Các nhà nghiên cứu bảo mật đã phát hiện một chuỗi lỗ hổng nghiêm trọng trong điểm truy cập không dây Samsung WEA453e, cho phép kẻ tấn công từ xa không cần xác thực thực thi lệnh với toàn bộ đặc quyền quản trị. Những lỗ hổng này, được công bố vào tháng 8 năm 2020, cho thấy những sai sót tưởng chừng nhỏ trong giao diện web có thể dẫn đến việc kiểm soát hệ thống hoàn toàn.
Phân tích Lỗ hổng XSS Phản hồi
Chuỗi lỗ hổng bắt đầu với một lỗ hổng Cross-Site Scripting (XSS) phản hồi trong cơ chế xử lý lỗi của thiết bị. Khi người dùng điều hướng đến các đường dẫn không tồn tại, điểm truy cập sẽ hiển thị thông báo lỗi trực tiếp phản hồi lại dữ liệu đầu vào của người dùng mà không được làm sạch. Điều này cho phép kẻ tấn công chèn và thực thi mã script độc hại trong ngữ cảnh trình duyệt của nạn nhân.
Một payload đơn giản như <script>alert(1)</script> có thể được thực thi thành công trong trình duyệt của nạn nhân, xác nhận sự hiện diện của lỗ hổng. Phát hiện này là một chỉ báo quan trọng về sự thiếu sót trong việc xác thực và làm sạch đầu vào trên toàn hệ thống, tạo tiền đề cho những khai thác sâu hơn và nghiêm trọng hơn.
Khai thác Lệnh qua Tham số Hỗ trợ Kỹ thuật
Tiếp nối phát hiện XSS, các nhà nghiên cứu đã xác định một lỗ hổng quan trọng trong chức năng hỗ trợ kỹ thuật của thiết bị. Thiết bị WEA453e bao gồm một tính năng “Hỗ trợ Kỹ thuật” (“Tech Support”) được thiết kế để tạo ra các tệp chẩn đoán nén phục vụ mục đích gỡ lỗi và hỗ trợ hiện trường.
Giao diện của tính năng này chấp nhận hai tham số lệnh—command1 và command2. Các tham số này được sử dụng để truyền và thực thi trực tiếp các lệnh shell Linux trên hệ thống mà không có quá trình xác thực hoặc làm sạch thích hợp. Đây là một hình thức của lỗ hổng Thực thi Lệnh Hệ điều hành (OS Command Injection), cho phép kẻ tấn công chèn và chạy các lệnh tùy ý trên thiết bị.
Ví dụ về một lệnh có thể được chèn để thao túng hệ thống và lấy thông tin:
ls -la | dd of=/tmp/a.txtLệnh này sẽ liệt kê nội dung thư mục hiện tại và chuyển hướng kết quả đầu ra đó vào một tệp mới có tên a.txt trong thư mục /tmp/ trên hệ thống tệp của thiết bị. Việc ghi kết quả vào một tệp tạm thời là một bước quan trọng để truy xuất kết quả của lệnh đã thực thi sau này.
Chuỗi Khai thác Thực thi Lệnh từ xa (RCE)
Lỗ hổng nghiêm trọng nhất xuất hiện từ sự kết hợp của các lỗ hổng đã nêu, đặc biệt là khả năng thực thi lệnh thông qua tính năng hỗ trợ kỹ thuật và cơ chế tải xuống tệp. Kẻ tấn công có thể thao túng các tham số command1 và command2 để thực thi các lệnh shell tùy ý trên điểm truy cập. Sau khi lệnh được thực thi và kết quả được ghi vào một tệp trên hệ thống (ví dụ: /tmp/a.txt), kẻ tấn công có thể truy xuất tệp này.
Khả năng truy xuất kết quả lệnh được thực hiện thông qua cơ chế tải xuống tệp của thiết bị. Điểm yếu quan trọng là cơ chế này không kiểm tra xác thực người dùng khi truy cập các đường dẫn tệp nhất định. Điều này có nghĩa là kẻ tấn công có thể sửa đổi đường dẫn tải xuống để tham chiếu tệp chứa kết quả lệnh (ví dụ: /tmp/a.txt) và tải về nội dung của nó mà không cần bất kỳ thông tin xác thực nào. Điều này hoàn tất chuỗi tấn công Thực thi Lệnh từ xa (RCE) mà không yêu cầu xác thực ban đầu.
Mức độ nghiêm trọng của lỗ hổng được nâng cao đáng kể bởi thực tế là máy chủ web của thiết bị chạy với quyền root. Điều này có nghĩa là bất kỳ lệnh nào được chèn và thực thi đều có toàn bộ quyền hạn hệ thống, cho phép kẻ tấn công kiểm soát hoàn toàn thiết bị.
Các nhà nghiên cứu đã chứng minh thành công quyền truy cập ở cấp độ root bằng cách đọc tệp /etc/shadow, tệp này chứa các hàm băm mật khẩu hệ thống nhạy cảm. Việc truy cập tệp /etc/shadow xác nhận khả năng khai thác toàn diện ở mức độ cao nhất.
Quá trình khai thác này cũng linh hoạt về phương thức truyền tải. Nó hoạt động ngay cả khi các yêu cầu được chuyển đổi từ POST sang GET, đơn giản hóa vector tấn công và có thể cho phép nhúng payload vào các URL hoặc tự động hóa quá trình khai thác dễ dàng hơn.
Tầm nhìn và Mức độ Phơi nhiễm của Thiết bị
Các thiết bị Samsung WEA453e dễ bị tổn thương có thể được phát hiện và định vị một cách dễ dàng trên internet bằng cách sử dụng các công cụ tìm kiếm và nền tảng quét IoT chuyên dụng. Sự phổ biến của các thiết bị này, cùng với khả năng phát hiện công khai, làm tăng đáng kể mối đe dọa. Kẻ tấn công có thể sử dụng các truy vấn đơn giản để xác định và nhắm mục tiêu các điểm truy cập dễ bị tổn thương trên toàn cầu một cách có hệ thống.
Các chỉ số thỏa hiệp (IOC) và truy vấn tìm kiếm điển hình bao gồm:
- Tìm kiếm Google:
intitle:"Samsung WLAN AP" - Truy vấn Shodan:
title:"Samsung WLAN AP"
Sự hiện diện rộng rãi của các thiết bị này được công khai trên internet, kết hợp với tính chất không yêu cầu xác thực của lỗ hổng, tạo ra một bề mặt tấn công rộng lớn và nguy hiểm. Ngoài ra, một yếu tố rủi ro khác được ghi nhận là việc nhiều cài đặt vẫn sử dụng thông tin đăng nhập mặc định như root:sweap12~, điều này có thể làm trầm trọng thêm các hậu quả nếu kẻ tấn công có được quyền truy cập ban đầu hoặc khai thác các lỗ hổng khác.
Biện pháp Khắc phục và Khuyến nghị
Samsung đã phản ứng bằng cách phát hành firmware vá lỗi nhằm khắc phục các lỗ hổng này. Việc triển khai các bản vá này là bước quan trọng nhất và cấp bách nhất để bảo vệ thiết bị khỏi các cuộc tấn công khai thác chuỗi lỗ hổng đã được mô tả.
Sự cố này tái khẳng định tầm quan trọng của các nguyên tắc bảo mật cơ bản và nâng cao trong quản lý thiết bị mạng doanh nghiệp. Các khuyến nghị chính bao gồm:
- Cập nhật bảo mật định kỳ: Tổ chức cần thiết lập một quy trình nghiêm ngặt và tự động để kiểm tra và áp dụng tất cả các bản cập nhật firmware hoặc phần mềm bảo mật mới nhất cho mọi thiết bị mạng. Việc chậm trễ trong cập nhật có thể để lại cửa hậu cho kẻ tấn công.
- Phân đoạn mạng (Network Segmentation): Thực hiện phân đoạn mạng để cô lập các giao diện quản lý của thiết bị mạng khỏi truy cập công cộng hoặc các phân đoạn mạng ít tin cậy hơn. Điều này giúp giảm thiểu khả năng tiếp cận của kẻ tấn công ngay cả khi một lỗ hổng được phát hiện.
- Thay đổi thông tin đăng nhập mặc định: Luôn thay đổi tất cả các thông tin đăng nhập mặc định ngay sau khi triển khai thiết bị mới. Sử dụng mật khẩu mạnh, duy nhất và bật xác thực đa yếu tố nếu có thể.
- Giám sát và Ghi nhật ký: Thực hiện giám sát chặt chẽ các hoạt động bất thường trên các thiết bị mạng. Kiểm tra nhật ký hệ thống thường xuyên để phát hiện các dấu hiệu của sự xâm nhập hoặc hoạt động đáng ngờ.
Các tổ chức hiện đang sử dụng thiết bị không dây Samsung WEA453e phải xác minh ngay lập tức phiên bản firmware hiện tại của họ và áp dụng tất cả các bản vá có sẵn để ngăn chặn nguy cơ bị xâm nhập hoàn toàn hệ thống.
