Sự cố Firmware DrayTek: Nguyên nhân, ảnh hưởng và khắc phục

25/03/2025
2 mins read
Nội dung
Tóm tắt sự cố
Nguyên nhân của sự cố
Khuyến nghị
Hướng dẫn cụ thể từ DrayTek
Ảnh hưởng đến người dùng và doanh nghiệp
Kết luận

Tóm tắt sự cố

  • Bắt đầu sự cố: Sự cố bắt đầu vào tối thứ Bảy, ảnh hưởng đến kết nối của bộ định tuyến DrayTek trên toàn cầu.
  • Các nhà cung cấp dịch vụ Internet bị ảnh hưởng: Các nhà cung cấp dịch vụ Internet như Gamma, Zen Internet, ICUK và A&A tại Vương quốc Anh, cũng như các nhà cung cấp khác trên toàn thế giới đã báo cáo sự cố này.
  • Triệu chứng: Khách hàng bị ảnh hưởng đã báo cáo rằng các bộ định tuyến thuộc nhiều dòng đang mất kết nối một cách định kỳ và vào vòng lặp khởi động.

Nguyên nhân của sự cố

  • Firmware dễ bị tấn công: Nguyên nhân đã được xác định chủ yếu do các phiên bản firmware dễ bị tấn công trên bộ định tuyến DrayTek. Cụ thể, các lỗ hổng bao gồm:
    • CVE-2024-51138: Kiểm soát bộ nhớ bị tràn trên máy chủ STUN TR069.
    • CVE-2024-51139: Tràn số nguyên trong CGI POST.
    • Các lỗ hổng khác: Một số lỗ hổng khác như CVE-2024-41335 (so sánh mật khẩu không nhất quán về thời gian), CVE-2024-41336 (lưu trữ mật khẩu không an toàn), và CVE-2024-41338 (trỏ NULL trong máy chủ DHCP) cũng đã được xác định là nguyên nhân góp phần.

Khuyến nghị

  • Cập nhật firmware: Người dùng được khuyến nghị cập nhật thiết bị của họ lên phiên bản firmware mới nhất có sẵn trên trang web chính thức của DrayTek.
  • Vô hiệu hóa truy cập từ xa: Khuyến nghị vô hiệu hóa truy cập từ xa, đặc biệt là SSLVPN/Remote Access, để giảm thiểu nguy cơ khai thác hơn nữa.
  • Chuyển sang bộ định tuyến khác: Nếu sự cố vẫn tiếp diễn sau khi cập nhật firmware, đề nghị chuyển sang bộ định tuyến của các nhà cung cấp khác.

Hướng dẫn cụ thể từ DrayTek

  • Ngắt cáp WAN: Ngắt cáp WAN và đăng nhập vào giao diện Web UI của bộ định tuyến để kiểm tra thời gian hoạt động. Nếu thời gian hoạt động thấp hơn lần khởi động gần nhất, điều này cho thấy bộ định tuyến đã khởi động lại gần đây.
  • Vô hiệu hóa Quản lý từ xa: Vô hiệu hóa Quản lý từ xa bằng cách vào [Bảo trì Hệ thống] > [Quản lý từ xa].
  • Vô hiệu hóa dịch vụ SSL VPN: Vô hiệu hóa dịch vụ SSL VPN bằng cách vào [VPN và Truy cập từ xa] > [Kiểm soát Truy cập từ xa].
  • Khởi động lại bộ định tuyến: Khởi động lại bộ định tuyến và kết nối lại cáp WAN. Giám sát kết nối xem liệu WAN có duy trì ổn định không.

Ảnh hưởng đến người dùng và doanh nghiệp

Sự cố đã ảnh hưởng đáng kể đến người dùng và doanh nghiệp, làm gián đoạn công việc và các hoạt động kinh doanh. Người dùng đã báo cáo về sự không ổn định của mạng và mất kết nối với camera IP.

Kết luận

Các vòng lặp khởi động mà bộ định tuyến DrayTek gặp phải trên toàn cầu chủ yếu do các lỗ hổng trong firmware. Cập nhật firmware mới nhất, vô hiệu hóa truy cập từ xa, và có thể chuyển sang các bộ định tuyến khác là những bước khuyến nghị để khôi phục kết nối và giảm thiểu các rủi ro tiếp theo.

Tags