Τρίτη, 26 Μαΐου, 03:17
Αρχική security Hackers εκμεταλλεύονται δύο σφάλματα zero-day σε Routers της DrayTek

Hackers εκμεταλλεύονται δύο σφάλματα zero-day σε Routers της DrayTek

DrayTek

Δύο ομάδες hacking φαίνεται ότι εκμεταλλεύονται δύο σφάλματα στα Routers της DrayTek, ώστε να μπορέσουν να πραγματοποιήσουν επιθέσεις, όπως ανακάλυψαν ερευνητές ασφαλείας.

Μία άλλη παρόμοια περίπτωση ήταν η επίθεση που είχαν πραγματοποιήσει κακόβουλοι παράγοντες σε router της Home, αλλάζοντας τις ρυθμίσεις DN, ώστε να μπορούν να μεταδώσουν κακόβουλο λογισμικό μέσω της ιστοσελίδας.

Τον τελευταίο καιρό, παρατηρείται μία νέα τάση, όπου οι κακόβουλοι παράγοντες εκμεταλλεύονται σφάλματα zero-day για να εκτελέσουν επιθέσεις. Οι επιθέσεις αυτές συμπεριλαμβάνουν την παρακολούθηση της κίνησης δικτύου μιας συσκευής, την εκτέλεση υπηρεσιών SSH, τη δημιουργία backdoors σε συστήματα και την εμφύτευση κακόβουλων Web Session backdoors.

Η συνεχιζόμενη επίθεση zero-day αποκαλύφθηκε αρχικά στις 25 Δεκεμβρίου 2019 και έχει εκμεταλλευτεί ευρέως μέχρι σήμερα.

Πρόκειται για δύο ευπάθειες που επιτρέπουν την απομακρυσμένη εκτέλεση κώδικα. Η πρώτη, επηρεάζει το πεδίο keyPath που χρησιμοποιείται για τον ορισμό του πρόσθετου αρχείου του ιδιωτικού κλειδιού RSA για να ξεκινήσει μια αίτηση σύνδεσης στο router της DrayTek.

Η άλλη ευπάθεια RCE στο rtick, καθιστά δυνατή την έγχυση εντολών, όταν το formCaptcha (), μια λειτουργία που χρησιμοποιείται στo CAPTCHA, δεν ελέγχει την εισερχόμενη χρονική σήμανση από το rtick.

Σύμφωνα με τις αναφορές του netlab 360: “τα δύο σημεία εισαγωγής εντολών των ευπαθειών zero-day είναι τα keyPath και rtick, που βρίσκονται στο /www/cgi-bin/mainfunction.cgi και το αντίστοιχο πρόγραμμα Web Server είναι το / usr / sbin / lighttpd”.

Η πρώτη ομάδα hacking, χρησιμοποιεί την ευπάθεια keyPath RCE για τη λήψη και εκτέλεση του script (http://103.82.143.51:58172/vig/tcpst1).

Αργότερα κατεβάζει ένα άλλο script,

http://103.82.143.51:58172/vi1

http://103.82.143.51:58172/vig/mailsend.sh1

Η άλλη ομάδα hacking, χρησιμοποιεί την ευπάθεια εισαγωγής εντολών rtick, προκειμένου να δημιουργήσει 2 ζεύγη Web Session Backdoors που δεν αφήνουν τη συσκευή δικτύου DrayTek Vigor να αποσυνδεθεί εκτός εάν η συσκευή επανεκκινηθεί.

Αργότερα δημιουργούν ένα backdoor SSH σε TCP / 22335 και TCP / 32459

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement

LIVE NEWS

Bill Gates: Νέα θεωρία συνωμοσίας για το εμβόλιο του COVID-19

Νέα θεωρία συνωμοσίας θέλει τον Bill Gates να σχεδιάζει να χρησιμοποιήσει το εμβόλιο, που θα κατασκευαστεί για την καταπολέμηση του COVID-19, για...

Power Glove: Μετατράπηκε σε χειριστήριο modular synth!

Power Glove: μετατράπηκε σε χειριστήριο modular synth: O Sam Battle, βρήκε τον τρόπο να μετατρέψει το γάντι της Nintendo, σε «τηλεχειριστήριο» μουσικής,...

PowerToys: Κυκλοφόρησε η έκδοση 0.18 με δύο νέα εργαλεία

Στο συνέδριο Microsoft Build 2020, η Microsoft ανακοίνωσε τα PowerToys 0.18, τα οποία περιέχουν δύο νέα εργαλεία,...

Mozilla, Twitter και Reddit: Απαραίτητη η προστασία του ιστορικού αναζήτησης και περιήγησης των χρηστών

Μια ομάδα επτά εταιρειών Internet δεσμεύεται να υπερασπιστεί το απόρρητο των χρηστών της αυτή την εβδομάδα, όταν η Βουλή των Αντιπροσώπων των...

Το eBay port σαρώνει τα PC για προγράμματα remote access

Όταν επισκέπτεστε τον ιστότοπο eBay.com, θα τρέχει ένα script που εκτελεί σάρωση τοπικής θύρας του υπολογιστή σας για να εντοπίσει εφαρμογές απομακρυσμένης...

Παραβίαση σε τράπεζα οδήγησε σε διαρροή στοιχείων καρτών πελατών

Οι hackers πίσω από το Maze ransomware δημοσίευσαν δεδομένα καρτών πληρωμής που έκλεψαν από την Τράπεζα της...

Κυκλοφόρησε νέο Unc0ver jailbreak: Επηρεάζει την έκδοση iOS 13.5!

Μια ομάδα από hackers, ερευνητές ασφαλείας και μηχανικούς, η Unc0ver, κυκλοφόρησε ένα νέο jailbreak package για iOS...

Hacker πουλά τις βάσεις δεδομένων των Ledger, Trezor και KeepKey

Ο hacker που παραβίασε το φόρουμ Ethereum.org φέρεται να πουλά τις βάσεις δεδομένων για τα τρία πιο δημοφιλή hard wallets κρυπτογράφησης -...

Πλατφόρμα εκπαίδευσης EduCBA: Επαναφέραμε τα password σας

Ο διαδικτυακός ιστότοπος εκπαίδευσης EduCBA άρχισε να ενημερώνει τους πελάτες ότι επανέφεραν τους κωδικούς πρόσβασης μετά από παραβίαση δεδομένων.

Επιχειρήσεις: “Work From Home” ή “Work From Anywhere”;

Στην εποχή μας, στα περισσότερα επαγγέλματα οι εργαζόμενοι περνούν το μεγαλύτερο μέρος του χρόνου τους σε ένα γραφείο, μπροστά από έναν υπολογιστή....