นักวิจัยด้านความปลอดภัยจาก Fortinet และ Check Point Research ค้นพบแคมเปญโจมตีขนาดใหญ่ที่ใช้ช่องโหว่ใน TP-Link Router รุ่นยอดนิยมหลายรุ่น เพื่อสร้าง Botnet ขนาดใหญ่ที่มีพฤติกรรมคล้ายคลึงกับมัลแวร์ Mirai ชื่อดัง

Router รุ่นไหนที่ได้รับผลกระทบ

รุ่นที่ถูกยืนยันว่ามีช่องโหว่ได้แก่: TP-Link Archer AX73, AX90, C6, C80 และ MR Series หลายรุ่น ที่ใช้ Firmware เวอร์ชันก่อน 1.3.2 โดยช่องโหว่เป็นประเภท Command Injection ในหน้า Web Admin Interface ที่ไม่ต้อง Authenticate ก็เข้าถึงได้ในบางกรณี

Botnet นี้ทำอะไรได้บ้าง

เมื่อ Router ถูกควบคุมแล้ว มัลแวร์จะสั่ง Router ให้: ทำการโจมตี DDoS (Distributed Denial of Service) ต่อเป้าหมายที่ถูกสั่ง, สแกนหา Router หรือ IoT Device อื่นๆ ที่มีช่องโหว่เพื่อขยายเครือข่าย Botnet, และในบางกรณีทำ DNS Hijacking เพื่อเปลี่ยนเส้นทาง Traffic ของผู้ใช้

TP-Link ตอบสนองแล้วหรือยัง

TP-Link ออกแถลงการณ์ยืนยันว่ารับทราบปัญหาและได้ปล่อย Firmware Update สำหรับรุ่นที่ได้รับผลกระทบแล้ว แนะนำให้ผู้ใช้ทุกคน: เข้าหน้า tplinkwifi.net หรือแอป Tether เพื่ออัปเดต Firmware, เปลี่ยน Admin Password เริ่มต้น, และปิด Remote Management หากไม่จำเป็น

บทเรียนจาก Mirai และ IoT Security

นับตั้งแต่ Botnet Mirai สร้างความเสียหายครั้งใหญ่ในปี 2016 อุตสาหกรรม IoT ยังคงต่อสู้กับปัญหา Default Password และ Unpatched Firmware การโจมตีครั้งนี้เตือนให้เราตระหนักว่า Router ที่บ้านหรือออฟฟิศก็เป็นเป้าหมายของแฮกเกอร์เช่นกัน

ที่มา: The Hacker News / SecurityWeek