Hàng loạt router DrayTek dòng Vigor 2925, 2926 và 2927 tại Việt Nam gặp sự cố mất kết nối WAN từ sáng 23.3, nguyên nhân ban đầu được xác định là do thiết bị bị khai thác lỗ hổng bảo mật trên firmware cũ.
Từ sáng ngày 23.3, nhiều người dùng trên các nhóm Facebook tại Việt Nam cho biết thiết bị router DrayTek Vigor 2925, 2926 và 2927 đang gặp tình trạng mất kết nối internet nghiêm trọng. Hiện tượng phổ biến được ghi nhận là router không cấp được IP WAN, khiến mạng chập chờn, kết nối bị gián đoạn. Đáng chú ý, các doanh nghiệp sử dụng router này làm thiết bị chính cũng bị ảnh hưởng, làm gián đoạn các hoạt động kinh doanh.
Trước đó, vào ngày 7.3, trang Cybersecuritynews đã cảnh báo về loạt lỗ hổng bảo mật nghiêm trọng trong router DrayTek dòng Vigor 2925, 2926 và 2927. Các lỗ hổng này bao gồm lỗi tràn bộ đệm (CVE-2024-51138), tràn số nguyên (CVE-2024-51139) trong xử lý URL, lỗ hổng xác thực cho phép đánh cắp mật khẩu (CVE-2024-41335 và CVE-2024-41336), và đặc biệt là CVE-2024-41339 – lỗi cấu hình CGI cho phép tải lên module kernel độc hại để chiếm quyền quản trị (root).
Anh T.N, một người dùng mạng FPT, cho biết: “Tôi dùng router DrayTek Vigor 2925 hơn 5 năm, trước đây rất ổn định. Nhưng từ sáng 23.3, camera IP trong nhà liên tục báo mất kết nối. Khi kiểm tra, router liên tục reset, uptime tối đa chỉ khoảng một giờ rồi ngắt.”
Một kỹ thuật viên mạng chia sẻ, sự cố được ghi nhận trên cả ba nhà mạng lớn gồm FPT, VNPT và Viettel. Nguyên nhân nghi do các router đang sử dụng phiên bản firmware cũ (đặc biệt là v3.8.3) bị khai thác lỗ hổng bởi tin tặc.
Hướng dẫn xử lý khẩn cấp được đưa ra cho người dùng DrayTek là nhanh chóng cập nhật lên phiên bản firmware mới nhất v3.8.4 từ trang chính thức (http://fw.draytek.com.tw), đồng thời thay đổi mật khẩu quản trị router bằng một mật khẩu mạnh, không sử dụng mật khẩu mặc định.
Hiện chưa có thông báo chính thức từ DrayTek về sự cố này, nhưng các chuyên gia an ninh mạng khuyến cáo người dùng nhanh chóng cập nhật để tránh bị khai thác và gây ảnh hưởng nghiêm trọng hơn.
