Phát hiện lỗ hổng khiến modem của FPT bị tấn công

Các chuyên gia của SecurityDaily vừa phát hiện ra một số vấn đề nghiêm trọng đang tồn tại trong bộ modem router TP-LINK. Đây có thể chính là nguyên nhân dẫn đến việc rất nhiều khách hàng của FPT bị mất mạng do bị hacker thay đổi cấu hình của thiết bị.

Hàng loạt modem wifi của FPT Telecom bất ngờ không thể truy cập được.Hàng loạt modem wifi của FPT Telecom bất ngờ không thể truy cập được.

Sự cố này xảy ra khiến người dùng không thể truy cập được vào Internet hoặc truy cập với tốc độ rất chậm. Các kết quả kiểm tra cho thấy máy tính không hề bị nhiễm mã độc, hay các phần mềm gián điệp, botnet… 

Bằng cách phán đoán và sử dụng một số biện pháp kỹ thuật, các chuyên gia công nghệ đã phát hiện hệ thống TP-LINK này đang tồn tại một lỗ hổng rất nguy hiểm đã được công bố đầu năm 2014 bởi một lập trình viên có tên là Nasro. Lỗ hổng nằm trong ZynOS (ZyXEL firmware), hệ điều hành nhúng đang chạy trong các thiết bị modem này.

Lỗ hổng trong ZynOS đã ảnh hưởng tới 300.000 hệ thống router trên toàn thế giới bị tấn công và thay đổi cài đặt máy chủ phân giải tên miền (DNS). Trong đó khoảng 160.000 hệ thống router của Việt Nam bị tin tặc xâm nhập và kiểm soát. Lỗ hổng ZynOS nằm trong chức năng lưu file cấu hình của hệ thống modem router.

Khi người dùng đăng nhập vào hệ thống quản lý của modem sẽ có chức năng lưu lại tập tin cấu hình đã thiết lập (ROMFILE SAVE). Tuy nhiên, đường dẫn để download tập tin cấu hình này “http://<địa chỉ IP>/rom-0″ lại không được bảo vệ bằng mật khẩu hay các chứng chỉ hợp lệ. Kẻ tấn công chỉ cần truy cập trực tiếp vào đường dẫn và tải về tập tin cấu hình và tất nhiên mật khẩu cũng được lưu trữ trong tập tin cấu hình này.

Trước đó, vào cuối tuần trước, phản ảnh của số đông người dùng về việc sử dụng modem wifi do FPT Telecom cung cấp cho biết họ bất ngờ không thể truy cập được vào mạng wifi hoặc xảy ra một vài sự cố khác. Một số còn gặp tình trạng tên wifi và mật khẩu truy cập bị thay đổi hoặc không thể tìm thấy tên mạng wifi... Theo những thông tin ban đầu của FPT Telecom, rất có thể modem của nhóm người dùng trên đã bị tin tặc (hacker) tấn công.

Các chuyên gia của SecurityDaily còn cho rằng, rất có thể VCCorp cũng đã bị tấn công theo cách này. Đây là cách mà kẻ tấn công có thể cài đặt phần mềm độc hại lên máy tính người dùng thông qua các bản cập nhật giả mạo thông qua việc tạo một trang cập nhật có giao diện giống hệt với giao diện của Adobe và cấu hình cho hệ thống DNS trỏ tên miền vào máy chủ giả mạo này.

(Thanh Huyền)