Hàng triệu router dính lỗ hổng bảo mật RomPager

Các chuyên gia bảo mật tại Check Point Software Technologies vừa phát hiện một lỗ hổng nghiêm trọng liên quan đến tính năng máy chủ dịch vụ Web dạng nhúng (embedded web server) được sử dụng trong nhiều router của các nhà sản xuất khác nhau, cho phép kẻ tấn công điều khiển từ xa các thiết bị mạng thông qua Internet.

Theo đó, một router dính lỗ hổng bảo mật này có thể tạo ra nhiều tác động đến sự an toàn của mạng gia đình và doanh nghiệp bởi lỗ hổng bảo mật vừa được phát hiện về cơ bản cho phép kẻ tấn công kiểm soát được lưu lượng ra/vào của router và thậm chí tạo cho chính họ một chỗ đứng ngay bên trong mạng để từ đó làm bàn đạp tấn công các hệ thống khác.

Từ đó, hacker cũng có thể khai thác lỗ hổng SSL (Secure Sockets Layer) và chiếm quyền điều khiển DNS (Domain Name System).

Lỗ hổng nghiêm trọng của web server nhúng được sử dụng trong nhiều router

Lỗ hổng này đã được mệnh danh là Misfortune Cookie và có thể bị hacker khai thác bằng cách gửi một yêu cầu đặc biệt đến Web server RomPager.

“Kẻ tấn công có thể gửi các tập tin cookie HTTP thiết kế đặc biệt để khai thác lỗ hổng, thay đổi bộ nhớ và sửa đổi trạng thái các ứng dụng và hệ thống”, chuyên gia bảo mật tại Check Point cho biết, “Kết quả là với ngón lừa này, hacker đã nắm được quyền quản trị thiết bị”.

Lỗ hổng có thể bị kẻ tấn công từ xa khai thác ngay cả khi thiết bị không được cấu hình để lộ giao diện quản trị web của nó trên Internet, làm cho lỗ hổng trở nên nguy hiểm hơn nhiều, theo nhận định của các chuyên gia Check Point. 

Hacker có thể khai thác lỗ hổng này dễ dàng là bởi nhiều router, đặc biệt router do ISP cung cấp cho khách hàng, được cấu hình để đáp ứng yêu cầu kết nối trên cổng 7547 như một phần của giao thức quản lý từ xa TR-069 hoặc CWMP (Customer Premises Equipment WAN Management Protocol).

Cụ thể, ISP gửi một yêu cầu đến thiết bị của khách hàng trên cổng 7547 hoặc một cổng khác được cấu hình trước, khi họ muốn các thiết bị đó kết nối trở lại máy chủ Auto Configuration Servers (ACS) của họ. ISP sử dụng máy chủ ACS để cấu hình lại thiết bị của khách hàng nhằm theo dõi lỗi xảy ra hay dấu hiệu của mã độc, chạy chẩn đoán và nâng cấp firmware.

Yêu cầu TR-069 đầu tiên trên cổng 7547 được xử lý bởi web server nhúng của router mà trong nhiều trường hợp là RomPager, và có thể được sử dụng để khai thác lỗ hổng Misfortune Cookie cho dù giao diện quản lý được cấu hình để truy cập từ Internet hay không, chuyên gia bảo mật tại Check Point giải thích.

Cũng theo Check Point, Misfortune Cookie về bản chất không phải là một lỗ hổng liên quan đến TR-069/CWMP. Misfortune Cookie ảnh hưởng đến bất kỳ các dịch vụ nào sử dụng phiên bản cũ của mã phân tích HTTP của RomPager trên cổng 80, 8080, 443, 7547, và những cổng khác.

Nhiều người có thể chưa bao giờ nghe về RomPager, nhưng đây là một trong những phần mềm web server được sử dụng rộng rãi nhất trên thế giới. RomPager được triển khai trên địa chỉ IP cụ thể nhiều hơn so với Apache, cũng là một web server phổ biến. Số liệu thống kê cho biết RomPager đang có trong hơn 75 triệu thiết bị trên toàn thế giới.

Lỗ hổng Misfortune Cookie chỉ tồn tại trong RomPager phiên bản cũ hơn 4.34 và trên thực tế từng được phát hiện và vá lỗi vào năm 2005. Tuy nhiên, nhiều router - có cả những thiết bị mới phát hành trong năm nay - vẫn còn dùng các phiên bản RomPager cũ trong firmware, đặc biệt là phiên bản RomPager 4.07.

Check Point đã xác định được khoảng 200 loại router từ các nhà sản xuất khác nhau bao gồm D-Link, Edimax, Huawei, TP-Link, ZTE và ZyXEL, có khả năng chứa lỗ hổng. Dựa trên việc quét Internet, Check Point đã phát hiện gần 12 triệu thiết bị ở 189 quốc gia có thể bị tấn công trực tiếp từ Internet thông qua lỗ hổng trên RomPager.

Check Point cho biết đã liên hệ với một số nhà sản xuất router có sản phẩm bị ảnh hưởng cũng như Allegro – nhà cung cấp RomPager - để thông báo về vụ việc.

Một số nhà sản xuất phản ứng ngay lập tức, xác nhận có vấn đề và bắt đầu thực hiện vá lỗi firmware, nhưng một số khác không phản hồi.

Thực tế sẽ không có nhiều người sử dụng có thể tự bảo vệ router của mình, cài đặt bản vá lỗi firmware nhằm chống lại các cuộc tấn công mạng. Do vậy các ISP sử dụng TR-069/CWMP để quản lý các thiết bị của khách hàng có thể sử dụng chính giao thức này để cài đặt bản firmware vá lỗi nhanh hơn.