Botnet แบบใหม่เจาะระบบ 2 ชั้นและบายพาส Firewall

Ankit Anubhav นักวิจัยจาก NewSky Security ผู้ให้บริการด้านความมั่นคงปลอดภัยไซเบอร์ได้ค้นพบ Botnet ตัวใหม่ที่มีการใช้ผสานการใช้ 2 ช่องโหว่ร่วมกันเพื่อเจาะระบบโดยให้ชื่อว่า ‘DoubleDoor’ โดยหนึ่งในช่องโหว่นี้ใช้เข้าถึง Firewall Juniper และอีกช่องโหว่เพื่อเข้าถึง เร้าเตอร์ ZyXEL 

รายละเอียดของช่องโหว่

• ช่องโหว่ที่ถูกนำมาใช้คือ CVE-2015-7755 เป็นช่องโหว่ที่อยู่บนซอฟต์แวร์ ScreenOS ของ Juniper Firewall ที่แฮ็กเกอร์สามารถฝังรหัสผ่าน ‘<<< %s(un=’%s’) = %u’ โดยมีชื่อ Username เป็นอะไรก็ได้ในการเข้าถึงอุปกรณ์ผ่าน Telnet และ SSH
• CVE-2016-10401 ช่องโหว่ในเร้าเตอร์ ZyXEL รุ่น PK5001Z โดยแฮ็กเกอร์สามารถใช้ admin:CenturyL1nk (หรืออื่นๆ) และได้รับสิทธิ์เป็น Super-user ด้วยการใช้รหัสผ่าน ‘zyad5001’ เพื่อเข้าควบคุมอุปกรณ์

Anubhav กล่าวว่านี่เป็นครั้งแรกที่ Botnet มีการใช้ช่องโหว่เพื่อเจาะระบบ 2 ชั้น ขั้นแรกเจาะผ่าน Juniper Netscreen Firewall และค้นหาเครือข่ายภายในที่มีเร้าเตอร์ ZyXEL ต่อไป

DoubleDoor ยังไม่รุนแรงมากนัก ณ ตอนนี้

Botnet ตัวนี้มีไอพีเริ่มต้นมาจากเกาหลีใต้ แม้ว่ามันอาจจะยังไม่มีอันตรายมากนักในตอนนี้เพราะเหมือนว่ามันจะอยู่ในขั้นตอนทดสอบและพัฒนาเท่านั้น นอกจากนี้การโจมตียังมีจำนวนไม่มากเพราะกลุ่มเป้าหมายก็ค่อนข้างเฉพาะเจาะจงเนื่องจากพบได้ในกลุ่มบริษัทเป็นส่วนใหญ่ อย่างไรก็ตาม DoubleDoor ยังคงไม่ได้ทำอะไรพิเศษหลังจากเข้าถึงอุปกรณ์ ZyXEL ได้แล้ว “มันอาจจะกำลังทดสอบหรือคอยเก็บเกี่ยวอุปกรณ์เพื่อเป็นส่วนหนึ่งของการทำอะไรบางอย่างที่ยิ่งใหญ่ก็ได้นะ“–Anubhav กล่าว ที่น่ากังวลคือเทคนิคการเจาะระบบหลายชั้นต่างหากที่น่ากลัวว่ามันอาจจะถูกใช้ในการคุกคามของมัลแวร์อื่นต่อไปในอนาคต

ที่มา : https://www.bleepingcomputer.com/news/security/doubledoor-botnet-chains-exploits-to-bypass-firewalls/