Hàng chục nghìn bộ định tuyến MikroTik tại Việt Nam có nguy cơ bị biến thành botnet

Một lỗ hổng nghiêm trọng vừa được phát hiện trong hệ điều hành MikroTik RouterOS, cho phép kẻ tấn công, đã được xác thực, chiếm toàn quyền kiểm soát thiết bị và biến chúng thành các botnet, tấn công DDoS. Tại Việt Nam, tính đến ngày 26/7, số thiết bị MikroTik đang kết nối internet lên đến hàng chục nghìn, đều có nguy cơ bị khai thác.

Chú thích ảnh
Hàng chục nghìn thiết bị MikroTik đang kết nối internet tại Việt Nam có nguy cơ bị khai thác lỗ hổng. Ảnh minh họa

Lỗ hổng mới được phát hiện có mã định danh CVE-2023-30799, mức điểm nghiêm trọng CVSS 9,1. Song, các chuyên gia an ninh mạng nhận định “tử huyệt” ở đây lại là “mật khẩu mặc định”. “Để khai thác được lỗ hổng CVE-2023-30799, hacker cần chiếm được quyền admin, trong khi phần lớn mật khẩu mặc định trên các thiết bị chưa được thay đổi”, ông Nguyễn Văn Cường, Giám đốc An ninh mạng của Bkav, cho biết.

Chuyên gia phân tích, lỗi xuất phát cả từ người dùng và nhà sản xuất. Trong khi đó, thói quen của người dùng thường bỏ qua việc đổi mật khẩu mặc định của thiết bị khi mới mua về. Mặt khác, MikroTik không trang bị bất kỳ giải pháp an ninh nào chống lại các cuộc tấn công brute-force trên hệ điều hành MikroTik RouterOS.

Theo đó, tin tặc có thể dò tên người dùng và mật khẩu truy cập của người dùng mà không bị ngăn chặn. Một thống kê cho thấy, có đến 60% thiết bị MikroTik hiện vẫn sử dụng tài khoản admin mặc định. Thậm chí, RouterOS không yêu cầu mật khẩu mạnh nên người dùng có thể đặt tùy ý, dẫn đến hậu quả càng dễ dàng bị tấn công brute-force.

 

Hải Yên/Báo Tin tức
Bắt tạm giam 'hacker' chiếm đoạt gần 10 tỷ đồng của ngân hàng tại TP Hồ Chí Minh
Bắt tạm giam 'hacker' chiếm đoạt gần 10 tỷ đồng của ngân hàng tại TP Hồ Chí Minh

Cơ quan Cảnh sát điều tra Công an Thành phố Hồ Chí Minh đã khởi tố vụ án, khởi tố bị can, bắt tạm giam bị can Dương Minh Tâm (sinh năm 1996, ngụ đường Giải Phóng, Phường 4, quận Tân Bình) để điều tra về tội "Sử dụng mạng máy tính, mạng viễn thông, phương tiện điện tử thực hiện hành vi chiếm đoạt tài sản", quy định tại Điều 290 Bộ luật Hình sự.

Chia sẻ:

doanh nghiệp - Sản phẩm - Dịch vụ Thông cáo báo chí Rao vặt

Các đơn vị thông tin của TTXVN