จากข่าวในเดือนที่ผ่านมา ที่มีรายงานเกี่ยวกับการระบาดของมัลแวร์ขุดเหมืองคริปโตในวงกว้างซึ่งมีการเจาระบบของเราท์เตอร์ยี่ห้อ MikroTik มากกว่าสองแสนเครื่องโดยใช้ช่องโหว่ที่เคยมีการเปิดเผยต่อสาธารณะครั้งใหญ่ในกรณี CIA Vault 7 มาแล้ว
และล่าสุด ทีมนักวิจัยด้านความปลอดภัยชาวจีนจาก Qihoo360 Netlab ค้นพบว่าในบรรดาเราท์เตอร์ MikroTik ที่น่าจะมีช่องโหว่มากกว่า 370,000 เครื่องทั่วโลกนี้ มีมากกว่า 7,500 เครื่องที่ถูกแฮ็กให้เปิดพร็อกซี่แบบ Socks4 โดยไม่ได้รับอนุญาต ทำให้ผู้โจมตีสามารถดักฟังข้อมูลที่วิ่งผ่านเราท์เตอร์ได้มาตั้งแต่ช่วงกลางเดือนกรกฎาคมที่ผ่านมา
ช่องโหว่ที่น่าจะเป็นตัวการนี้น่าจะเป็นรายการ Winbox Any Directory File Read (CVE-2018-14847) ที่สามารถแฮ็กได้ด้วยทูลจากชุด CIA Vault 7 ที่ชื่อ Chimay Red ร่วมกับการใช้ช่องโหว่ Webfigที่เปิดให้รันโค้ดได้จากระยะไกล ซึ่งทั้ง Winboxและ Webfigนี้เป็นคอมโพเนนต์สำหรับจัดการบนโอเอสของเราท์เตอร์ที่ควบคุมพอร์ตหลักในการสื่อสารออกอินเทอร์เน็ตอย่าง TCP/8291, TCP/80,และ TCP/8080
นอกจากนี้ตัว Winbox ยังเปิดให้ผู้ใช้วินโดวส์สามารถตั้งค่าให้โหลดไฟล์ DLL จากเราท์เตอร์มาติดตั้งบนเครื่องคอมพิวเตอร์ของตนเองได้ด้วย โดยนักวิจัยจาก Netlab พบว่ามีมัลแวร์ที่ใช้ช่องโหว่นี้จำนวนมากที่มีฤทธิ์เดชหลากหลายไม่ว่าจะเป็นการแอบขุดเหมือง CoinHive, แอบเปิดพร็อกซี่, หรือแม้แต่การแอบส่องดูกิจกรรมการใช้งานของเครือข่ายเหยื่อ เป็นต้น
ที่มา : Thehackernews
