TechTalkThai ศูนย์รวมข่าว Enterprise IT ออนไลน์แห่งแรกในประเทศไทย
Router ของผู้ใช้บริการ Deutsche Telekom ผู้ให้บริการ ISP รายใหญ่ของเยอรมันกว่า 900,000 รายถูกโจมตีจนเชื่อมต่อ Internet ไม่ได้ เนื่องจาก Router มีช่องโหว่ใหญ่ด้วยกันถึง 2 ช่องโหว่
German Federal Office for Information Security (BSI) ได้ประกาศถึงการโจมตีครั้งใหญ่ในครั้งนี้ที่ถูกตรวจพบตั้งแต่วันอาทิตย์และดำเนินต่อเนื่องมาจนถึงวันจันทร์ที่ผ่านมา ว่าการโจมตีนี้ที่จริงแล้วนอกจากจะโจมตีผู้ใช้งานทั่วไปแล้ว ก็ยังมีเป้าหมายที่จะโจมตีระบบเครือข่ายของหน่วยงานรัฐบาลเยอรมันด้วย
เชื่อว่าการโจมตีครั้งนี้จะเกิดขึ้นจาก Mirai Worm รุ่นปรับปรุงที่ใช้ตรวจหาช่องโหว่บน Router โดยเฉพาะ โดยในกรณีนี้ Router ของทาง Deutsche Telekom สองรุ่นนั้นก็มีช่องโหว่ด้วยกันถึง 2 ช่องโหว่ จากการวินิจฉัยของ Darren Martyn นักวิจัยด้านความปลอดภัยจาก Insecurity Research
ช่องโหว่แรกนั้นอยู่บน TR-064 Interface สำหรับให้ ISP ใช้ในการบริหารจัดการผ่านโปรโตคอล TR-069 ซึ่ง Router เหล่านี้ไม่มีการป้องกันด้วยการยืนยันตัวตนแต่อย่างใด ทำให้ผู้โจมตีสามารถใช้ช่องโหว่นี้ในการเข้าควบคุม Router แต่ละตัวได้
ช่องโหว่ถัดมานั้นคือการที่คำสั่ง SetNTP Server บน Router เหล่านี้มีช่องโหว่ที่ทำให้สามารถสั่งเรียกใช้งาน Command อื่นๆ ได้
ทั้ง 2 ช่องโหว่นี้เมื่อรวมกันแล้วก็ทำให้การโจมตีครั้งนี้รุนแรงถึง 900,000 ผู้เสียหายที่ถูกโจมตีและเข้าควบคุม Router และช่องโหว่เหล่านี้ก็ยังปรากฎบน Router รุ่นอื่นๆ อีกมากมายทั้งจาก ZyXEL, D-Link, T-Com, T-Home, SpeedPort, MitraStar, Digicom และ Aztech
ปัจจุบันทาง Deutsche Telekom นั้นได้ออก Patch สำหรับ Router ของตนเป็นที่เรียบร้อยแล้ว อย่างไรก็ดีจากการค้นหาผ่าน Shodan นั้นก็ยังชี้ว่ามี Router ทั่วโลกอีกกว่า 5 ล้านตัวที่อาจประสบกับช่องโหว่เดียวกันนี้ได้
ที่มา: http://www.theregister.co.uk/2016/11/28/router_flaw_exploited_in_massive_attack/
