พบบอตเน็ตใหม่โจมตีช่องโหว่บนอุปกรณ์ NVR และเราเตอร์ TP-Link

นักวิจัยจาก Akamai พบบอตเน็ตใหม่ที่พัฒนาจาก Mirai กำลังโจมตีช่องโหว่ Remote Code Execution บนอุปกรณ์บันทึกวิดีโอ DigiEver และเราเตอร์หลายรุ่น

credit : iamwire.com

นักวิจัยด้านความปลอดภัยจาก Akamai รายงานการพบบอตเน็ตตัวใหม่ที่พัฒนาต่อยอดจาก Mirai ซึ่งกำลังโจมตีช่องโหว่ Remote Code Execution บนอุปกรณ์บันทึกวิดีโอ DigiEver DS-2105 Pro NVR โดยช่องโหว่นี้ยังไม่ได้รับหมายเลข CVE และยังไม่มีการแก้ไข แคมเปญการโจมตีเริ่มต้นตั้งแต่เดือนตุลาคมที่ผ่านมา โดยมุ่งเป้าไปที่อุปกรณ์บันทึกวิดีโอหลายรุ่นและเราเตอร์ TP-Link ที่ใช้เฟิร์มแวร์รุ่นเก่า

บอตเน็ตนี้โจมตีผ่านช่องโหว่ที่อยู่ใน ‘/cgi-bin/cgi_main.cgi’ ซึ่งไม่มีการตรวจสอบข้อมูล Input อย่างเหมาะสม ทำให้ผู้โจมตีสามารถแทรกคำสั่งอย่าง ‘curl’ และ ‘chmod’ ผ่านพารามิเตอร์บางตัว เช่น ntp field ใน HTTP POST เมื่อโจมตีสำเร็จ อุปกรณ์จะดึงมัลแวร์จากเซิร์ฟเวอร์ภายนอกและถูกเพิ่มเข้าสู่เครือข่ายบอตเน็ต โดยใช้ cron jobs เพื่อให้มัลแวร์คงอยู่ในระบบ

นอกจากช่องโหว่บน DigiEver แล้ว บอตเน็ตนี้ยังโจมตีช่องโหว่ CVE-2023-1389 บนอุปกรณ์ TP-Link และ CVE-2018-17532 บนเราเตอร์ Teltonika RUT9XX อีกด้วย Akamai ระบุว่าบอตเน็ตตัวนี้มีความน่าสนใจตรงที่ใช้การเข้ารหัสแบบ XOR และ ChaCha20 รวมถึงรองรับสถาปัตยกรรมระบบที่หลากหลาย ทั้ง x86, ARM และ MIPS นักวิจัยได้เผยแพร่ IoC และ Yara Rules สำหรับตรวจจับและป้องกันภัยคุกคามนี้ไว้ในรายงานฉบับเต็ม

ที่มา: https://www.bleepingcomputer.com/news/security/new-botnet-exploits-vulnerabilities-in-nvrs-tp-link-routers/

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่ Cupertino, CA แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

SonicWall เตือนช่องโหว่ Zero-day ใน SMA 1000 ให้ผู้ใช้อัปเดตด่วน!

พบการโจมตีในโซลูชัน SonicWall SMA 1000 Appliance Management Console (AMC) และ Central Management Console (CMC) ที่เป็นโซลูชันสำหรับรวมศูนย์การบริหารจัดการ โดยช่องโหว่มีความร้ายแรงที่ …

Cisco อุดช่องโหว่ร้ายแรงให้โซลูชัน Meeting Management

Cisco ได้ประกาศอุดหลายช่องโหว่ในผลิตภัณฑ์ Meeting Management เป็นช่องโหว่ร้ายแรง รวมถึงช่องโหว่ใน Cisco BroadWorks และ ClamAV ที่พบโค้ดสาธิตแล้ว