คลังเก็บป้ายกำกับ: เราท์เตอร์

แฮ็กเกอร์ใช้ช่องโหว่บนเราท์เตอร์ Mikrotik เข้าไปฝังมัลแวร์ไว้บนเครื่องเหยื่อได้

นักวิจัยด้านความปลอดภัยจาก Tenable Research ได้เผยแพร่รายละเอียดวิธีการโจมตีหรือ Proof-of-Concept แบบรันโค้ดจากระยะไกลแบบใหม่ในงาน DerbyCon 8.0 ที่รัฐเคนตักกี้เมื่อวันอาทิตย์ที่แล้ว หลังพบการใช้ประโยชน์ของแฮ็กเกอร์ในวงกว้างจากช่องโหว่บนเราท์เตอร์ Mikrotik ที่เคยถูกค้นพบไม่นานมานี้

ช่องโหว่ดังกล่าวที่ถูกระบุเป็นรหัส CVE-2018-14847 นี้ เป็นบั๊กเกี่ยวกับไดเรกทอรี่ที่ทางผู้ผลิตออกแพทช์มาแก้ไขแทบจะในวันเดียวกันกับที่ค้นพบในเดือนเมษายนที่ผ่านมา แต่จนถึงปัจจุบันก็ยังถือเป็นหนึ่งในช่องโหว่ที่บรรดาอาชญากรไซเบอร์นำมาใช้หาประโยชน์มากที่สุด และมีความร้ายแรงมากที่สุดอยู่ดี

ตอนแรกนั้น นักวิจัยประเมินความรุนแรงอยู่ระดับปานกลาง เนื่องจากกระทบกับแค่ตัวจัดการ Winbox และหน้า GUI ของแอพสำหรับวินโดวส์บนซอฟต์แวร์ RouterOS ของอุปกรณ์ MikroTik ซึ่งซอฟต์แวร์ตัวนี้ถูกนำมาใช้บนอุปกรณ์แบรนด์ระดับองค์กรอย่าง RouterBOARD และอุปกรณ์สำหรับ ISP หรือผู้ให้บริการเครือข่าย

แต่ล่าสุด ช่องโหว่นี้ถูกเลื่อนความรุนแรงขึ้นมาสู่ระดับวิกฤติ จากเทคนิคการแฮ็กแบบใหม่ที่เปิดให้แฮ็กเกอร์รันโค้ดได้จากระยะไกลบนอุปกรณ์ของเหยื่อ เพื่อให้ได้สิทธิ์เข้าถึงเชลล์ระดับรูท และสามารถฝังพวกภัยคุกคามและมัลแวร์ได้ จึงถือว่าเราท์เตอร์ MikroTik มีข่าวฉาวมากที่สุด โดยเฉพาะถ้านับรวมช่องโหว่ก่อนหน้าอย่างการเปิดให้เข้ามาแอบขุดเหมืองคริปโต รวมทั้งดักฟังข้อมูลบนเครือข่ายด้วย

ที่มา : Hackread

 

from:https://www.enterpriseitpro.net/mikrotik-router-vulnerability-hackers-bypass-firewall-malware/

Advertisements

เราท์เตอร์ MikroTik หลายพันเครื่องถูกแฮ็กเพื่อดักทราฟิก

จากข่าวในเดือนที่ผ่านมา ที่มีรายงานเกี่ยวกับการระบาดของมัลแวร์ขุดเหมืองคริปโตในวงกว้างซึ่งมีการเจาระบบของเราท์เตอร์ยี่ห้อ MikroTik มากกว่าสองแสนเครื่องโดยใช้ช่องโหว่ที่เคยมีการเปิดเผยต่อสาธารณะครั้งใหญ่ในกรณี CIA Vault 7 มาแล้ว

และล่าสุด ทีมนักวิจัยด้านความปลอดภัยชาวจีนจาก Qihoo360 Netlab ค้นพบว่าในบรรดาเราท์เตอร์ MikroTik ที่น่าจะมีช่องโหว่มากกว่า 370,000 เครื่องทั่วโลกนี้ มีมากกว่า 7,500 เครื่องที่ถูกแฮ็กให้เปิดพร็อกซี่แบบ Socks4 โดยไม่ได้รับอนุญาต ทำให้ผู้โจมตีสามารถดักฟังข้อมูลที่วิ่งผ่านเราท์เตอร์ได้มาตั้งแต่ช่วงกลางเดือนกรกฎาคมที่ผ่านมา

ช่องโหว่ที่น่าจะเป็นตัวการนี้น่าจะเป็นรายการ Winbox Any Directory File Read (CVE-2018-14847) ที่สามารถแฮ็กได้ด้วยทูลจากชุด CIA Vault 7 ที่ชื่อ Chimay Red ร่วมกับการใช้ช่องโหว่ Webfigที่เปิดให้รันโค้ดได้จากระยะไกล ซึ่งทั้ง Winboxและ Webfigนี้เป็นคอมโพเนนต์สำหรับจัดการบนโอเอสของเราท์เตอร์ที่ควบคุมพอร์ตหลักในการสื่อสารออกอินเทอร์เน็ตอย่าง TCP/8291, TCP/80,และ TCP/8080

นอกจากนี้ตัว Winbox ยังเปิดให้ผู้ใช้วินโดวส์สามารถตั้งค่าให้โหลดไฟล์ DLL จากเราท์เตอร์มาติดตั้งบนเครื่องคอมพิวเตอร์ของตนเองได้ด้วย โดยนักวิจัยจาก Netlab พบว่ามีมัลแวร์ที่ใช้ช่องโหว่นี้จำนวนมากที่มีฤทธิ์เดชหลากหลายไม่ว่าจะเป็นการแอบขุดเหมือง CoinHive, แอบเปิดพร็อกซี่, หรือแม้แต่การแอบส่องดูกิจกรรมการใช้งานของเครือข่ายเหยื่อ เป็นต้น

ที่มา : Thehackernews

from:https://www.enterpriseitpro.net/mikrotik-router-hacking/

TP-Link เปิดตัวเกมมิ่งเราท์เตอร์รุ่นใหม่ Archer C5400X

TP-Link เปิดตัวอุปกรณ์เกมมิ่งเราท์เตอร์รุ่นใหม่ Archer C5400X ซึ่งเป็น Quad-Core 1.8GHz ขนาด 64 – bit มีตัวโปรเซสเซอร์ถึง 3 ตัว ทำให้เราเตอร์มีกำลังประมวลผลสูง พร้อมกับ Chipset ที่มีประสิทธิภาพ Broadcom Cortex-A53 มีขนาด 28 นาโนเมตร ซึ่งใช้พลังงานต่ำในการประมวลผลแต่ละกระบวนการเพื่อลดความล้าช้าในการส่งสัญญาณ

โดยสนับสนุนอุปกรณ์และแอปพลิเคชั่น ความเร็วสูงมากขึ้นพร้อม ๆ กันและซึ่งทำให้ Wi-Fi ที่ส่งออกมามีเสถียรภาพ เอาใจคอเกมส์ในประเทศไทย สามารถเพลิดเพลินกับภาพยนตร์ 4K ล่าสุด และแข่งขันในการต่อสู้ออนไลน์ ได้หลายคนโดยไม่ต้องกังวลกับความผันผวนของสัญญา เล่นเกมส์ได้ไม่มีสะดุด

from:https://www.enterpriseitpro.net/tp-link-archer-c5400x/

อัพเดทเราท์เตอร์ MikroTik ด่วน! หลังเครื่องกว่า 170,000 โดนมัลแวร์ถล่ม

นักวิจัยด้านความปลอดภัยจาก Trustwave พบเราเตอร์ MikroTik จำนวนมากกว่า 170,000 เครื่องในบราซิลที่ยังไม่ได้อัพแพทช์ล่าสุด กำลังกลายเป็นเหยื่อของขบวนการโจมตีผ่านมัลแวร์ขุดเหมืองเงินคริปโตอยู่ในขณะนี้ซึ่งกำลังกลายเป็นกองทัพซอมบี้หรือบอทเน็ทสำหรับเตรียมแพร่เชื้อมัลแวร์สืบต่อทายาทไปทั่วโลกอย่างรวดเร็ว

เรื่องมีที่มาอยู่ว่า เมื่อเมษายนที่ผ่านมานั้น MikroTik ได้ออกแพทช์อุดช่องโหว่ที่เปิดให้ผู้โจมตีสามารถเข้าถึงเราท์เตอร์ของตนเองจากระยะไกลได้ ซึ่งหลังจากนั้นนักวิจัยที่ค้นพบช่องโหว่ดังกล่าวจึงได้เปิดเผยตัวอย่างโค้ดที่ทดสอบการใช้ประโยชน์จากช่องโหว่แก่สาธารณะเพื่ออธิบายขั้นตอนการเข้าถึงอุปกรณ์ของ MikroTik

แต่ทว่าตัวอย่างโค้ดที่พิสูจน์ช่องโหว่ดังกล่าว หรือที่เรียกว่า Proof-of-Concept (PoC) ซึ่งเขียนอยู่ในรูปภาษา Python กลับถูกอาชญากรไซเบอร์เอาไปดัดแปลงเป็นโค้ดที่รันซอฟต์แวร์ขุดเหมืองเงินคริปโตของ CoinHive บนเว็บบราวเซอร์ นั่นคือ เมื่อผู้ใช้ออกเน็ตผ่านพร็อกซี่ของ MicroTik ก็จะเจอแต่ข้อความแสดงข้อผิดพลาดของ HTTP ที่เกิดจากโค้ดจาวาสคริปต์ของ CoinHive ซึ่งถูกเราเตอร์ที่ติดเชื้อฝังลงในเว็บไซต์ที่เข้าเยี่ยมชม

นั่นคือ ไม่ว่าผู้ใช้จะเปิดเว็บอะไรก็ตาม เครื่องคอมพ์ของผู้ใช้ก็จะโดนแอบขุดเหมืองเงิน Monero ตลอดเวลา และล่าสุด เริ่มระบาดลามไปภูมิภาคอื่นแล้วเช่นที่มอลดิว่าในยุโรป ดังนั้นผู้เชี่ยวชาญด้านความปลอดภัยจึงออกมาเตือนผู้ใช้เราเตอร์ MikroTik ทั่วโลกให้รีบอัพแพทช์ล่าสุดก่อนโดนเล่นงานไปด้วย

ที่มา : hackread

from:https://www.enterpriseitpro.net/router-mikrotik-malware-trustwave/

Linksys เปิดตัว Velop เราท์เตอร์รุ่นใหม่ ระบบ Wi-Fi แบบ Tri-Band

ลิงค์ซิส (Linksys®) ผู้บุกเบิกเทคโนโลยีผลิตภัณฑ์เราเตอร์สำหรับบ้านแบรนด์แรกที่สร้างยอดขายเราเตอร์ได้สูงถึง 100 ล้านเครื่องทั่วโลก ประกาศเปิดตัว “เวลลอป (Velop™)” ผลิตภัณฑ์เราท์เตอร์กระจายสัญญาณสำหรับบ้านรุ่นแรกที่ติดตั้งโดยใช้ระบบ Wi-Fi แบบ Tri-Band ที่รองรับระบบ Mesh เพื่อเพิ่มประสิทธิภาพในการเข้าถึง Wi-Fi ภายในบ้าน การันตีคุณภาพสัญญาณอินเทอร์เน็ตเต็ม 100% ครอบคลุมทุกส่วนของตัวบ้าน

from:https://www.enterpriseitpro.net/linksys-velop-wifi-tri-band/

มัลแวร์ VPNFilter ระบาดหนัก เราท์เตอร์แบรนด์ดังโดนกันทั่วทั้ง Asus, D-Link, Huawei, ZTE

เมื่อไม่กี่สัปดาห์ก่อน FBI ได้สั่งยึดโดเมนที่โฮสต์บอทเน็ตซึ่งฝังอยู่ในอุปกรณ์ IoT กว่าห้าแสนเครื่องใน 54 ประเทศทั่วโลก ทั้งอุปกรณ์สำรองข้อมูลบนเครื่องข่ายหรือ NAS และเราท์เตอร์ตามบ้านและสำนักงานขนาดเล็ก (SOHO) ซึ่งโดเมนนี้เป็นตัวการปล่อยมัลแวร์ VPNFilter สร้างกองทัพซอมบี้จำนวนมหาศาล

จากเหตุการณ์นี้ ทำให้ทุกคนเริ่มมอง VPNFilter ว่ามีพิษสงร้ายแรงกว่าที่เคยคิด ซึ่งทาง Cisco Talos พบว่ารายการชนิดอุปกรณ์ที่ตกเป็นเป้าหมายของ VPNFilter ได้เพิ่มขึ้นอย่างต่อเนื่อง ล่าสุดพบลิสต์เราท์เตอร์ของหลายแบรนด์ไม่ว่าจะเป็น ASUS, D-Link, Huawei, UPVEL, Ubiquiti, และ ZTE

นอกจากนี้ยังพบโมดูล “ssler” ที่คอยแก้ข้อมูลทราฟิกเว็บด้วยการใส่คอนเท็นต์อันตรายลงในทราฟิกที่วิ่งผ่านเราท์เตอร์ เพื่อส่งหน้าเว็บอันตรายไปยังเอนด์พอยต์ภายในแลนด้วย รวมทั้งพบว่าการรีบูตเราท์เตอร์ใหม่ก็ไม่สามารถล้างมัลแวร์VPNFilterได้ และมีโมดูลที่คอยรับคำสั่งทำลายอุปกรณ์ที่ฝังอยู่ด้วยการลบไฟล์ระบบ เป็นต้น

นี่คือรายชื่อของรุ่นเราท์เตอร์ที่เป็นเป้าหมายของมัลแวร์นี้
Asus: RT-AC66U, RT-N10, RT-N10E, RT-N10U, RT-N56U, and RT-N66U.
D-Link: DES-1210-08P, DIR-300, DIR-300A, DSR-250N, DSR-500N, DSR-1000, and DSR-1000N.
Huawei: HG8245.
Linksys: E1200, E2500, E3000 E3200, E4200, RV082, and WRVS4400N.
Mikrotik: CCR1009, CCR1016, CCR1036, CCR1072, CRS109, CRS112, CRS125, RB411, RB450, RB750, RB911, RB921, RB941, RB951, RB952, RB960, RB962, RB1100, RB1200, RB2011, RB3011, RB Groove, RB Omnitik, and STX5.
Netgear: DG834, DGN1000, DGN2200, DGN3500, FVS318N, MBRN3000, R6400, R7000, R8000, WNR1000, WNR2000, WNR2200, WNR4000, WNDR3700, WNDR4000, WNDR4300, WNDR4300-TN, and UTM50.
QNAP: TS251, TS439 Pro, and other QNAP NAS devices running QTS software.
P-Link: R600VPN, TL-WR741ND, and TL-WR841N.
Ubiquiti: NSM2 and PBE M5.
ZTE: ZXHN H108N.

VPNFilter จึงกลายเป็นมัลแวร์ที่น่ากลัวมากขึ้นเรื่อยๆ จากวิวัฒนาการที่ปรับตัวจากแค่ฝังบอทเน็ตบนอุปกรณ์ตัวเอง กลายเป็นมัลแวร์ที่พร้อมแพร่เชื้อไปยังอุปกรณ์ทุกตัวบนเครือข่าย ที่เป็นทั้งตัวรูทคิต, มัลแวร์ที่คอยดูดข้อมูล, ไปจนถึงมัลแวร์ที่มีฤทธิ์ทำลายล้างอุปกรณ์อย่างถาวร พร้อมขยายรายการอุปกรณ์ที่ตกเป็นเหยื่อเพิ่มขึ้นอย่างไม่หยุดยั้ง

ทีมา : Hackread

from:https://www.enterpriseitpro.net/malware-vpnfilter-asus-dlink-huawei-zte/

FBI สั่งปิดโดเมนปล่อยบอท VPNFilter ที่แพร่เชื้อไป Router กว่า 500,000 เครื่อง

ทาง FBI ได้ออกคำสั่งไปยังผู้ให้บริการจดทะเบียนโดเมนชื่อดัง Verisign เพื่อเข้าควบคุมที่อยู่โดเมนซึ่งเชื่อว่าอยู่เบื้องหลังการแพร่เชื้อบอทเน็ต VPNFilter ไปยังเราท์เตอร์และอุปกรณ์ IoT อื่นๆ กว่า 500,000 เครื่องทั่วโลก และเชื่อว่าผู้อยู่เบื้องหลังการควบคุมโดเมนดังกล่าวเป็นกลุ่มแฮ็กเกอร์ชาวรัสเซียชื่อดังอย่าง Fancy Bear หรือ Sofacy

Fancy Bear เป็นกลุ่มแฮ็กเกอร์ที่เคยสร้างกรณีกระฉ่อนอย่างการแฮ็กซอฟต์แวร์ต่อต้านการจารกรรม Lojack ด้วยมัลแวร์, การแฮ็กสมาพันธ์กรีฑานานาชาติหรือ IAAF, เว็บสืบสวนกรณี MH17 ทางการ, หน่วยต่อต้านการโด้ปยานานาชาติ รวมไปถึงองค์กรอื่นๆ โดยมีรัฐบาลรัสเซียอยู่เบื้องหลัง

สำหรับกรณีล่าสุดนี้ กลุ่มแฮ็กเกอร์ได้ใช้มัลแวร์ชื่อ “VPN Filter” เพื่อเจาะช่องโหว่ในเราท์เตอร์รุ่นสำหรับใช้ตามบ้าน (SOHO) และอุปกรณ์สตอเรจผ่านเครือข่ายภายในหรือ NAS ชื่อดังจากทั้ง ETGEAR, MikroTik, TP-Link, และ Linksys ทั่วโลกรวมกว่า 54 ประเทศ

การยึดโดเมนครั้งนี้จะทำให้ FBI ดูดข้อมูลและรีไดเรกต์ทราฟิกจากอุปกรณ์ที่ติดเชื้อไปยังเซิร์ฟเวอร์ที่ FBI ดูแลแทน ทำให้แฮ็กเกอร์สูญเสียการควบคุมกองทัพซอมบี้ไปโดยปริยาย และสามารถเริ่มไล่ตรวจไอพีของอุปกรณ์ที่ติดเชื้อเพื่อทยอยประสานเข้าล้างมัลแวร์ให้หมดต่อไป

ที่มา : Hackread

from:https://www.enterpriseitpro.net/fbi-vpnfilter-botnet-500000/