Từ sáng 23/3, nhiều bộ định tuyến (router) DrayTek không cấp IP WAN đã được ghi nhận trên các nhóm Facebook với nghi ngờ bị tấn công mạng do dùng firmware cũ.
Theo đó, nhiều người dùng sử dụng router DrayTek Vigor 2925/2926/2927 thuộc các nhà mạng FPT, Viettel và VNPT đã đăng tải thông tin trên các nhóm Facebook cho biết đang gặp hiện tượng mất kết nối WAN, không cấp IP, gây gián đoạn truy cập internet. Đồng thời, nhiều doanh nghiệp đang sử dụng các dòng router này cũng gặp tình trạng tương tự.
Sự cố này đã gây ảnh hưởng nghiêm trọng đến người dùng, khi bị gián đoạn trong công việc và thậm chí cả hoạt động kinh doanh.
Anh N.H, chủ một phòng máy cung cấp dịch vụ Internet tại Thủ Đức TPHCM, cho biết phòng máy sử dụng router 2925, từ sáng 23/3, hệ thống mạng liên tục bị chập chờn, dù đã khởi động lại thiết bị nhiều lần nhưng vẫn không khắc phục được sự cố.
Khi lên mạng tìm hiểu, anh mới biết nhiều người cũng gặp sự cố giống mình. Anh đã phải làm theo hướng dẫn của đội kỹ thuật, mọi thứ mới trở lại bình thường.
Anh T.N, một người dùng DrayTek Vigor 2925 đã hơn 5 năm tại TPHCM, cũng cho biết từ sáng 23/3, anh thấy camera IP trong nhà thông báo mất kết nối liên tục. Vào trang quản trị DrayTek thì phần Uptime báo khoảng 5 phút là bị ngắt trả về 0, dài nhất chỉ được khoảng 1 giờ đồng hồ.
Trước các phản ánh của người dùng cũng như doanh nghiệp, công ty An Phát, nhà phân phối chính thức của DrayTek tại Việt Nam cũng đã gửi đến các khách hàng thông báo về sự cố này.
Theo thông báo của nhà phân phối, đây là các lỗ hổng bảo mật cho phép tin tặc tiến hành thâm nhập từ xa để truy cập trái phép vào hệ thống mạng nội bộ; thực thi mã độc; chiếm quyền điều khiển thiết bị.
Trước đó vào ngày 7.3, trang cybersecuritynews đã cảnh báo một loạt lỗ hổng bảo mật nghiêm trọng trong bộ định tuyến DrayTek Vigor 2925/2926/2927 được triển khai rộng rãi trong môi trường văn phòng/văn phòng tại nhà nhỏ (SOHO) đã được phát hiện, khiến thiết bị có nguy cơ bị thực thi mã từ xa (RCE), tấn công từ chối dịch vụ (DoS) và đánh cắp thông tin đăng nhập.
Chi tiết các lỗ hổng gồm CVE-2024-51138 và CVE-2024-51139, là lỗ hổng tràn bộ đệm và tràn số nguyên trong các thành phần xử lý URL, cho phép kẻ tấn công không xác thực thực thi mã từ xa.
Kế đến là CVE-2024-41335 và CVE-2024-41336, hai lỗ hổng trong cơ chế xác thực, cho phép kẻ tấn công thực hiện đánh cắp mật khẩu hoặc truy cập trực tiếp mật khẩu lưu trữ dưới dạng văn bản không mã hóa. Cuối cùng CVE-2024-41339 là lỗ hổng trong cấu hình CGI, cho phép tải lên các module kernel độc hại để chiếm quyền quản trị (root) của các router DrayTek bị ảnh hưởng.
Để khắc phục các lỗ hổng này, phía nhà phân phối cho biết, DrayTek đã phát hành bản cập nhật firmware mới để vá các lỗ hổng. Người dùng cá nhân hay doanh nghiệp cần tiến hành kiểm tra firmware hiện tại và nhanh chóng nâng cấp lên phiên bản mới nhất được công bố tại trang chủ của hãng. Hoặc liên hệ bộ phận kỹ thuật để được hỗ trợ cập nhật.
Đồng thời, nhà phân phối cũng khuyến nghị các khách hàng không truy cập giao diện quản trị router từ Internet nếu không cần thiết; đổi mật khẩu quản trị mạnh và bật tính năng xác thực hai lớp (nếu có); theo dõi các cảnh báo từ hệ thống và nhà sản xuất.
Theo antoanthongtin.vn
