Trong bối cảnh hoạt động tấn công mạng diễn biến phức tạp, nhiều thiết bị router cũ, hết vòng đời hỗ trợ đã và đang trở thành mục tiêu bị các đối tượng tội phạm mạng lợi dụng để chiếm quyền điều khiển thiết bị, đánh cắp dữ liệu truyền qua mạng, chuyển hướng người dùng sang trang lừa đảo, triển khai botnet hoặc cài mã độc vào hệ thống nội bộ.

Theo báo cáo của Công ty An ninh mạng Akamai cho biết một chiến dịch phần mềm độc hại mới dựa trên Mirai đang tích cực khai thác lỗ hổng tấn công chèn lệnh D-Link CVE-2025-29635 trong mạng lưới honeypot toàn cầu của họ vào đầu tháng 3/2026. Lỗ hổng tồn tại trong các dòng router D-Link DIR-823X ở các phiên bản firmware 240126 và 24082, cho phép kẻ tấn công được ủy quyền thực thi các lệnh tùy ý trên các thiết bị từ xa bằng cách gửi yêu cầu POST đến điểm cuối /goform/set_prohibiting thông qua chức năng tương ứng.

Mặc dù lỗ hổng này đã được các nhà nghiên cứu bảo mật Wang Jinshuai và Zhao Jiangting công bố từ 13 tháng trước, song đến nay mới ghi nhận hoạt động khai thác thực tế. Các quan sát của Akamai cho thấy kẻ tấn công đang gửi các yêu cầu POST để thay đổi thư mục trên các đường dẫn có thể ghi, tải xuống một shell script (dlink.sh) từ một địa chỉ IP bên ngoài và thực thi nó.

Script này cài đặt một phần mềm độc hại dựa trên Mirai có tên “tuxnokill”, hỗ trợ nhiều kiến ​​trúc khác nhau. Về khả năng, nó tích hợp các kỹ thuật tấn công từ chối dịch vụ phân tán (DDoS) của Mirai, bao gồm TCP SYN/ACK/STOMP, UDP flood và HTTP null.

Không dừng lại ở đó, Akamai cho biết kẻ tấn công đứng sau chiến dịch này cũng khai thác lỗ hổng CVE-2023-1389, ảnh hưởng đến các router TP-Link và một lỗ hổng thực thi mã từ xa riêng biệt trong các router ZTE ZXV10 H108L. Các cuộc tấn công này có cùng mô hình triển khai, cho thấy sự chủ động và có tổ chức của các nhóm tội phạm mạng trong việc phát tán mã độc Mirai.

Các thiết bị bị ảnh hưởng đã hết hạn vòng đời (EoL) vào tháng 11/2024, vì vậy rất có thể bản firmware mới nhất dành cho các dòng router này không khắc phục được lỗ hổng CVE-2025-29635. D-Link không có ngoại lệ nào khi phát hiện ra việc khai thác lỗ hổng đang diễn ra, vì vậy rất khó có khả năng nhà cung cấp sẽ cung cấp bản vá lỗi vào lúc này.

Hậu quả không chỉ dừng lại ở việc gián đoạn hoạt động hệ thống mà còn tiềm ẩn nguy cơ rò rỉ dữ liệu, ảnh hưởng đến an toàn thông tin của cá nhân và tổ chức. Trong nhiều trường hợp, người dùng hoàn toàn không nhận biết được thiết bị của mình đã bị kiểm soát, khiến nguy cơ kéo dài và khó xử lý triệt để.

Trước tình hình trên, cơ quan chức năng khuyến cáo người dân, doanh nghiệp và các tổ chức cần chủ động rà soát các thiết bị mạng đang sử dụng, đặc biệt là các thiết bị đã hết vòng đời hỗ trợ bảo mật. Đồng thời triển khai các biện pháp bảo đảm an toàn thông tin như:

- Khẩn trương thay thế các thiết bị router đã hết hỗ trợ bảo mật, lỗi thời;

- Vô hiệu hóa chức năng quản trị từ xa nếu không thực sự cần thiết;

- Thay đổi ngay mật khẩu quản trị mặc định và sử dụng mật khẩu mạnh;

- Thường xuyên kiểm tra cấu hình, theo dõi các dấu hiệu bất thường trên thiết bị mạng;

- Chủ động cập nhật các cảnh báo an ninh mạng từ cơ quan chức năng và các đơn vị chuyên trách.

Việc chủ động phòng ngừa, nâng cao nhận thức và tăng cường bảo vệ hệ thống mạng là yếu tố quan trọng nhằm hạn chế nguy cơ bị tấn công, chiếm quyền điều khiển thiết bị và phục vụ các hoạt động tấn công mạng quy mô lớn.

Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao

Nguồn tham khảo: https://antoanthongtin.vn.