Từ hồi tháng trước, công ty đã thấy số lượng các cuộc tấn công chiếm các trang web khách hàng từ Algeria tăng lên đáng kể so với giai đoạn trước đó. Theo phân tích mới nhất về hơn 10.000 tấn công địa chỉ IP thì hầu hết các tấn công này đều có liên quan tới công ty viễn thông Telecom Algeria.
Wordfence khẳng định, tin tặc khai thác lỗ hổng trên những bộ định tuyến mà Telecom Algeria đã cung cấp cho khách hàng, sau đó chúng lợi dụng những thiết bị đã bị tấn công để khởi chạy kiểu tấn công vét cạn (brute force attack) và các kiểu tấn công khác trên các trang WordPress.
Còn theo xác định của các nhà nghiên cứu, các bộ định tuyến bị khai thác là từ 27 nhà cung cấp dịch vụ Internet (ISP) khác trên thế giới, bao gồm cả Pakistan, Ấn Độ, Philippines, Thổ Nhĩ Kỳ, Ai Cập, Ma-rốc, Malaysia, Braxin, Indonesia, Serbia, Ả Rập Saudi, Nga, Romania, Sri Lanka, Croatia và Italy. Các bộ định tuyến của hơn 10 nhà cung cấp dịch vụ Internet này bị tin tặc khai thác qua cổng 7547, một cổng được các công ty sử dụng để quản lý thiết bị khách hàng của họ và đang chạy một phiên bản máy chủ web AllegroSoft RomPager.
Các phiên bản AllegroSoft RomPager trước 4.34 đều bị ảnh hưởng bởi lỗ hổng quan trọng là CVE-2014 - 9222 và được đặt tên "Misfortune Cookie" - có thể bị khai thác để tấn công các thiết bị do Huawei, Edimax, D-Link, TP-Link, ZTE, ZyXEL và các nhà cung cấp khác sản xuất. Trong lần đầu tiên tiết lộ về lỗ hổng này vào tháng 12/2014, các nhà nghiên cứu đã cảnh báo rằng có ít nhất 12 triệu router có chứa lỗ hổng tại các quốc gia trên khắp thế giới.
Theo Wordfence, 14 trong số 28 nhà cung cấp dịch vụ Internet cung cấp các router dễ bị tấn qua lỗ hổng Misfortune Cookie. Các nhà nghiên cứu cũng chỉ ra một lỗ hổng khác, được tiết lộ hồi năm ngoái, có thể bị khai thác để chiếm các thiết bị định tuyến gia đình sử dụng cổng 7547.
Theo báo cáo của công ty, trong vòng 3 ngày, có 6,7% các cuộc tấn công nhắm vào các trang web WordPress đến từ các thiết bị định tuyến gia đình có cổng 7547 mở. Trong tháng vừa qua, Wordfence đã thấy hơn 90.000 địa chỉ IP thống nhất của 28 nhà cung cấp dịch vụ Internet có liên quan đến các router bị tổn hại. Các chuyên gia cho biết hầu hết các địa chỉ IP đã tạo ra gần 1.000 cuộc tấn công trong suốt 48 giờ.
Hiện này Wordfence đã tạo ra một công cụ trực tuyến đơn giản có thể sử dụng để kiểm tra xem một router có cổng 7547 có mở hay không.