Chính phủ Hoa Kỳ cảnh báo nhiều bộ định tuyến TP-Link (thiết bị mạng, WIFI phổ biến thường được sử dụng trong gia đình) đã đến thời điểm hết vòng đời (EoL) từ lâu đang bị lạm dụng trong các cuộc tấn công thực tế. Cụ thể, cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã thêm lỗ hổng tiêm lệnh vào danh mục Lỗ hổng đã khai thác (KEV), báo hiệu tình trạng lạm dụng đang diễn ra.
Lỗ hổng tiêm lệnh cho phép kẻ tấn công thực thi các lệnh tùy ý ở cấp độ hệ thống trên máy chủ bằng cách khai thác dữ liệu đầu vào của người dùng chưa được bảo vệ đúng cách. Lỗ hổng này cho phép kẻ tấn công thực thi các lệnh hệ thống tùy ý, đe dọa bảo mật hàng triệu thiết bị trên toàn cầu.
Lỗ hổng có mã định danh CVE-2023-33538 (điểm CVSS: 8.8), thuộc dạng lỗ hổng chèn lệnh (command injection). Kẻ tấn công có thể lợi dụng lỗ hổng này để thực thi các lệnh hệ thống tùy ý bằng cách gửi yêu cầu HTTP GET đặc biệt chứa tham số ssid1 được thiết kế để khai thác.
Hình minh họa. Ảnh: Shutterstock
Trong trường hợp này, lỗi được theo dõi là CVE-2023-33538 và có điểm nghiêm trọng là 8,8/10 (cao). Lỗi này ảnh hưởng đến nhiều mẫu máy, bao gồm TP-Link TL-WR940N V2/V4, TL-WR841N V8/V10 và TL-WR740N V1/V2.
Tất cả các model này đều đã đạt đến EoL từ lâu - giữa năm 2010 và 2018. Điều đó có nghĩa là chúng không còn nhận được bản cập nhật nữa và TP-Link sẽ không giải quyết lỗ hổng chèn lệnh được đề cập ở trên.
Thông thường, khi một lỗi được thêm vào KEV, các cơ quan của Federal Civilian Executive Branch (FCEB) có ba tuần để áp dụng bản vá. Vì trong trường hợp này, không có bản vá, người dùng được khuyến khích thay thế phần cứng cũ bằng phiên bản mới hơn. Hạn chót để hoàn tất việc xóa là ngày 7/7/2025.
Hầu hết các nhà sản xuất thiết bị gốc (OEM) đều khuyên dùng phương pháp này cho tất cả các thiết bị đã hết vòng đời, cả phần cứng và phần mềm.
Mặc dù đã ra đời cách đây một thập kỷ, những thiết bị này vẫn khá phổ biến - vì người dùng vẫn có thể mua chúng trên Amazon.
“Người dùng nên ngừng sử dụng sản phẩm”, CISA cảnh báo trên trang web của mình. Cybernews lưu ý rằng các khai thác bằng chứng khái niệm "có sẵn rộng rãi" trực tuyến, nhấn mạnh rằng các loại lỗ hổng này nguy hiểm nhất trên các bộ định tuyến công khai có tính năng truy cập từ xa. Điều đó không có nghĩa là chúng không thể bị khai thác trong cùng một mạng cục bộ.
Hình minh họa. Ảnh: The Hacker News
Để đề phòng rủi ro khi sử dụng router TP-Link, người dùng nên thực hiện các biện pháp sau:
- Cập nhật firmware: Thường xuyên cập nhật firmware của thiết bị TP-Link lên phiên bản mới nhất có bản vá bảo mật.
- Thay thế thiết bị cũ: Nếu thiết bị đã hết vòng đời hoặc không còn được hỗ trợ cập nhật, hãy xem xét thay thế bằng thiết bị mới hơn.
- Giám sát mạng: Tăng cường giám sát hoạt động mạng để phát hiện sớm các hành vi bất thường hoặc dấu hiệu tấn công.
- Hạn chế kết nối trực tiếp: Tránh kết nối thiết bị trực tiếp với mạng Internet không an toàn hoặc mạng công cộng.
Việc chủ động cập nhật và theo dõi bảo mật thiết bị mạng là cần thiết để giảm thiểu rủi ro bị xâm nhập.
Theo TechRadar