Nghiên cứu của các chuyên gia an ninh mạng về thiết bị router Trung Quốc
Cùng hợp tác trong một cuộc kiểm tra chất lượng router, các chuyên gia an ninh mạng Mantas Sasnauskas, James Clee và Roni Carta (của cybernews) đã phát hiện backdoor trong một bộ định tuyến Jetstream do Trung Quốc sản xuất, được bán độc quyền tại Walmart dưới dạng bộ định tuyến wifi giá rẻ mới. Backdoor này cho phép kẻ tấn công có khả năng điều khiển từ xa không chỉ các bộ định tuyến mà còn bất kỳ thiết bị nào được kết nối với mạng đó.
Bên cạnh bộ định tuyến Jetstream độc quyền của Walmart, nhóm nghiên cứu này cũng phát hiện bộ định tuyến Wavlink giá rẻ, thường được bán trên Amazon hoặc eBay, cũng tồn tại các backdoor tương tự. Các bộ định tuyến Wavlink cũng chứa một tập lệnh liệt kê các wifi lân cận và có khả năng kết nối với các mạng đó.
Bên cạnh đó các chuyên gia đã phát hiện bằng chứng cho thấy các backdoor này có liên quan tới mạng lưới botnet Mirai. Mirai là phần mềm độc hại lây nhiễm vào các thiết bị được kết nối với mạng, biến chúng thành các bot được điều khiển từ xa như một phần của mạng botnet và sử dụng trong các cuộc tấn công quy mô lớn. Nổi tiếng nhất trong số này là cuộc tấn công mạng Dyn DNS năm 2016, đã đánh sập các trang web lớn như Reddit, Netflix, CNN, GitHub, Twitter, Airbnb,...
Backdoor ẩn trên hàng triệu thiết bị
Một trong những thông tin thú vị nhất của nghiên cứu này là việc phát hiện ra các backdoor đáng ngờ đã được kích hoạt trên tất cả các thiết bị. Backdoor là phương tiện để người được ủy quyền hoặc không được ủy quyền truy cập vào một hệ thống đóng (trong trường hợp này là bộ định tuyến) bằng cách bỏ qua các biện pháp bảo mật tiêu chuẩn và kiểm soát với quyền hạn cao nhất là root. Trong thực tế, các backdoor bí mật này là lý do để Mỹ, Đức và các chính phủ khác trên thế giới cấm sử dụng thiết bị Huawei. Bởi các công ty Trung Quốc có thể bí mật truy cập thông tin nhạy cảm qua các thiết bị mà họ bán ra.
Mặc dù, các thiết bị router mà người dùng nhận từ các nhà mạng thường có sẵn một backdoor để nhận hỗ trợ kỹ thuật từ ISP. Nhưng vấn đề ở đây Wavlink và Jetstream không phải là ISP.
Các bộ định tuyến Jetstream và Wavlink hiển thị GUI đơn giản (hoặc giao diện thân thiện với người dùng) cho các backdoor của họ, khác với giao diện được trình bày cho quản trị viên bộ định tuyến. Mặc dù, Wavlink có hướng dẫn trên trang web của mình về cách người dùng có thể truy cập vào thiết bị router của họ, nhưng backdoor mà các chuyên gia phát hiện dường như hướng đến việc thực thi mã từ xa.
Mối nguy hiểm từ các router giá rẻ
Trong các tình huống thông thường, bất cứ khi nào kẻ tấn công muốn chiếm quyền kiểm soát bộ định tuyến, chúng cần có quyền truy cập vật lý vào thiết bị. Nhưng các thiết bị Wavlink và Jetstream lại cho phép truy cập từ xa vào router mà không cần xác thực.
Đây không phải là một sai lầm của nhà sản xuất
Chuyên gia Carta đã khẳng định rằng đây không phải là một nhầm lẫn của nhà sản xuất, mà là một hành động có chủ đích để thiết lập các cổng hậu trên thiết bị. Một công ty sản xuất thiết bị router sẽ không cần truy cập vào thiết bị để hỗ trợ như các ISP.
Thiết bị router Wavlinks thậm chí còn cho phép liệt kê các mạng Wifi ở xung quanh nó và cho phép kết nối với các mạng wifi này. Điều này đặt ra rất nhiều câu hỏi rằng tại sao một công ty cần tạo ra tính năng này? Điều này dẫn tới việc kẻ tấn công có thể xâm nhập không chỉ thiết bị router này mà còn cả các mạng lân cận. Đây không phải là một điều bình thường của các nhà sản xuất thiết bị.
Nếu người dùng đang sở hữu bất kỳ bộ định tuyến Jetstream, Wavlink hoặc các thiết bị cùng nhà sản xuất, thì sẽ không thể can thiệp, thay đổi vấn đề này. Bởi các backdoor được cài đặt mặc định. Điều duy nhất có thể giảm thiểu rủi ro tấn công là hạn chế truy cập đến thiết bị.
Mặc dù đã được báo cáo về các lỗ hổng từ 12, nhưng các nhà sản xuất đều không thực hiện bất kỳ động thái nào để gỡ bỏ các backdoor. Do vậy, người dùng được khuyến cáo ngưng sử dụng các thiết bị này và chuyển sang thiết bị mới. Ngoài ra, người dùng cũng nên tính đến việc đổi mật khẩu của tất cả các tài khoản quan trọng.