Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát đi một cảnh báo khẩn cấp về một lỗ hổng CVE nghiêm trọng được phát hiện trong một số thiết bị TP-Link. Lỗ hổng này, được định danh là CVE-2020-24363, cho phép kẻ tấn công trong cùng phân đoạn mạng kiểm soát thiết bị mà không cần bất kỳ thông tin xác thực nào. CISA đặc biệt lưu ý rằng điểm yếu này đã và đang bị các tác nhân độc hại khai thác zero-day trong các cuộc tấn công thực tế.

CVE-2020-24363: Lỗ hổng Thiếu Xác thực trên Thiết bị TP-Link

Cụ thể, lỗ hổng CVE-2020-24363 ảnh hưởng đến các thiết bị dòng TP-Link TL-WA855RE. Vấn đề cốt lõi nằm ở việc thiếu cơ chế xác thực cho một chức năng vốn rất nhạy cảm: khôi phục cài đặt gốc (factory reset). Chức năng này, khi không được bảo vệ đúng cách, trở thành một cửa hậu cho phép truy cập trái phép.

Thiết bị TP-Link TL-WA855RE không thực hiện bất kỳ kiểm tra tính hợp lệ hay quyền hạn nào đối với nguồn gốc của yêu cầu gửi lệnh khôi phục cài đặt gốc. Điều này bỏ qua một lớp bảo mật cơ bản, vốn được thiết kế để ngăn chặn các hoạt động quản trị quan trọng từ các nguồn không đáng tin cậy.

Cơ chế Khai thác Chiếm Quyền và Tác động Ngay lập tức

Kẻ tấn công, khi có mặt trên cùng mạng nội bộ, có thể lợi dụng lỗ hổng CVE này bằng cách gửi một gói tin hoặc yêu cầu đặc biệt. Yêu cầu này được thiết kế để kích hoạt quá trình khởi động lại thiết bị và khôi phục nó về cấu hình mặc định của nhà sản xuất.

Sau khi thiết bị hoàn thành quá trình khôi phục cài đặt gốc, tất cả các cấu hình tùy chỉnh, bao gồm cả mật khẩu quản trị viên hiện có, đều bị xóa. Kẻ tấn công sau đó có thể dễ dàng thiết lập một mật khẩu quản trị viên mới, giành quyền kiểm soát hoàn toàn thiết bị và loại bỏ quyền truy cập của chủ sở hữu hợp pháp.

Một khi đã chiếm quyền điều khiển, kẻ tấn công có thể thực hiện một loạt các hành vi độc hại với tầm ảnh hưởng rộng lớn:

• Thay đổi Cấu hình Mạng: Điều chỉnh cài đặt DNS, định tuyến, hoặc các quy tắc tường lửa, có thể chuyển hướng lưu lượng hoặc tạo các điểm truy cập trái phép.
• Giám sát Lưu lượng: Sử dụng thiết bị đã bị chiếm quyền làm điểm trung gian để chặn và giám sát tất cả lưu lượng dữ liệu đi qua nó, dẫn đến nguy cơ rò rỉ thông tin nhạy cảm.
• Gây Gián đoạn Dịch vụ: Tắt thiết bị, thay đổi cài đặt kết nối internet, hoặc làm quá tải thiết bị, dẫn đến sự gián đoạn nghiêm trọng cho hoạt động mạng và các dịch vụ phụ thuộc.
• Làm bàn đạp cho các cuộc tấn công khác: Thiết bị bị chiếm quyền có thể được sử dụng làm điểm xuất phát cho các cuộc tấn công sâu hơn vào mạng nội bộ hoặc ra bên ngoài.

Mức độ Nghiêm trọng: Khai thác Zero-day và Thách thức EoL

Việc CISA dán nhãn lỗ hổng CVE-2020-24363 là đang bị khai thác zero-day trong thực tế là một cảnh báo nghiêm trọng. Điều này có nghĩa là các cuộc tấn công không chỉ là lý thuyết mà đã và đang diễn ra, đòi hỏi phản ứng khẩn cấp từ các tổ chức và người dùng.

Sự nguy hiểm của lỗ hổng CVE này càng tăng lên khi nhiều thiết bị TP-Link TL-WA855RE bị ảnh hưởng đã đạt đến giai đoạn cuối vòng đời sản phẩm (End-of-Life – EoL) hoặc không còn được nhà sản xuất hỗ trợ. Đối với các thiết bị EoL, TP-Link sẽ không phát hành thêm bất kỳ bản vá bảo mật nào, kể cả cho các lỗ hổng đã biết.

Thách thức này đặt các tổ chức và cá nhân sử dụng thiết bị cũ vào tình thế rủi ro cao. Việc thiếu các bản cập nhật bảo mật khiến việc vá lỗi trở nên bất khả thi, biến các thiết bị này thành điểm yếu cố hữu trong hạ tầng an ninh mạng.

Chiến lược Bảo vệ và Nâng cao An ninh Mạng

Để bảo vệ hệ thống khỏi lỗ hổng CVE-2020-24363 và các mối đe dọa tương tự, CISA khuyến nghị thực hiện các bước cụ thể và khẩn cấp:

Đánh giá và Xác định Thiết bị Rủi ro

• Quét Mạng Nội Bộ: Quản trị viên mạng phải chủ động quét toàn bộ mạng để phát hiện tất cả các thiết bị TP-Link TL-WA855RE đang hoạt động. Việc này đòi hỏi công cụ quản lý tài sản mạng hiệu quả.
• Kiểm tra Phiên bản Firmware: Sau khi xác định được thiết bị, cần kiểm tra kỹ lưỡng phiên bản firmware hiện tại. So sánh với các thông báo bảo mật chính thức của TP-Link hoặc CISA để biết thiết bị có bị ảnh hưởng hay không.

Chiến lược Cập nhật và Thay thế

• Cập nhật Firmware Khẩn cấp: Nếu có bản cập nhật firmware được TP-Link cung cấp để khắc phục lỗ hổng CVE này, hãy ưu tiên cài đặt nó ngay lập tức. Đảm bảo rằng quy trình cập nhật được thực hiện theo hướng dẫn của nhà sản xuất.
• Thay thế Thiết bị EoL: Đối với các thiết bị đã đạt trạng thái EoL hoặc không còn nhận được hỗ trợ, lựa chọn an toàn nhất là thay thế chúng. Việc duy trì các thiết bị không được vá lỗi sẽ tạo ra một điểm yếu cố định trong hệ thống an ninh mạng.
• Lựa chọn Thiết bị An toàn: Khi thay thế, ưu tiên các mẫu thiết bị hiện đại từ các nhà cung cấp uy tín, được hỗ trợ liên tục, và tuân thủ các nguyên tắc thiết kế bảo mật từ giai đoạn đầu. Điều này bao gồm khả năng nhận các bản vá bảo mật thường xuyên và các tính năng bảo mật tích hợp.

Các hành động trên không chỉ giúp giảm thiểu rủi ro từ lỗ hổng CVE-2020-24363 mà còn là nền tảng để xây dựng một hệ thống an ninh mạng mạnh mẽ hơn. CISA thường xuyên cập nhật danh mục các lỗ hổng đã bị khai thác (Known Exploited Vulnerabilities – KEV) để cung cấp thông tin kịp thời về các mối đe dọa cần ưu tiên. Danh mục CISA KEV là một nguồn tài nguyên không thể thiếu cho các chuyên gia và quản trị viên an ninh mạng.

Thực hành kiểm tra định kỳ phần cứng và firmware của tất cả các thiết bị trong mạng là vô cùng quan trọng. Đây là một phần không thể thiếu của chiến lược bảo mật chủ động, giúp phát hiện và khắc phục các lỗ hổng CVE tiềm ẩn trước khi chúng bị các tác nhân độc hại lợi dụng. Duy trì một tư thế an ninh mạng mạnh mẽ đòi hỏi sự cảnh giác liên tục và hành động kịp thời.