจริง

Fortinet ได้ออกมายืนยันข่าวที่มีกลุ่มแฮ็กเกอร์สามารถเข้าไปขโมยข้อมูลบน Azure Sharepoint ของตนได้ โดยยืนยันว่ามีผลกระทบกับลูกค้าเพียงแค่ไม่เกิน 0.3% เท่านั้น และยังไม่มีการเผยถึงเนื้อหาข้อมูลที่ถูกขโมยไป