เราเตอร์ D-Link ตกเป็นเป้าโจมตีของมัลแวร์ตัวใหม่ Goldoon Botnet โดยใช้ช่องโหว่ CVE-2015-2051 (คะแนน 9.8) ซึ่งเป็นช่องโหว่เก่าที่มีอายุเกือบ 10 ปี ส่งผลให้ผู้ไม่ประสงค์ดีสามารถรันคำสั่งจากระยะไกลได้ เนื่องจากใช้คำขอ HTTP แบบพิเศษที่ถูกสร้างขึ้น
การโจมตีเริ่มจากการเข้าถึงผ่านช่องโหว่เพื่อดึง Dropper Script จากเซิร์ฟเวอร์ระยะไกล โดยมีหน้าที่ในการดาวน์โหลด Payload ขั้นถัดไปบนระบบของ Linux รวมถึง aarch64, arm, i686, m68k, mips64 , mipsel, powerpc, s390x, sparc64, x86-64, sh4, riscv64, DEC Alpha และ PA-RISC ต่อมา Payload จะถูกเปิดใช้งานบนอุปกรณ์ที่ถูกเข้าถึงและดาวน์โหลดมัลแวร์ Goldoon จากนั้น Dropper จะลบไฟล์ที่ใช้ดำเนินการแล้วทำการลบตัวเองเพื่อเลี่ยงการตรวจจับ
นอกจากนี้ยังสร้างการติดต่อกับเซิร์ฟเวอร์คำสั่งและการควบคุม (C2) เพื่อรอคำสั่งในการดำเนินการต่างๆโดยใช้วิธีการที่แตกต่างกัน เพื่อดึงการโจมตี DDoS Flood ผ่านโปรโตคอลต่างๆ เช่น DNS, HTTP, ICMP, TCP และ UDP
คำแนะนำ
-อัปเดตแพทช์เป็นประจำและอัปเดตให้เป็นแพทช์ล่าสุด
-ใช้โซลูชัน Network Monitoring เพื่อตรวจจับการรับ-ส่งข้อมูลที่ผิดปกติ
-จำกัดการเชื่อมต่อจากเราเตอร์ไปยังอินเตอร์เน็ต หากไม่จำเป็น
Ref: https://thehackernews.com/2024/05/new-goldoon-botnet-targets-d-link.html