Jutaan Router Dieksploitasi Secara Aktif Melalui Bypasses Authentication Bug

  • Whatsapp
Jutaan Router Dieksploitasi Secara Aktif Melalui Bypasses Authentication Bug
Jutaan Router Dieksploitasi Secara Aktif Melalui Bypasses Authentication Bug
Jutaan Router Dieksploitasi Secara Aktif Melalui Bypasses Authentication Bug

Peneliti keamanan di perusahaan keamanan informasi Tenable Evan Grant mendeteksi bahwa pelanggaran keamanan serius menempatkan jutaan router dalam bahaya di seluruh dunia.

Menurut laporan dari seorang analis keamanan, ini adalah kerentanan kritis yang menghindari otentikasi dan menyerang perangkat rumah yang menggunakan firmware Arcadyan.

Namun, serangan ini umumnya memungkinkan pelaku ancaman untuk mengendalikan mereka dan menerapkan serangan menggunakan botnet Mirai.

Jutaan Router Rentan

Setelah menyelidiki serangan tersebut, analis keamanan mengetahui bahwa kerentanan ini telah menyerang jutaan model router dari berbagai pedagang dan ISP, yang juga mencakup: –

  • asus
  • Telekomunikasi Inggris
  • Deutsche Telekom
  • jeruk
  • O2 (Telepon)
  • Verizon
  • Vodafone
  • Telstra
  • Telus

Kerentanan keamanan telah terdeteksi oleh Tenable, yang dilacak sebagai “CVE-2021-2009” dengan skor CVSS 9,9 dan setelah mendeteksi serangan mereka mempublikasikannya pada 26 April, tidak hanya itu, baru-baru ini, para ahli juga memberikan beberapa bukti kode eksploitasi konsep.

Namun, para ahli keamanan siber telah mempelajari masalah ini dengan jelas, dan berdasarkan jumlah router serta pedagang yang terinfeksi oleh serangan kerentanan ini meningkat pesat dan mencapai jutaan, itulah sebabnya para ahli mencoba yang terbaik untuk mendeteksi semua perangkat yang terinfeksi.

Detail Serangan

Setelah menyelidiki para ahli keamanan mengetahui bahwa serangan itu dimulai dari alamat IP 27.22.80[.]19 melalui HTTP. Selain itu, penyerang telah memodifikasi konfigurasi semua perangkat yang diserang, dan memungkinkan Telnet untuk menggunakan “ARC_SYS_TelnetdEnable=1”.

Setelah itu, setelah itu pindah untuk mengunduh skrip baru dari alamat IP 212.192.241[.]72 memanfaatkan wget atau curl dan kemudian mengelola seluruh operasi yang telah mereka rencanakan.

Daftar semua perangkat dan vendor yang terkena dampak

Pakar keamanan telah menyebutkan daftar lengkap perangkat dan vendor yang terpengaruh, dan di bawah ini kami telah menyebutkan gambar di mana daftar lengkap disebutkan: –

Serangan dimulai dua hari kemudian rilis eksploitasi PoC

Hal yang paling menarik adalah bahwa lab keamanan Juniper Threat telah mendeteksi beberapa pola serangan yang mencoba mengeksploitasi kerentanan ini dan setelah menyelidikinya, para analis mengetahui bahwa itu berasal dari alamat IP yang awalnya berlokasi di Wuhan, provinsi Hubei, Cina. .

Namun, dalam serangan ini, penjahat dunia maya menggunakan beberapa alat berbahaya sehingga mereka dapat menyebarkan varian botnet Mirai, dan ini sangat mirip dengan yang digunakan dalam kampanye Mirai yang menargetkan perangkat IoT dan keamanan jaringan.

Dalam kedua serangan tersebut terdapat beberapa kesamaan, dan peneliti menyatakan bahwa setelah mempelajari kesamaan tersebut menunjukkan bahwa pelaku ancaman yang berada di balik serangan tersebut adalah sama.

Namun, untuk mengetahui rincian pasti dari serangan ini, analis keamanan sedang menyelidiki seluruh masalah, dan mereka mengklaim bahwa mereka akan segera mengungkapkan rincian serangan ini.

Anda dapat mengikuti kami di Linkedin, Indonesia, Facebook untuk keamanan siber harian dan pembaruan berita peretasan.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.