พบบอตเน็ตใหม่โจมตีช่องโหว่บนอุปกรณ์ NVR และเราเตอร์ TP-Link

นักวิจัยจาก Akamai พบบอตเน็ตใหม่ที่พัฒนาจาก Mirai กำลังโจมตีช่องโหว่ Remote Code Execution บนอุปกรณ์บันทึกวิดีโอ DigiEver และเราเตอร์หลายรุ่น

นักวิจัยด้านความปลอดภัยจาก Akamai รายงานการพบบอตเน็ตตัวใหม่ที่พัฒนาต่อยอดจาก Mirai ซึ่งกำลังโจมตีช่องโหว่ Remote Code Execution บนอุปกรณ์บันทึกวิดีโอ DigiEver DS-2105 Pro NVR โดยช่องโหว่นี้ยังไม่ได้รับหมายเลข CVE และยังไม่มีการแก้ไข แคมเปญการโจมตีเริ่มต้นตั้งแต่เดือนตุลาคมที่ผ่านมา โดยมุ่งเป้าไปที่อุปกรณ์บันทึกวิดีโอหลายรุ่นและเราเตอร์ TP-Link ที่ใช้เฟิร์มแวร์รุ่นเก่า

บอตเน็ตนี้โจมตีผ่านช่องโหว่ที่อยู่ใน ‘/cgi-bin/cgi_main.cgi’ ซึ่งไม่มีการตรวจสอบข้อมูล Input อย่างเหมาะสม ทำให้ผู้โจมตีสามารถแทรกคำสั่งอย่าง ‘curl’ และ ‘chmod’ ผ่านพารามิเตอร์บางตัว เช่น ntp field ใน HTTP POST เมื่อโจมตีสำเร็จ อุปกรณ์จะดึงมัลแวร์จากเซิร์ฟเวอร์ภายนอกและถูกเพิ่มเข้าสู่เครือข่ายบอตเน็ต โดยใช้ cron jobs เพื่อให้มัลแวร์คงอยู่ในระบบ

นอกจากช่องโหว่บน DigiEver แล้ว บอตเน็ตนี้ยังโจมตีช่องโหว่ CVE-2023-1389 บนอุปกรณ์ TP-Link และ CVE-2018-17532 บนเราเตอร์ Teltonika RUT9XX อีกด้วย Akamai ระบุว่าบอตเน็ตตัวนี้มีความน่าสนใจตรงที่ใช้การเข้ารหัสแบบ XOR และ ChaCha20 รวมถึงรองรับสถาปัตยกรรมระบบที่หลากหลาย ทั้ง x86, ARM และ MIPS นักวิจัยได้เผยแพร่ IoC และ Yara Rules สำหรับตรวจจับและป้องกันภัยคุกคามนี้ไว้ในรายงานฉบับเต็ม

ที่มา: https://www.bleepingcomputer.com/news/security/new-botnet-exploits-vulnerabilities-in-nvrs-tp-link-routers/