Inv1cta team và “bộ sưu tập” hàng chục CVE

Ngày 26.10.2021, Inv1cta team (Team 3) của Trung tâm HSE đã nhận được khen thưởng từ Ban lãnh đạo Công ty cho thành tích phát hiện hơn 20 lỗ hổng bảo mật trên các ứng dụng như CMS, FTP,… đã được MITRE công nhận CVEs. Trong đó, có 10 lỗ hổng mức độ rủi ro Cao/Nghiêm Trọng (CVSS Scoring hơn 8.x trên thang điểm 10). Đây là tiêu chí mà HSE đặt ra để định lượng, đánh giá một CVE.

Mỗi CVE ID tương ứng với một lỗ hổng bảo mật trên các ứng dụng/ phần mềm của các hãng công nghệ,  các ứng dụng/ nền tảng xây dựng trên mã mở, … Hiểu nôm na, nhân sự HPT là những người đầu tiên trên thế giới phát hiện ra các lỗ hổng này đối với ứng dụng cụ thể được đánh giá – sau khi được tổ chức quốc tế MITRE xác nhận là lần đầu tiên được phát hiện thì lỗ hổng sẽ được cấp một mã định danh duy nhất gắn với tác giả hoặc tổ chức phát hiện ra – đăng ký theo HPT Cybersecurity Center (HSE). Với hơn 20 CVE vừa được phát hiện, các thành viên Inv1cta team đã đóng góp thêm cho người dùng thông tin về các lỗ hổng xuất hiện khi truyền một lượng lớn dữ liệu vào làm vượt quá khả năng lưu trữ của bộ nhớ dẫn đến bị tràn dữ liệu, các lỗ hổng xuất hiện khi hacker có thể chèn các đoạn mã truy vấn SQL vào chương trình. Việc này có ý nghĩa giúp đóng góp thêm vào danh sách thống kê hỗ lổng được phát hiện của các sản phẩm trên toàn thế giới trong 1 năm.

Các thành viên của Inv1cta team (Team 3) gồm có:

  • Anh Nguyễn Lê Quốc Anh – TBP. R&D và Phát triển nguồn lực
  • Anh Nguyễn Anh Kiệt và anh Võ Văn Minh – Kỹ sư Dịch vụ An toàn thông tin, Phòng Dịch vụ An toàn thông tin

Trong hơn 20 CVE mà team 3 phát hiện được, anh Nguyễn Anh Kiệt đã sở hữu đến 17 CVE – một con số ấn tượng. Tìm hiểu kỹ hơn thì ra nguyên do là anh đã dành trọn thời gian rảnh khi giãn cách xã hội để săn tìm CVE cho HSE. Anh chia sẻ rằng khi biết HSE cần CVE để chứng minh năng lực cạnh tranh trong mảng ATTT và để bổ sung thông tin cho thầu nên anh đã miệt mài truy tìm CVE. Vì đặc thù trong mảng dịch vụ ATTT không chỉ cạnh tranh nhau về chứng chỉ mà còn cạnh tranh về năng lực phát hiện lỗ hổng bảo mật của các sản phẩm công nghệ. Khi bắt đầu anh Kiệt NA chỉ săn tìm CVE trong thời gian rảnh nhưng hiện nay việc này đã trở thành công việc thường xuyên của anh với hy vọng sẽ săn tìm thêm ngày càng nhiều lỗ hổng bảo mật của các sản phẩm của các ông lớn về công nghệ như Microsoft, Oracle… để đóng góp được nhiều nhất cho cộng đồng.

Anh Nguyễn Quốc Anh – người khởi xướng việc săn tìm CVE – giải thích thêm rằng để cạnh tranh về năng lực trong ngành dịch vụ ATTT thì số lượng CVE tìm được, mức độ nghiêm trọng của CVE tìm được là yếu tố định lượng để so sánh năng lực của chuyên gia ATTT hay năng lực của đơn vị cung cấp dịch vụ ATTT. Anh nhận định là một trong những chìa khóa mang lại lợi thế cạnh tranh cho HSE trước các đối thủ khác. Ví dụ khi chào thầu, nhà thầu yêu cầu các bên chào thầu phải đáp ứng được vấn đề phải có năng lực trong việc tìm ra các lỗ hổng bảo mật. Và CVE chính là yếu tố có thể mang ra định lượng và chứng minh năng lực đó: So sánh bên nào nhiều CVE hơn, CVE nào có mức độ nghiêm trọng cao hơn, CVE nào trên các sản phẩm của các hãng lớn hơn, vì hãng càng lớn thì sẽ càng khó tìm ra lỗ hổng bảo mật. CVE đã trở thành một trong những yêu cầu bắt buộc trong việc đáp ứng điều kiện tham gia đấu thầu.

Theo đánh giá khiêm tốn của Inv1cta team thì HSE mới chỉ đang ở mức đủ lợi thế cạnh tranh với các nhà cung cấp dịch vụ ATTT khác. Tuy nhiên với quyết tâm cố gắng nhiều hơn nữa để gia tăng chất lượng (mức độ nguy hiểm của lỗ hổng, số lượng CVE, các lỗ hổng trên các sản phẩm lớn) trên từng CVE khác tìm được trong tương lai, tin tưởng rằng HSE ngày càng gia tăng vị thế cạnh tranh trên thị trường mảng ATTT, bên cạnh các chứng chỉ và bằng khen danh giá mà HSE đã gặt hái được vừa qua.

Thông tin về CVE

CVE là cụm từ viết tắt của Common Vulnerabilities and Exposures, tạm dịch là Những lỗ hổng và rủi ro đã được công bố. Đây là chương trình được tạo ra bởi cộng đồng MITRE vào năm 1999, với mục tiêu là định danh và phân loại các lỗ hổng thường thấy có trên cả phần cứng lẫn phần mềm của máy tính.

Cơ sở dữ liệu của CVE được xây dựng tổng hợp từ các nguồn thông tin lỗ hổng liên quan đến các vụ tấn công an ninh như đọc dữ liệu của người dùng (mã thẻ ngân hàng, địa chỉ, điện thoại), chiếm quyền điều khiển hệ thống mục tiêu,… thường tập trung vào phần mềm, có thể là thương mại hoặc nguồn mở.

Mỗi dữ liệu được lưu trên cơ sở dữ liệu của CVE sẽ được gắn với một CVE ID nhất định. Các thông tin truy xuất từ CVE ID thì khá ngắn gọn, và cũng không chứa thông tin về kỹ thuật, hay là rủi ro về kỹ thuật cho người dùng biết.

Tuy nhiên, CVE ID có cung cấp đường dẫn đến các cơ sở dữ liệu khác đáng tin cậy có chứa đầy đủ thông tin. Vậy có thể hiểu cơ sở CVE như là người trung gian thực hiện nhiệm vụ sắp xếp và kiểm duyệt thông tin cho người dùng.