Lỗ hổng nghiêm trọng trong router D-Link cho phép chiếm quyền điều khiển từ xa

Các nhà nghiên cứu bảo mật vừa công bố một lỗ hổng nghiêm trọng định danh CVE-2025-46176 trong hai mẫu router phổ biến của D-Link, có thể khiến hàng triệu thiết bị gia đình và doanh nghiệp bị tin tặc chiếm quyền điều khiển từ xa.

Cụ thể, lỗ hổng nghiêm trọng CVE-2025-46176 có điểm CVSS 9.8 trong các mẫu router D-Link phổ biến, cho phép kẻ tấn công từ xa truy cập trái phép và thực thi lệnh hệ thống thông qua tài khoản Telnet được mã hóa cứng trong firmware.

Lỗ hổng xuất phát từ việc sử dụng tài khoản Telnet mặc định với thông tin xác thực được mã hóa cứng trong firmware. Kẻ tấn công có thể sử dụng các công cụ phân tích firmware như binwalk để trích xuất hệ thống tệp và tìm ra thông tin xác thực này, từ đó truy cập trái phép vào thiết bị.

Qua phân tích firmware hệ thống bằng công cụ binwalk, các nhà nghiên cứu đã phát hiện tập tin telnetd.sh khởi tạo dịch vụ Telnet một cách tự động và cấu hình một tài khoản có tên “Alphanetworks” với mật khẩu được lấy từ biến $image_sign.

Đáng lo ngại, mật khẩu này được lưu cố định trong tập tin image_sign nằm tại ./etc/alpha_config/image_sign và giống nhau trên tất cả thiết bị cùng dòng và phiên bản firmware. Điều này đồng nghĩa chỉ cần biết thông tin từ một thiết bị, kẻ tấn công có thể truy cập hàng triệu router khác có cùng lỗ hổng.

Nếu đăng nhập được qua Telnet, kẻ tấn công có thể thực thi lệnh hệ thống với đặc quyền root, từ đó chiếm quyền điều khiển router và toàn bộ lưu lượng mạng đi qua thiết bị.

Router bị khai thác có thể bị dùng cho các mục đích độc hại như: Giám sát hoặc đánh cắp dữ liệu mạng; Tấn công mạng nội bộ (lateral movement); Tuyển dụng vào botnet để phát tán mã độc hoặc DdoS; Cài cắm phần mềm gián điệp vào thiết bị khác trong mạng.

Thiết bị bị ảnh hưởng bao gồm D-Link DIR-605L phiên bản firmware 2.13B01 và D-Link DIR-816L phiên bản firmware 2.06B01. Cả hai dòng sản phẩm này được phân phối rộng rãi tại nhiều quốc gia, bao gồm cả Việt Nam và chủ yếu dùng trong hộ gia đình và doanh nghiệp các doanh nghiệp có quy mô hoạt động vừa và nhỏ nơi bảo mật thường bị xem nhẹ.

Các chuyên gia khuyến cáo người dùng cần kiểm tra và cập nhật firmware mới nhất từ D-Link (nếu có). Vô hiệu hóa dịch vụ Telnet nếu không cần sử dụng cho mục đích quản trị mạng. Thực hiện quét hạ tầng mạng để xác định các router dễ bị tổn thương. Xem xét thay thế thiết bị nếu nhà sản xuất không còn hỗ trợ cập nhật.