Khai Thác Lỗ Hổng CVE-2023-20118: Botnet PolarEdge và Chiến Thuật Tấn Công

27/02/2025
2 mins read

Bài viết này thảo luận về botnet PolarEdge, khai thác lỗ hổng thực thi mã từ xa (RCE) trong các bộ định tuyến Cisco Small Business. Dưới đây là những điểm chính:

  1. Khai thác lỗ hổng:
    • Botnet này tận dụng lỗ hổng CVE-2023-20118, ảnh hưởng đến nhiều mẫu bộ định tuyến Cisco Small Business (RV016, RV042, RV042G, RV082, RV320 và RV325).
    • Lỗ hổng này phát sinh từ việc xác thực đầu vào không đúng cách trong giao diện quản lý web, cho phép kẻ tấn công không xác thực thực thi các lệnh tùy ý bằng cách gửi các yêu cầu HTTP bị chế tạo độc hại.
  2. Tactics tấn công:
    • Vào ngày 22 tháng 1 năm 2025, các kẻ tấn công phát hiện thông qua honeypots đã cố gắng khai thác lỗ hổng CVE-2023-20118, thực hiện một lệnh từ xa (RCE) để triển khai một webshell trên bộ định tuyến mục tiêu.
    • Giữa ngày 22 và 31 tháng 1 năm 2025, các kẻ tấn công đã triển khai một webshell mã hóa base64, nén gzip trên các bộ định tuyến dễ bị tổn thương. Để duy trì khả năng tồn tại, họ đã thay thế script CGI xác thực của bộ định tuyến bằng webshell của họ.
    • Đến ngày 10 tháng 2 năm 2025, các kẻ tấn công đã tiến hóa chiến thuật của họ, thay thế các webshell bằng một implant backdoor TLS, cho thấy một sự chuyển mình về cơ sở hạ tầng botnet quy mô lớn.
  3. Cơ sở hạ tầng và nhiễm trùng botnet:
    • Phân tích các payload này đã dẫn đến việc phát hiện một botnet bao gồm hơn 2.000 tài sản bị nhiễm toàn cầu, cũng như cơ sở hạ tầng của kẻ tấn công.
    • Botnet này đã hoạt động ít nhất từ cuối năm 2023 và đặc biệt hoạt động mạnh ở các khu vực như Châu Á và Nam Mỹ. Hoa Kỳ có số lượng nhiễm cao nhất (540 địa chỉ IP), tiếp theo là Đài Loan và Nam Mỹ.
  4. Các kỹ thuật né tránh và duy trì:
    • Payload PolarEdge sử dụng các kỹ thuật tiên tiến để duy trì và ẩn mình, bao gồm việc xóa log và dấu vết thực thi, tiêu diệt malware cạnh tranh, tận dụng các kênh lệnh mã hóa và cập nhật hạ tầng tấn công một cách động.
  5. Tiềm năng sử dụng:
    • Mục đích của botnet PolarEdge vẫn chưa rõ ràng, nhưng các nhà nghiên cứu giả thuyết rằng nó có thể được sử dụng để biến các thiết bị bị xâm nhập thành các Hộp Relay Hoạt động (ORB) để thực hiện các cuộc tấn công mạng phân tán.

Bài viết cung cấp cái nhìn tổng quát về việc khai thác lỗ hổng CVE-2023-20118 của botnet PolarEdge và các chiến thuật tinh vi của nó để duy trì khả năng tồn tại và né tránh phát hiện.