Nhiều bộ định tuyến mạng DrayTek tại Việt Nam bị tấn công làm mất kết nối internet

Từ sáng 23.3, nhiều bộ định tuyến (router) DrayTek gặp lỗi không cấp IP WAN đã được ghi nhận trên các nhóm Facebook với nghi ngờ bị tấn công mạng do dùng firmware cũ.

Theo đó, nhiều người dùng sử dụng router DrayTek Vigor 2925/2926/2927 thuộc các nhà mạng FPT, Viettel và VNPT đã đăng tải thông tin trên các nhóm Facebook cho biết đang gặp hiện tượng mất kết nối WAN, không cấp IP, gây gián đoạn truy cập internet. Đáng chú ý, nhiều doanh nghiệp hiện cũng sử dụng dòng thiết bị này làm router chính cũng bị ảnh hưởng nghiêm trọng.

Trước đó vào ngày 7.3, trang cybersecuritynews đã cảnh báo một loạt lỗ hổng bảo mật nghiêm trọng trong bộ định tuyến router DrayTek Vigor 2925/2926/2927 được triển khai rộng rãi trong môi trường văn phòng/văn phòng tại nhà nhỏ (SOHO) đã được phát hiện, khiến thiết bị có nguy cơ bị thực thi mã từ xa (RCE), tấn công từ chối dịch vụ (DoS) và đánh cắp thông tin đăng nhập.

Chi tiết các lỗ hổng gồm CVE-2024-51138 và CVE-2024-51139, là lỗi tràn bộ đệm và tràn số nguyên trong các thành phần xử lý URL, cho phép kẻ tấn công không xác thực thực thi mã từ xa.

Kế đến là CVE-2024-41335 và CVE-2024-41336, hai lỗ hổng trong cơ chế xác thực, cho phép kẻ tấn công thực hiện đánh cắp mật khẩu hoặc truy cập trực tiếp mật khẩu lưu trữ dưới dạng văn bản không mã hóa. Cuối cùng CVE-2024-41339 là lỗ hổng trong cấu hình CGI, cho phép tải lên các module kernel độc hại để chiếm quyền quản trị (root) của các router DrayTek bị ảnh hưởng.

Anh T.N, một người dùng FPT cho biết đã phát hiện sự cố từ sáng 23.3. Anh nói: “Tôi sử dụng DrayTek Vigor 2925 đã hơn 5 năm và hầu như không hề gặp sự cố như vậy trước đây. Từ sáng sớm tôi thấy camera IP trong nhà thông báo mất kết nối mạng liên tục. Vào trang quản trị DrayTek thì phần Uptime báo khoảng 5 phút là bị ngắt trả về 0, dài nhất chỉ được khoảng 1 giờ đồng hồ”.

Trao đổi với một kỹ thuật viên kiểm tra mạng, anh cho biết lỗi này bị ở cả ba mạng là FPT, VNPT, Viettel với nghi ngờ có lỗ hổng bảo mật ở bản firmware cũ của Virgor 2925 và bị hacker khai thác. Anh cho biết trong ngày 23.3 hỗ trợ kỹ thuật đã đi xử lý rất nhiều trường hợp mất kết nối khi sử dụng router này, hướng xử lý là cài đặt firmware mới nhất.

Hướng xử lý tạm thời được khuyến nghị đưa ra cho trường hợp này là kiểm tra firmware trên Vigor 2925, nếu đang dùng bản v3.9.8.3, người dùng hãy cập nhật lên v3.9.8.4 từ trang chính thức ở địa chỉ http://fw.draytek.com.tw. Tiếp đến thay đổi mật khẩu quản trị (admin) sang một mật khẩu mạnh hơn, không sử dụng mật khẩu được cấp mặc định.