Các vấn đề bảo mật bộ định tuyến
Kể từ khi bắt đầu đại dịch COVID-19, vấn đề bảo mật bộ định tuyến đã được chú ý nhiều hơn. Nhiều doanh nghiệp đã triển khai cách làm việc từ xa cho nhân viên, nếu như thời gian trước ít người làm việc tại nhà thì giờ đây số lượng này đã tăng lên đáng kể. Do đó, tin tặc xác định bộ định tuyến gia đình là cổng vào đến mạng doanh nghiệp và các doanh nghiệp, là các vectơ tấn công tiềm năng. Có thể thấy được những năm gần đây các lỗ hổng được tìm thấy trên các thiết bị mạng ngày càng gia tăng mạnh mẽ về số lượng, trong đó có bộ định tuyến.
Các lỗ hổng trên bộ định tuyến
Theo thống kê của tổ chức Mitre, số lượng lỗ hổng được phát hiện trong các bộ định tuyến khác nhau đã tăng lên trong thập kỷ qua. Riêng trong năm 2020 và 2021, đã có hơn 500 lỗ hổng bộ định tuyến được tìm thấy.
Hình 1. Số lượng lỗ hổng trên các bộ định tuyến theo Mitre công bố (từ năm 2010 đến năm 2022)
Trong khi đó, Nist đưa ra các số liệu khác nhau trong hơn một thập kỷ qua, nhưng điều này cũng cho thấy sự gia tăng đáng kể về số lượng lỗ hổng bộ định tuyến được tìm thấy vào năm 2020 và 2021.
Hình 2. Số lượng lỗ hổng trên các thiết bị bộ định tuyến theo Nist công bố (từ năm 2010 đến năm 2022)
Phân tích dữ liệu Nist về các lỗ hổng của bộ định tuyến, các chuyên gia bảo mật tại Kaspersky cho biết rằng trong năm 2021 khoảng 18% lỗ hổng tìm thấy ở mức độ nghiêm trọng và hơn một nửa trong số này là các lỗ hổng có mức ảnh hưởng cao (53,5%).
Hình 3. Các lỗ hổng bộ định tuyến theo mức độ ưu tiên trong năm 2021
Các lỗ hổng nghiêm trọng là các lỗ hổng tồn tại trên cổng gateway mà tin tặc có thể xâm nhập vào mạng gia đình hoặc mạng doanh nghiệp. Chúng khiến cho bộ định tuyến trở nên dễ bị tấn công hơn, như thực thi mã từ xa, bỏ qua xác thực, gửi lệnh từ xa đến bộ định tuyến hoặc thậm chí vô hiệu hóa thiết bị.
Hiện nay, không phải tất cả các nhà cung cấp đều kịp thời phát hành các bản vá cập nhật bảo mật được sớm nhất có thể, ngay cả đối với những lỗ hổng nghiêm trọng. Tại thời điểm này, theo thống kê của Kaspersky trong số 87 lỗ hổng nghiêm trọng được công bố vào năm 2021, hơn một phần tư trong số đó (29,9%) vẫn chưa được vá và chưa được các nhà cung cấp báo cáo.
Hình 4. Thống kê của Kaspersky về các bản vá và phản ứng của nhà cung cấp bộ định tuyến đối với lỗ hổng được tìm thấy trong các sản phẩm của họ vào năm 2021
Hình 4 cho thấy 26,44% trong số tất cả các lỗ hổng nghiêm trọng của bộ định tuyến được công bố vào năm 2021 đã nhận được những lời khuyến nghị từ phía nhà cung cấp. Những khuyến nghị này không phải lúc nào cũng đi kèm với một bản vá chính thức. Trong một số trường hợp, các nhà cung cấp chỉ khuyến nghị chủ sở hữu của các thiết bị dễ bị tấn công liên hệ với bộ phận hỗ trợ của các hãng để đưa ra phương án xử lý.
Theo một cuộc khảo sát của công ty công nghệ Broadband Genie có trụ sở tại Anh, 48% người dùng đã không thay đổi bất kỳ cài đặt nào của bộ định tuyến của họ, thậm chí cả bảng điều khiển và mật khẩu mạng WiFi, 73% trong số họ không tìm thấy lý do gì để tiến hành cài đặt và 20% không biết cách thực hiện.
Mã độc nhắm mục tiêu bộ định tuyến
Để tìm hiểu lý do tại sao tin tặc lại tấn công bộ định tuyến, trước tiên chúng ta có thể đi đến 10 dạng mã độc hại hàng đầu được phát hiện bởi các hệ thống Honeypot của Kaspersky IoT vào năm 2021.
Hình 5. Thống kê các các cuộc tấn bằng mã độc hàng đầu được phát hiện dựa vào hệ thống Honeypots của Kaspersky IoT vào năm 2021
Hình 5 cho thấy khoảng một nửa các cuộc tấn công mã độc thuộc về họ Mirai. Được phát hiện vào năm 2016, Mirai là phần mềm độc hại phổ biến nhất và lây nhiễm trên các thiết bị IoT. Botnet Mirai ban đầu được thiết kế dành cho các cuộc tấn công DDoS quy mô lớn trên máy chủ Minecraft, tiếp đó được sử dụng để tấn công các tài nguyên khác. Sau khi mã nguồn của nó được công bố, các tin tặc đã bắt đầu phân phối nó và tiến hành các cuộc tấn công DDoS với việc sử dụng các thiết bị đã bị lây nhiễm Mirai.
Mirai không phải là phần mềm độc hại DDoS duy nhất nhắm mục tiêu vào các bộ định tuyến. Vào tháng 9/2021, các tập đoàn công nghệ của Nga là Yandex, Sber và một số công ty khác đã bị tấn công DDoS, bằng cách sử dụng một mạng botnet mới của bộ định tuyến MikroTik. Các nhà nghiên cứu đặt tên cho mạng botnet này là Meris. Nó được cho là bao gồm 200.000 đến 250.000 thiết bị bị lây nhiễm độc hại mới.
Do đó, một trong những mục tiêu chính của việc tấn công các bộ định tuyến là tuyển chọn và đưa chúng vào các mạng botnet để thực hiện các cuộc tấn công DDoS quy mô lớn hơn. Nên nhớ rằng mục đích của tin tặc là tấn công vào bộ định tuyến để xâm nhập trái phép mạng của người dùng hoặc doanh nghiệp. Các cuộc tấn công như vậy có thể có quy mô nhỏ hơn so với việc tạo ra các botnet DDoS, vì lý do đó chúng không được liệt kê trong các mối đe dọa phổ biến nhất đối với bộ định tuyến.
Điển hình là báo cáo về các cuộc tấn công của nhóm tin tặc Sandworm APT vào các thiết bị mạng văn phòng nhỏ và văn phòng tại nhà. Tin tặc đã lây nhiễm mã độc Cyclops Blink cho các thiết bị WatchGuard và Asus. Đáng chú ý, mã độc này vẫn tồn tại trong Firmware ngay cả sau khi đã khôi phục cài đặt gốc và cho phép tin tặc truy cập từ xa vào các mạng bị xâm phạm.
Kết luận
Mối quan tâm ngày càng tăng về bảo mật bộ định tuyến trong những năm gần đây phần lớn bắt nguồn từ quan điểm rằng, việc bảo vệ bộ định tuyến là một nhiệm vụ nằm ngoài khả năng của người dùng thông thường. Đồng thời, bối cảnh làm việc từ xa cho phép tin tặc xâm nhập vào cơ sở hạ tầng của các doanh nghiệp bằng cách khai thác lỗ hổng bảo mật trong mạng gia đình của các nhân viên. Vì vậy, trước các mối đe dọa này, người dùng hay các tổ chức, doanh nghiệp nên thiết lập và cài đặt, cấu hình an toàn nhằm bảo vệ các thiết bị bộ định tuyến trước sự xâm nhập trái phép.
Để thực hiện điều này, các nhà nghiên cứu của Kaspersky đã đưa ra khuyến nghị với mọi người dùng như sau:
- Thiết lập mật khẩu mạnh: Một mật khẩu đủ mạnh có nghĩa là các mật khẩu khó đoán, có độ phức tạp và được thiết lập với nhiều ký tự, kết hợp với chữ in hoa, chữ thường, số và các ký tự đặc biệt.
- Tắt quyền truy cập từ xa: Để thực hiện, người dùng cần tìm cài đặt này trong giao diện và bỏ chọn tính năng Truy cập từ xa (Remote Access). Chỉ bật tính nắng này nếu cần truy cập từ xa và hãy tắt nó khi không sử dụng.
- Sử dụng giao thức bảo mật mạnh: Sự lựa chọn phù hợp là WPA2 (WiFi Protected Access II), vì các chuẩn cũ như WPA và WEP (Wired Equivalent Privacy) thường dễ bị tấn công bằng Brute Force.
- Đảm bảo cập nhật Firmware mới nhất: Trước khi mua bộ định tuyến, người dùng nên đảm bảo rằng nhà cung cấp thường xuyên cung cấp các bản cập nhật Firmware và cài đặt ngay lập tức trên thiết bị, điều này cải thiện khả năng kết nối và giúp thiết bị trở nên bảo mật hơn
- Sử dụng địa chỉ IP tĩnh và tắt DHCP: Để tăng cường bảo mật, người dùng nên sử dụng IP tĩnh và tắt dịch vụ DHCP, cũng như bảo vệ WiFi bằng tính năng lọc MAC. Hành động này sẽ mang lại hiệu quả cao trong việc bảo mật thiết bị, khi gây khó khăn hơn rất nhiều cho các tin tặc có mục đích xâm nhập vào mạng cục bộ.
Đinh Hồng Đạt
(Theo Kaspersky)