Sâu máy tính khai thác lỗ hổng router Linksys, Asus

https://isc.sans.edu/diary/Linksys+Worm+%22TheMoon%22+Summary%3A+What+we+know+so+far/17633 Thông tin ban đầu từ SANS ISC cho thấy lỗi bảo mật xuất phát từ trong một tập tin mã CGI thuộc giao diện quản trị của nhiều dòng sản phẩm router (bộ định tuyến) E-Series của Linksys. Để đảm bảo an toàn, nhóm nghiên cứu không công bố tên của tập tin CGI mang lỗi.Trước đó ngày 16-2, trên mạng Reddit, một tài khoản người dùng http://www.reddit.com/r/netsec/comments/1xy9k6/that_new_linksys_worm/ tuyên bố có đến bốn tập tin mã CGI mang lỗi. Kế đến, một hacker chuyên viết công cụ khai thác lỗi đã xác nhận hai trong số bốn tập tin trên có lỗi, và đồng thời công khai hướng khai thác.Trước thông tin trên, Linksys đã xác nhận một vài sản phẩm router (bộ định tuyến) và access point (bộ khuếch tán sóng không dây) Wireless-N, và một số model cũ của router Linksys E-Series bị ảnh hưởng bởi lỗi nhưng không cho biết cụ thể model nào.Theo giám đốc truyền thông Belkin (*) Karen Sohl đưa ra thông cáo qua email, "loại sâu (TheMoon) khai thác lỗi, qua mặt khâu chứng thực quyền quản trị thành công chỉ khi tính năng quản lý truy cập từ xa (Remote Management Access) được kích hoạt". Các sản phẩm này đều được Linksys mặc định tắt đi chức năng RMA khi bán ra thị trường.Karen Sohl khuyến cáo người tiêu dùng có thể khóa (disable) chức năng quản lý kết nối từ xa và khởi động lại router để gỡ bỏ mã độc. Bản firmware khắc phục lỗi sẽ được phát hành trong thời gian tới trên website.Linksys đăng tải http://kb.linksys.com/Linksys/ukp.aspx?pid=80&app=vw&vw=1&login=1&json=1&docid=56b6de2449fd497bb8d1354860f50b76_How_to_prevent_getting_The_Moon_malware.xml phần hướng dẫn kỹ thuật trên website của mình nhằm giúp khách hàng có thể cài đặt firmware mới nhất và khóa chức năng quản lý truy cập từ xa trên những thiết bị trong nhóm mang nguy cơ bảo mật.* Các router bị nhiễm TheMoon sẽ "thoát" khỏi mã độc này khi khởi động lại (restart / reset). Ngoài ra, các router đã cập nhật firmware phiên bản 2.0.06 cũng không bị ảnh hưởng bởi lỗi.Router Asus và lời nhắn của hacker trên ổ cứng nạn nhânNạn nhân nhận được một tập tin mang nội dung là lời nhắn cảnh báo của hacker để lại trong ổ cứng của mình, "Router Asus của bạn (và các tài liệu) có thể bị truy xuất bởi bất kỳ ai trên thế giới có kết nối Internet. Bạn cần bảo vệ chính mình, tham khảo tại...: (kèm liên kết dẫn đến thông tin về lỗi)". /uploads/news/2014_03/234.jpgẢnh chụp màn hình thông điệp hacker để lại trên máy tính nạn nhân sau khi hack qua lỗi bảo mật từ router Asus - Ảnh: nạn nhân mang tên Jerry cung cấp cho ArsTechnicaTrước đó, một nhóm hacker đăng tải lên mạng Pastebin danh sách 13.000 địa chỉ IP dùng router Asus "phơi mình" trước lỗi. Kế đến, nhóm này bồi thêm một danh sách 10.000 danh sách các tập tin lưu trữ trên những ổ đĩa cứng hay ổ đĩa USB cắm vào router Asus.Thực chất, một chuyên viên bảo mật mang tên http://api.viglink.com/api/click?format=go&jsonp=vglnk_jsonp_13927293017588&key=552a35ca1eb1421626a0f973ac2a90af&loc=http%3A%2F%2Fwww.techspot.com%2Fnews%2F55708-asus-routers-exploited-connected-drives-easily-accessed.html&v=1&libId=a8252b13-1e71-482f-b46e-c0f1dbd65cb3&out=http%3A%2F%2Fwww.securityfocus.com%2Farchive%2F1%2F526942&ref=https%3A%2F%2Fwww.google.com.vn%2F&title=Asus%20routers%20exploited%2C%20connected%20drives%20easily%20accessed%20-%20TechSpot&txt=Kyle%20Lovett Kyle Lovett đã http://seclists.org/bugtraq/2013/Jul/87 công bố chi tiết lỗi này vào giữa năm ngoái (tham khảo tại đây). Theo Lovette, các model router Asus bị ảnh hưởng bởi lỗi gồm: RT-AC66R, RT-AC66U, RT-N66R, RT-N66U, RT-AC56U, RT-N56R, RT-N56U, RT-N14U, RT-N16, và RT-N16R.Asus chỉ mới phát hành bản vá lỗi firmware 3.0.0.4.374.4422 cho ba model router gồm: RT-N66U (Ver.B1), RT-N66R và RT-N66W vào ngày 13-2. Một số model khác cũng có bản firmware mới. Asus khuyến cáo người dùng tải và cài đặt bản firmware mới nhất qua http://support.asus.com/download/options.aspx?SLanguage=en website của mình.Ngoài ra, giới bảo mật khuyến cáo người dùng nên thay đổi mật khẩu quản trị (admin) của router, tắt các chức năng quản trị truy cập từ xa, Cloud (dịch vụ đám mây), FTP.. khi không cần dùng đến.