Làng an ninh mạng đang đối mặt với một chiến dịch tấn công nguy hiểm khi các nhóm tin tặc khai thác lỗ hổng bảo mật trong thiết bị TBK DVR và router Wi-Fi TP-Link hết vòng đời để triển khai biến thể botnet Mirai. Theo nghiên cứu mới từ Fortinet FortiGuard Labs và Palo Alto Networks Unit 42, cuộc tấn công này nhắm mục tiêu khai thác CVE-2024-3721, một lỗ hổng cho phép thực thi lệnh từ xa với mức độ nghiêm trọng trung bình. Đây không chỉ là một cuộc tấn công đơn lẻ mà là một chiến dịch có tổ chức nhằm xây dựng mạng botnet quy mô lớn phục vụ các cuộc tấn công DDoS.

Chi tiết sự việc

Biến thể Mirai mang tên Nexcorium đã được phát hiện đang tích cực khai thác lỗ hổng CVE-2024-3721 với điểm CVSS là 6.3/10. Lỗ hổng này cho phép tin tặc thực hiện command injection (chèn lệnh) vào các thiết bị TBK DVR mà không cần xác thực. Các chuyên gia bảo mật cho biết tin tặc có thể gửi các yêu cầu HTTP đặc biệt chứa mã độc đến thiết bị, từ đó chiếm quyền kiểm soát hoàn toàn hệ thống. Điều đáng lo ngại là nhiều thiết bị TBK DVR đang được sử dụng rộng rãi tại các cơ sở kinh doanh, tòa nhà văn phòng và khu dân cư mà không được cập nhật bảo mật thường xuyên.

Đồng thời, các nhà nghiên cứu cũng phát hiện tin tặc đang nhắm mục tiêu vào các router TP-Link đã hết vòng đời hỗ trợ. Những thiết bị này không còn nhận được bản vá bảo mật, khiến chúng trở thành mục tiêu dễ dàng cho các cuộc tấn công. Sau khi xâm nhập thành công, mã độc Mirai sẽ tự động tải xuống và cài đặt các thành phần botnet, biến thiết bị bị nhiễm thành một phần của mạng zombie phục vụ cho các cuộc tấn công DDoS.

Mức độ nghiêm trọng

Tác động của chiến dịch tấn công này có thể lan rộng và gây thiệt hại nghiêm trọng cho cả cá nhân và doanh nghiệp. Khi thiết bị DVR hoặc router bị nhiễm mã độc Mirai, chúng sẽ trở thành công cụ tấn công trong tay tin tặc, có thể được sử dụng để thực hiện các cuộc tấn công DDoS quy mô lớn nhắm vào các trang web, dịch vụ trực tuyến hoặc cơ sở hạ tầng quan trọng. Ngoài ra, tin tặc còn có thể sử dụng quyền truy cập không được phép để đánh cắp dữ liệu video từ camera an ninh hoặc thông tin mạng nhạy cảm.

Đặc biệt đáng lo ngại là xu hướng gia tăng các cuộc tấn công nhắm vào thiết bị IoT và các thiết bị mạng hết vòng đời. Theo thống kê từ các nhà cung cấp giải pháp bảo mật, số lượng thiết bị bị nhiễm botnet Mirai đang tăng mạnh trong những tháng gần đây. Điều này không chỉ ảnh hưởng đến hiệu suất mạng của người dùng mà còn góp phần tạo ra một mạng lưới tấn công khổng lồ có thể được sử dụng để làm tê liệt các dịch vụ internet quan trọng.

Phân tích kỹ thuật

Từ góc độ kỹ thuật, lỗ hổng CVE-2024-3721 thuộc loại command injection, cho phép kзлоumышленники thực thi các lệnh hệ thống tùy ý trên thiết bị mục tiêu. Tin tặc thường gửi các payload được mã hóa thông qua các tham số HTTP, lợi dụng việc thiết bị không kiểm tra và lọc đầu vào một cách chặt chẽ. Khi lệnh độc hại được thực thi với quyền root, tin tặc có thể cài đặt mã độc, thay đổi cấu hình hệ thống và thiết lập kết nối ngược về server điều khiển C&C. Biến thể Nexcorium còn được trang bị khả năng tự bảo vệ, có thể phát hiện và loại bỏ các mã độc cạnh tranh khác trên cùng thiết bị.

Quá trình lây nhiễm thường diễn ra tự động thông qua các script scanning, quét tìm thiết bị dễ bị tấn công trên internet. Sau khi xác định được mục tiêu, mã độc sẽ tự động tải xuống binary phù hợp với kiến trúc CPU của thiết bị (ARM, MIPS, x86) và thiết lập persistence để đảm bảo hoạt động liên tục ngay cả khi thiết bị khởi động lại. Đây là một trong những lý do khiến việc phát hiện và loại bỏ mã độc Mirai trở nên khó khăn đối với người dùng thông thường.

Khuyến nghị bảo mật

Để bảo vệ khỏi cuộc tấn công này, người dùng cần thực hiện ngay các biện pháp bảo mật cơ bản. Trước tiên, hãy kiểm tra và cập nhật firmware mới nhất cho tất cả thiết bị TBK DVR và router TP-Link, đồng thời thay đổi mật khẩu mặc định thành mật khẩu mạnh và duy nhất. Đối với các thiết bị đã hết vòng đời hỗ trợ, khuyến nghị thay thế bằng các sản phẩm mới có hỗ trợ bảo mật tốt hơn. Ngoài ra, nên tắt các dịch vụ không cần thiết, cấu hình firewall để hạn chế truy cập từ bên ngoài và thường xuyên giám sát lưu lượng mạng bất thường. Quan trọng nhất là nâng cao ý thức bảo mật và theo dõi các thông báo cảnh báo từ nhà cung cấp để ứng phó kịp thời với các mối đe dọa mới.