บริษัทด้านความปลอดภัย Netlab 360 ได้มีการเปิดเผยพฤติกรรมของบ็อตเน็ต Hajime ล่าสุดซึ่งเริ่มมีการสแกนหาพอร์ต 8291/TCP เพื่อระบุว่าอุปกรณ์เป้าหมายเป็นอุปกรณ MikroTik หรือไม่ และจะพยายามใช้ช่องโหว่ "Chimay Red" ในการพยายามโจมตีและเข้ายึดครองอุปกรณ์
สำหรับพฤติกรรมของ Hajime ในเวอร์ชันนี้นั้น มัลแวร์จะทำการสแกนพอร์ต 8291 รวมไปถึง 0,81,82,8080,8081,8082,8089,8181,8880 จากนั้นมัลแวร์จะพยายามระบุหาเวอร์ชันของอุปกรณ์ก่อนจะเริ่มโจมตีด้วยช่องโหว่ Chimay Red ผลลัพธ์จากการโจมตีทำให้ผู้โจมตีสามารถเข้าควบคุม สั่งการรวมไปถึงติดตั้งโปรแกรมที่เป็นอันตรายบนอุปกรณ์ดังกล่าวได้อย่างสมบูรณ์ แบบ ในขณะนี้นั้นประเทศที่มีสแกนพอร์ต 8192 ที่มากที่สุดนั้นมีที่มาจากบราซิล, อิหร่านและรัสเซีย
ช่องโหว่ Chimay Red เป็นหนึ่งในช่องโหว่ที่รั่วไหลมาจาก Vault 7 หรือโครงการพัฒนาศักยภาพความปลอดภัยทางด้านไซเบอร์ของ CIA และมีการนำรายละเอียดของช่องโหว่ที่รั่วไหลออกมานั้นมาพัฒนาโปรแกรมที่สามารถใช้งานได้จริงแล้ว
Recommendation: MikroTik แนะนำให้ผู้ใช้งานทำการอัปเดตเฟิร์มเวอร์ของอุปกรณ์เป็นรุ่นใหม่โดยด่วน รวมไปถึงทำการบล็อคพอร์ต 8192 ในกรณีที่ไม่จำเป็นต้องใช้งานด้วย
ที่มา: netlab
You must be logged in to post a comment.