พบ Gafgyt malware กำลังโจมตี Zyxel router ที่หมดอายุการใช้งาน ด้วยช่องโหว่ที่ถูกเปิดเผยมาแล้วกว่า 5 ปี

พบ Gafgyt malware กำลังโจมตี Zyxel router ที่หมดอายุการใช้งาน ด้วยช่องโหว่ที่ถูกเปิดเผยมาแล้วกว่า 5 ปี

Fortinet บริษัทด้านความปลอดภัยทางไซเบอร์ แจ้งเตือนการพบ Gafgyt botnet ที่กำลังโจมตีโดยการใช้ช่องโหว่บน Zyxel router P660HN-T1A ที่หมดอายุการใช้งานไปแล้ว ซึ่งพบการโจมตีนับพันครั้งต่อวัน

CVE-2017-18368 เป็นช่องโหว่ระดับ Critical (คะแนน CVSS v3: 9.8) ที่สามารถหลีกเลี่ยงการตรวจสอบสิทธิ์ในฟังก์ชัน Remote System Log forwarding ซึ่งได้รับการแก้ไขโดย Zyxel ในปี 2017 โดยส่งผลกระทบต่ออุปกรณ์ที่ใช้ firmware versions 7.3.15.0 v001/3.40(ULM.0)b31 หรือเก่ากว่า

โดยก่อนหน้านี้ทาง Zyxel ได้แจ้งเตือนถึงการโจมตีช่องโหว่ในปี 2019 ซึ่งแจ้งเตือนไปยังผู้ใช้งานให้ทำการอัปเกรดเป็นเวอร์ชันล่าสุดเพื่อป้องกันอุปกรณ์ของตนจากการโจมตีช่องโหว่

นอกจากนี้ทาง Fortinet ยังคงพบการโจมตีช่องโหว่เฉลี่ย 7,100 ครั้งต่อวัน ตั้งแต่ต้นเดือนกรกฎาคม 2023 จนถึงปัจจุบัน ซึ่งยังไม่มีข้อมูลว่าการพยายามโจมตีช่องโหว่ดังกล่าว สำเร็จมากน้อยเพียงใด อีกทั้งปัจจุบันทาง CISA ได้ทำการเพิ่มช่องโหว่ดังกล่าวไปในแคตตาล็อก known exploited vulnerabilities ซึ่งเป็นช่องโหว่ที่พบว่าได้ถูกนำมาใช้ในการโจมตี เพื่อแจ้งเตือนให้หน่วยงานที่เกี่ยวข้อง เร่งทำการแก้ไขช่องโหว่ของ Zyxel ภายในวันที่ 28 สิงหาคม 2023

โดย P660HN-T1A routers ที่ใช้ firmware versions ล่าสุด ที่ออกในปี 2017 เพื่อแก้ไขช่องโหว่ version 3.40 (BYF.11) จะไม่ได้รับผลกระทบจากช่องโหว่ดังกล่าว แต่ว่า P660HN-T1A routers นั้นได้ end-of-life หรือหมดอายุการใช้งานไปหลายปีแล้ว ทาง Zyxel จึงแนะนำให้ผู้ใช้งานทำการเปลี่ยนอุปกรณ์จะเป็นการแก้ไขที่ดีที่สุด

ซึ่งจุดสังเกตุว่า routers ที่ใช้งานอยู่ ได้ถูก botnet ควบคุมไปแล้วหรือไม่นั้น มีจุดสังเกตุได้แก่ การเชื่อมต่อที่ไม่เสถียร, อุปกรณ์ร้อนเกินไป, การเปลี่ยนแปลงการกำหนดค่ากะทันหัน, การไม่ตอบสนอง, ทราฟฟิกบนเครือข่ายผิดปกติ, การเปิดพอร์ตใหม่ และการรีบูตเครื่องเอง

หากผู้ใช้งานสงสัยว่า routers ที่ใช้งานอยู่ อาจมีความเสี่ยงที่จะถูก botnet ควบคุมไปแล้ว ให้ทำการรีเซ็ตเป็นค่าเริ่มต้นจากโรงงาน อัปเดตเฟิร์มแวร์ของอุปกรณ์เป็นเวอร์ชันล่าสุด และเปลี่ยนข้อมูลการยืนยันตัวตน เป็นผู้ใช้งานที่เป็นผู้ดูแลระบบเริ่มต้น (default admin user) รวมถึงจัดหาระบบที่สามารถดูแลระบบระยะไกล และจัดการอุปกรณ์จากเครือข่ายภายใน เพื่อดูภาพรวมการใช้งาน

 

ที่มา : bleepingcomputer