Keyz Cenly Blog

Hơn 12 triệu bộ định tuyến gia đình và doanh nghiệp gặp nguy hiểm

<div dir="ltr" style="text-align: left;" trbidi="on">
<div class="text-justify">
</div>
<div style="text-align: left;">
<a href="http://securitydaily.net/wp-content/uploads/2014/12/Vulnerability-Router-details.png.jpg" onclick="_gaq.push(['_trackEvent', 'outbound-article-int', 'http://securitydaily.net/wp-content/uploads/2014/12/Vulnerability-Router-details.png.jpg', '']);" rel="lightbox[gallery-ZZud]"><img alt="Vulnerability-Router-details.png" class="alignnone size-large wp-image-9741" src="http://securitydaily.net/wp-content/uploads/2014/12/Vulnerability-Router-details.png-700x432.jpg" /></a> Hơn 12 triệu thiết bị định tuyến tại nhà và doanh nghiệp trên thế giới chứa lỗ hổng nghiêm trọng do lỗi phần mềm, có thể bị hacker khai thác từ xa, theo dõi lưu lượng truy cập của người sử dụng và kiểm soát hành chính trên các thiết bị.</div>
Lỗ hổng thực sự nghiêm trọng nằm trong máy chủ web RomPager của công ty nổi tiếng AllegroSoft, máy chủ này thường được nhúng vào trong firmware của router, modem và các thiết bị gateway khác từ các nhà sản xuất hàng đầu. Cung cấp giao diện thân thiện với người dùng trên web cho cấu hình sản phẩm.

Các nhà nghiên cứu tại các công ty phần mềm bảo mật Check Point đã phát hiện ra rằng các phiên bản RomPager trước 4.34 – phần mềm hơn 10 năm nay – rất dễ bị lỗi nghiêm trọng, được gọi là Misfortune Cookie. Lỗ hổng này được gọi là Misfortune Cookie bởi nó cho phép kẻ tấn công kiểm soát các tài nguyên của một yêu cầu HTTP bằng cách thao tác các tập tin cookie.

Cách lỗ hổng khai thác

Lỗ hổng có mã CVE-2014-9222 trong cơ sở dữ liệu Common Vulnerabilities and Exposure có thể khai thác bằng cách gửi một yêu cầu crafted đơn đặc biệt đến máy chủ RomPager mà có thể làm gián đoạn bộ nhớ của thiết bị kết nối, giúp tin tặc kiểm soát máy chủ. Sử dụng cách này, kẻ tấn công có thể nhắm tới bất kỳ thiết bị nào khác trên mạng.

Một khi kẻ tấn công kiểm soát được các thiết bị, chúng có thể theo dõi quá trình duyệt web của nạn nhân, đọc lưu lượng thông qua các thiết bị, thay đổi thiết lập DNS, ăn cắp mật khẩu tài khoản và dữ liệu nhạy cảm của nạn nhân, giám sát hoặc kiểm soát Webcam, máy vi tính, hoặc các thiết bị kết nối mạng khác .

Có ít nhất 200 mẫu các thiết bị gateway khác nhau, hoặc router văn phòng cơ quan/văn phòng tại nhà (SOHO) từ các nhà sản xuất và thương hiệu khác nhau dễ bị lỗ hổng Misfortune Cookie, bao gồm các bộ D-Link, Edimax, Huawei, TP-Link, ZTE và ZyXEL.

Lỗi này không chỉ ảnh hưởng đến các bộ định tuyến, modem và các thiết bị cổng khác mà còn cho bất cứ thiết bị nào kết nối với máy tính cá nhân, điện thoại thông minh, máy tính bảng và máy in đến các thiết bị nhà thông minh như lò vi sóng, tủ lạnh, camera an ninh và nhiều hơn nữa. Điều này đơn giản có nghĩa là nếu một router dễ bị tổn thương thì tất cả các thiết bị kết nối trong mạng LAN đó đều gặp nguy cơ.

Cuộc tấn công tồi tệ

Bất kỳ kẻ tấn công nào cũng có thể khai thác Misfortune Cookie ở bất cứ nơi nào trên thế giới, ngay cả khi thiết bị gateway được cấu hình không lộ giao diện quản trị Web, làm cho lỗ hổng trở nên nguy hiểm hơn.

Bởi vì nhiều router và các thiết bị cổng được cấu hình để chấp nhận yêu cầu kết nối công khai trên cổng 7547 như một phần của một giao thức quản lý từ xa gọi là TR-069 hoặc CWMP (Customer Premises Equipment WAN Management Protocol), cho phép kẻ tấn công gửi một cookie độc hại từ xa đến cổng đó và đưa phần mềm độc hại vào trong máy chủ.

12 triệu thiết bị nguy hiểm trước cuộc tấn công

Lỗ hổng xuất hiện từ năm 2002 và AllegroSoft dường như đã xác định được lỗi trong phần mềm RomPager vào năm 2005, nhưng phần cứng từ các công ty lớn như Huawei, D-Link, ZTE và những công ty khác hiện đang bán các sản phẩm có chứa các phiên bản tồn tại lỗ hổng của RomPager. Như phát hiện của Check Point cho biết rằng 12 triệu thiết bị gateway ở trong các gia đình, văn phòng và tại các địa điểm khác chứa lỗ hổng vẫn còn tồn tại.

Một số nhà cung cấp có thể cập nhật bản vá firmware cho RomPager để khắc phục Misfortune Cookie mà không làm thay đổi số phiên bản hiển thị, hủy bỏ số liệu này như một chỉ số của lỗ hổng. Hiện Misfortune Cookie đang là mối nguy cho hàng triệu gia đình và doanh nghiệp nhỏ trên thế giới. Nếu không sớm có biện pháp khắc phục và bảo vệ, tin tặc sẽ có cơ hội lớn khai thác những thông tin dữ liệu quan trọng.

Hơn 12 triệu bộ định tuyến gia đình và doanh nghiệp gặp nguy hiểm

Hơn 12 triệu thiết bị định tuyến tại nhà và doanh nghiệp trên thế giới chứa lỗ hổng nghiêm trọng do lỗi phần mềm, có thể bị hacker khai...

Lỗ hổng trong trình xem PDF khiến người dùng WikiLeaks và các trang web gặp nguy hiểm

<div dir="ltr" style="text-align: left;" trbidi="on">
Một thành phần mã nguồn mở được sử dụng để hiển thị các tập tin PDF trên WikiLeaks.org và các trang web khác có chứa lỗ hổng có thể bị khai thác để khởi động cross-site scripting (XSS) và tấn công giả mạo nội dung nhắm vào khách truy cập trang. 
Thành phần dễ bị xâm nhập được gọi là FlexPaper và được phát triển bởi một công ty gọi là Devaldi, có trụ sở tại New Zealand. Công ty này đã khẳng định các vấn đề, trong đó lần đầu tiên được báo cáo vào hôm thứ năm trên diễn đàn ủng hộ WikiLeaks và phát hành FlexPaper 2.3.0 để xử lý chúng. 
Tuy nhiên, có vẻ như thành phần vẫn chưa được cập nhật trên WikiLeaks.org, do trang này vẫn sử dụng FlexPaper 2.1.2 trên một số trang vào thứ ba. Vụ việc xảy ra sau khi Wired báo cáo rằng trong năm 2012, FBI đã sử dụng một thành phần dựa trên Flash để theo dõi người dùng Tor và tìm địa chỉ IP (Internet Protocol) thực của họ trong hoạt động có chủ đích nhắm vào người dùng của các trang web khiêu dâm trẻ em được lưu trữ trên mạng Tor. 
Vì khách truy cập WikiLeaks gồm rất nhiều người dùng coi trọng việc bảo mật và ẩn danh của họ, do đó, bất kỳ lỗ hổng nào trong các trang web có thể được sử dụng để làm lộ vị trí thực sự của họ được xem như là một mối đe dọa nghiêm trọng. 
“Với thực tế là hầu hết các trình duyệt sử dụng các plugin cho phép đọc các file PDF, chúng tôi cực lực yêu cầu WikiLeaks liên kết trực tiếp với các tập tin PDF thay vì sử dụng phần mềm của bên thứ ba mà có thể đặt người dùng vào nguy hiểm”, một người dùng có tên Koyaanisqatsi, người đã báo cáo về các lỗ hổng trên diễn đàn WikiLeaks, lên tiếng. 
Đó là những gì WikiLeaks đã làm với hai tài liệu mật về đi du lịch thông qua các sân bay sử dụng ID giả được cho là đã bị rò rỉ từ Cơ quan Tình báo Trung ương Mỹ. Trang web công khai các tài liệu vào hôm chủ nhật và kết nối trực tiếp đến các tập tin PDF thay vì hiển thị chúng trong trình xem tích hợp. 
<div style="text-align: right;">
Pcworld</div>
</div>

Lỗ hổng trong trình xem PDF khiến người dùng WikiLeaks và các trang web gặp nguy hiểm

Một thành phần mã nguồn mở được sử dụng để hiển thị các tập tin PDF trên WikiLeaks.org và các trang web khác có chứa lỗ hổng có thể bị khai...

Thiết bị USBDriveby có thể cài đặt Backdoor trong vài giây

<a href="http://securitydaily.net/wp-content/uploads/2014/12/usb-logo-680x400.jpg" onclick="_gaq.push(['_trackEvent', 'outbound-article-int', 'http://securitydaily.net/wp-content/uploads/2014/12/usb-logo-680x400.jpg', '']);" rel="lightbox[gallery-fzcz]"><img alt="usb-logo-680x400" class="aligncenter size-full wp-image-9755" src="http://securitydaily.net/wp-content/uploads/2014/12/usb-logo-680x400.jpg"/></a>
Samy Kamkar có một tài năng đặc biệt biến những thứ tưởng chừng vô hại trở thành một công cụ tấn công vô cùng đáng sợ. Đầu tiên là một máy bay không người lái rẻ tiền từ nghiên cứu Skyjack và giờ là một USB trị giá 20$ có thể tải mã cài đặt một backdoor trên máy tính chỉ trong vài giây, quyền kiểm soát sẽ nằm trong tay tin tặc.
Kamkar đã làm việc với dự án mới này một vài lần, tìm kiếm một cách để cài đặt backdoor mà không cần sử dụng chuột và bàn phím. Giải pháp ông đưa ra là giả lập bàn phím và chuột và né tránh các biện pháp tường lửa, Kamkar đã tìm ra cách cài đặt backdoor chỉ trong vài giây và giấu nó trong máy tính của bạn. Ông tải code vào một Teensy USB rẻ tiền.
Kamkar cho biết vấn đề khó khăn nhất là tìm ra cách làm thế nào di chuyển giữa các cửa sổ khác nhau trên màn hình mà không cần dùng chuột. “Ứng dụng này rất thú vụ khi bạn tạo ra một cuộc tấn công rất đơn giản.” Kamkar phát biểu trong cuộc phỏng vấn. USBdriveby mà Kamkar tạo ra có cái gì đó tương tự với BadUSB của Karsten Nohl và Jacob Lell mới tiết lộ trong hội nghị bảo mật Black Hat 2014.
Trong cả hai trường hợp, cuộc tấn công lợi dụng sự thật là các máy tính đều có kết nối USB. USBdriveby có thể khởi chạy chỉ trong vài giây và người dùng phổ thông khó có thể phát hiện ra nó. Trong video demo, Kamkar thực hiện cuộc tấn công trên OS X và ông nói rằng code có thể dễ dàng sửa đổi để chạy trên Windows hoặc Linux. USBdriveby sẽ chèn backdoor vào máy tính và ghi đè cài đặt DNS để tin tặc có thể giả mạo các địa chỉ khác nhau như Facebook hay ngân hàng trực tuyến nhằm thu thập mật khẩu người dùng.
<iframe style="display: block; margin: 0px auto;" id="_ytid_49159" width="900" height="534" src="//www.youtube.com/embed/aSLEq7-hlmo?enablejsapi=1&autoplay=0&cc_load_policy=0&iv_load_policy=1&loop=0&modestbranding=0&rel=1&showinfo=1&playsinline=0&autohide=2&theme=dark&color=red&wmode=opaque&vq=&controls=2&" frameborder="0" type="text/html" class="__youtube_prefs__" allowfullscreen webkitallowfullscreen mozallowfullscreen></iframe>

Thiết bị USBDriveby có thể cài đặt Backdoor trong vài giây

Samy Kamkar có một tài năng đặc biệt biến những thứ tưởng chừng vô hại trở thành một công cụ tấn công vô cùng đáng sợ. Đầu tiên là một máy...

Biến thể Zeus nhắm mục tiêu hơn 150 ngân hàng trên thế giới

Một chủng mới của Trojan ngân hàng Zeus đã được phát hiện, với một tập tin cấu hình nhắm đến hơn 150 ngân hàng và 20 hệ thống thanh toán chủ yếu ở các quốc gia ở châu Âu.
Phần mềm độc hại, được đặt tên là Chthonic, dựa trên một phương pháp mới để tải các module của nó và đang phổ biến ở Anh và Tây Ban Nha. Lây nhiễm cũng đã được phát hiện ở các nước châu Âu khác, mặc dù với số lượng thấp hơn, trên các máy tính ở Ý, Đức, Pháp, Bulgaria và Ireland.
Theo dữ liệu từ Kaspersky, trong danh sách các nước bị ảnh hưởng nhất, Mỹ đứng ở vị trí thứ ba, tiếp theo là Nga và Nhật Bản.
Nó được phát tán tới các nạn nhân thông qua bot Andromeda, cũng như thông qua một khai thác cho một lỗ hổng (CVE-2014-1761) trong Microsoft Office, thường phát tán qua email.
Hầu hết các module phần mềm độc hại tương thích với các hệ thống 64-bit
Các nhà nghiên cứu cho biết Trojan ngân hàng mới kết hợp với chương trình mã hóa từ các chủng khác của Zeus, cũng như một máy ảo được tìm thấy trong phần mềm độc hại ZeusVM và KINS. Hơn nữa, đã quan sát được trình mã hóa tương tự trong mối đe dọa Andromeda chịu trách nhiệm về việc tạo ra các botnet cùng tên.
Có vẻ như Chthonic có phương pháp mới để tải các module độc hại, các nhà nghiên cứu cho biết. Điều này đạt được thông qua một module chính tiến hành tải về tất cả các thành phần khác của phần mềm độc hại, sau đó nó bắt đầu tải chúng. Thuật toán AES được sử dụng để mã hóa.
Trong phân tích phần mềm độc hại, các chuyên gia bảo mật từ Kaspersky nhận thấy rằng hầu hết các thành phần phần mềm độc hại tương thích với cả hai nền tảng 32-bit và 64-bit.
Khả năng của Chthonic bao gồm thu thập thông tin hệ thống, đánh cắp mật khẩu từ hệ thống thông qua phần mềm độc hại Pony, ghi lại hoạt động máy tính (keylogger), lây nhiễm web, lấy ủy quyền, và truy cập từ xa vào máy tính bị xâm nhập qua phần mềm máy tính để bàn từ xa VNC.
Không phải tất cả những nỗ lực tấn công đều thành công
Dựa trên kỹ thuật man-in-the-middle, Trojan chặn thông tin liên lạc từ máy con đến ngân hàng mục tiêu và sửa đổi các trang web được tải trong trình duyệt để thu được thông tin ngân hàng nhạy cảm (chi tiết đăng nhập, PIN, mật khẩu) từ các nạn nhân.
Một báo cáo từ Kaspersky giải thích, “Điều đáng chú ý là, mặc dù số lượng lớn các mục tiêu trong danh sách, nhiều đoạn mã được Trojan sử dụng để thực hiện lây nhiễm web có thể không còn được sử dụng, vì các ngân hàng đã thay đổi cấu trúc các trang của họ và trong một số trường hợp , cả tên miền cũng vậy”.
Chthonic là kết quả của mã Zeus bị rò rỉ trên các diễn đàn ngầm. Điều này cho phép các tội phạm khác nhau dùng cùng phiên bản phần mềm độc hại.
Softpedia

Biến thể Zeus nhắm mục tiêu hơn 150 ngân hàng trên thế giới

Một chủng mới của Trojan ngân hàng Zeus đã được phát hiện, với một tập tin cấu hình nhắm đến hơn 150 ngân hàng và 20 hệ thống thanh toán ch...

Malware Ursnif đánh cắp dữ liệu lây lan tại Mỹ và Anh

Các nhà nghiên cứu tại Trend Micro đã quan sát một loạt sự lây nhiễm của malware Ursnif. Các quốc giả bị ảnh hưởng nhiều nhất là Mỹ và Anh.

Ursnif là một mã độc được sử dụng bởi tội phạm mạng nhằm đánh cắp mật khẩu và những thông tin nhạy cảm khác thông qua việc lây lan trên các thiết bị. Tuy nhiên, biến thể mới của Ursnif là PE_URSNIF.A-O đang gia tăng đột biến có khả năng lây nhiễm giữa các tệp tin với nhau. Mĩ chiếm 39.5% và Anh chiếm 35.51% số lượng các lây nhiễm. Malware này cũng được phát hiện tại Canada (19%) và Thổ Nhĩ Kỳ (1.92%). Giáo dục, tài chính và sản xuất là những ngành bị ảnh hưởng nhiều nhất thông qua việc phát tán thư rác và phần mềm chứa Trojan.

Biến thể của Ursnif phân tích bởi Tren Micro lây nhiễm các tệp tin .PDF, .MSI, . EXE trên USB và ổ đĩa mạng. Không giống như các mã độc khác chèn mã độc vào tệp tin host, PE_URSNIF.A-O tích hợp tệp tin này vào tài nguyên của nó. Khi những tệp tin bị nhiễm độc được nạn nhân sử dụng, mã độc sẽ nhả tệp tin gốc ra và mở một cách bình thường nhằm tránh việc bị nghi ngờ.

Một kĩ thuật chống bị phsat hiện được Ursnif sử dụng là tạm thời ngừng hoạt động trong 30 phút trước khi bắt đầu lây nhiễm. Điều này giúp nó tránh được sự theo dõi các tệp tin đáng ngờ (thường chỉ lên đến 5 phút). Các quản trị viên được khuyến cáo bảo vệ mạng trước loại malware này bằng cách chú ý đến cách thức thiết đặt chia sẻ mạng. Đảm bảo rằng các máy tính không có quyền truy cập đầy đủ trong mạng và thiết đặt chế độc truy cập chỉ đọc (read-only).

Các sản phẩm của Trend Micro phát hiện được PE_URSNIF.A1 trong tệp tin . MSI và PE_URSNIF.A2. trong tệp tin .PDF và .EXE.

<div style="text-align: right;">
Securityweek</div>
</div>

Malware Ursnif đánh cắp dữ liệu lây lan tại Mỹ và Anh

Các nhà nghiên cứu tại Trend Micro đã quan sát một loạt sự lây nhiễm của malware Ursnif. Các quốc giả bị ảnh hưởng nhiều nhất là Mỹ và ...