Các nhà nghiên cứu an ninh mạng đã thành công trong việc khai thác các lỗ hổng zero-day nghiêm trọng trên hai thiết bị bảo mật mạng đã ngừng sản xuất. Sự kiện này diễn ra tại cuộc thi Junkyard lần đầu tiên của DistrictCon vào tháng 2, mang lại cho họ danh hiệu á quân cho Kỹ thuật khai thác sáng tạo nhất.
Phát hiện này nhấn mạnh những rủi ro bảo mật dai dẳng do phần cứng đã hết vòng đời (end-of-life – EoL) gây ra, vốn không còn nhận được các bản cập nhật bảo mật cần thiết. Điều này tạo ra một khe hở đáng kể trong an ninh mạng của người dùng cá nhân và doanh nghiệp.
Khai Thác Lỗ Hổng Zero-day Trên Thiết Bị EoL
Router Netgear WGR614v9: Chuỗi Tấn Công UPnP
Nhóm nghiên cứu từ Trail of Bits đã tập trung khai thác một bộ định tuyến Netgear WGR614v9. Đây là một thiết bị tiêu dùng phổ biến, ban đầu được thiết kế để bảo vệ mạng gia đình.
Tuy nhiên, nhiều năm không nhận được các bản vá bảo mật từ nhà sản xuất đã khiến thiết bị này dễ bị tổn thương nghiêm trọng. Các nhà nghiên cứu đã chứng minh khả năng khai thác hoàn toàn từ xa từ trong mạng cục bộ.
Đối với bộ định tuyến Netgear, các nhà nghiên cứu đã phát triển ba phương pháp khai thác khác nhau. Các phương pháp này nhắm vào daemon Universal Plug-and-Play (UPnP) của thiết bị.
Chuỗi tấn công của họ đã tận dụng nhiều lỗ hổng zero-day. Chúng bao gồm lỗi bỏ qua xác thực (authentication bypass), tràn bộ đệm (buffer overflows) và injection lệnh (command injection). Sự kết hợp các lỗi này cho phép họ đạt được quyền truy cập root từ xa vào thiết bị.
Một trong những kỹ thuật nổi bật nhất được đặt tên là “bashsledding”. Kỹ thuật này điều chỉnh phương pháp nopsled kinh điển trong khai thác lỗ hổng. Thay vì dùng các lệnh NOP truyền thống, kỹ thuật này phun các lệnh shell vào bộ nhớ NVRAM được ánh xạ của bộ định tuyến.
Các ký tự khoảng trắng được sử dụng làm “sleds” (giống như nopsled) để đảm bảo thực thi mã đáng tin cậy. Điều này có nghĩa là lệnh sẽ được thực thi thành công bất kể vị trí chính xác của nó trong bộ nhớ.
# Khái niệm "bashsledding" (ví dụ minh họa, không phải mã khai thác thực tế)
# Tấn công qua giao diện UPnP bằng cách chèn lệnh vào trường có thể ghi
#
# Ví dụ về payload command injection:
# <UPnP_Argument>SomeValue; /usr/bin/nc -lp 1234 -e /bin/sh; exit;</UPnP_Argument>
#
# Bashsledding tận dụng đặc điểm NVRAM:
# Kẻ tấn công ghi một lượng lớn dữ liệu chứa các lệnh nhỏ lặp lại
# hoặc một chuỗi các ký tự "sled" dẫn đến payload cuối cùng.
# VD: "AAAAAAAAAAAAAAAA... (sled) .../bin/sh -c 'id > /tmp/pwned.txt'AAAA..."
# Các ký tự không gian hoặc ký tự null có thể hoạt động như sled.
# Mục tiêu là hướng con trỏ thực thi đến bất kỳ điểm nào trong vùng sled
# để cuối cùng gặp lệnh mong muốn.
BitDefender Box V1: Hạ Cấp Firmware Nguy Hiểm
Việc khai thác BitDefender Box V1 mang tính mỉa mai cao, bởi thiết bị này ban đầu được quảng bá là một thiết bị an ninh mạng chuyên dụng. Tuy nhiên, các nhà nghiên cứu đã phát hiện một lỗ hổng zero-day cho phép hạ cấp firmware không cần xác thực (unauthenticated firmware downgrade vulnerability).
Lỗ hổng này cho phép họ khôi phục thiết bị về các phiên bản firmware cũ hơn. Những phiên bản này chứa nhiều lỗ hổng zero-day đã biết và chưa được vá. Bằng cách kết hợp lỗi hạ cấp này với các lỗi injection lệnh trong quá trình xác thực firmware, họ đã đạt được sự xâm nhập hệ thống hoàn toàn và quyền truy cập bền bỉ.
Sự thiếu sót trong cơ chế cập nhật của BitDefender Box đặc biệt đáng lo ngại. Thiết bị này thực hiện xác minh chữ ký mã hóa (cryptographic signature verification) cho firmware, một biện pháp bảo mật quan trọng. Tuy nhiên, nó lại thiếu xác thực phiên bản đúng cách (proper version validation).
Điều này có nghĩa là ngay cả khi firmware cũ được ký hợp lệ, thiết bị vẫn cho phép cài đặt nó mà không kiểm tra xem có phiên bản mới hơn, an toàn hơn đã có sẵn hay không. Chính lỗ hổng này đã cho phép cuộc tấn công hạ cấp diễn ra thành công, dù các biện pháp bảo mật bề ngoài có vẻ mạnh mẽ.
Kỹ Thuật Phân Tích Phần Cứng Sâu Rộng
Để thực hiện các cuộc khai thác này, nhóm nghiên cứu đã tiến hành phân tích phần cứng kỹ lưỡng. Họ đã truy cập các giao diện debug và trích xuất firmware trực tiếp từ cả hai thiết bị mục tiêu.
Truy Cập Cấp Thấp Netgear Router
Đối với bộ định tuyến Netgear, các nhà nghiên cứu đã sử dụng cổng nối tiếp UART của thiết bị. Việc này cho phép họ có được quyền truy cập hệ thống cấp thấp trong suốt quá trình khởi động (boot process).
# Ví dụ kết nối và truy cập cổng UART
# Cần adapter USB sang TTL và phần mềm terminal (minicom, screen, PuTTY)
#
# screen /dev/ttyUSB0 115200
#
# Lệnh này sẽ mở một phiên terminal với thiết bị được kết nối qua UART
# với tốc độ truyền 115200 baud. Thông tin debug và giao diện lệnh có thể xuất hiện.
Trích Xuất Firmware BitDefender Box
BitDefender Box đòi hỏi các kỹ thuật tinh vi hơn để trích xuất firmware. Các nhà nghiên cứu đã thực hiện việc trích xuất trực tiếp từ chip flash SPI của thiết bị. Quá trình này yêu cầu sử dụng thiết bị lập trình chuyên dụng (specialized programming equipment).
Hệ Lụy và Nhận Thức Về Vòng Đời An Toàn Thiết Bị
Các cuộc khai thác thành công này một lần nữa khẳng định những lo ngại ngày càng tăng về vòng đời bảo mật của các thiết bị Internet of Things (IoT). Khi các nhà sản xuất ngừng hỗ trợ và cập nhật cho các thiết bị mạng, các lỗ hổng zero-day chưa được vá sẽ vẫn còn tồn tại.
Chúng sẽ vẫn có thể truy cập vô thời hạn đối với những kẻ tấn công, tạo ra các rủi ro bảo mật dai dẳng và nghiêm trọng trong cả môi trường mạng gia đình và doanh nghiệp. Điều này là một thách thức lớn trong bối cảnh các thiết bị thông minh ngày càng phổ biến.
Các nhà nghiên cứu nhấn mạnh rằng những phát hiện của họ không chỉ giới hạn ở hai thiết bị này. Chúng đại diện cho các mô hình rộng hơn trong an ninh mạng IoT. Họ lưu ý rằng các lỗi triển khai UPnP và các biện pháp bảo vệ cập nhật firmware không đầy đủ là những vấn đề phổ biến.
Những vấn đề này không chỉ xuất hiện trên Netgear và BitDefender mà còn trên nhiều nhà sản xuất và danh mục thiết bị IoT khác nhau. Điều này cho thấy nhu cầu cấp thiết về việc nâng cao tiêu chuẩn bảo mật cho toàn bộ vòng đời sản phẩm IoT.
Với cuộc thi Junkyard lần thứ hai của DistrictCon được công bố vào đầu năm 2026, nhóm nghiên cứu đã công bố phân tích kỹ thuật đầy đủ và mã khai thác của họ trên GitHub. Động thái này nhằm khuyến khích cộng đồng tiếp tục nghiên cứu bảo mật sâu hơn về các thiết bị đã hết vòng đời. Đồng thời, nó cũng nâng cao nhận thức về tầm quan trọng của việc xem xét vòng đời bảo mật của thiết bị trước khi đưa ra quyết định mua sắm hoặc triển khai.
