Tin tức An toàn thông tin tuần 48, năm 2022 (28/11-4/12)

08/12/2022 04:31 PM


  1. Tin tức trong nước
  1. BHXH Việt Nam và Đại học Waikato tổ chức Khóa bồi dưỡng an toàn thông tin mạng

     Sáng 28/11, BHXH Việt Nam phối hợp với Đại học Wakaito (New Zealand) khai mạc Khoá bồi dưỡng an toàn thông tin mạng (diễn ra từ ngày 28/11 đến ngày 2/12/2022). Phó Tổng Giám đốc Chu Mạnh Sinh dự và phát biểu khai mạc Khoá bồi dưỡng.

Tham dự Khoá bồi dưỡng có 40 học viên thuộc Đội ứng cứu của ngành BHXH Việt Nam tại Trụ sở BHXH Việt Nam và tại các điểm cầu của 24 tỉnh, thành phố trực thuộc Trung ương. Tại điểm cầu Đại học Wakaito (New Zealand) có PGS-TS.Stuart Dillon và giảng viên, chuyên gia công nghệ Đại học Waikato.

Khoá bồi dưỡng được tổ chức nhằm góp phần hỗ trợ, nâng cao năng lực cho các cán bộ phụ trách CNTT của BHXH Việt Nam. Qua đó, tăng cường hiểu biết về an ninh mạng và khả năng bảo vệ mạng, hệ thống chương trình và dữ liệu bởi những tấn công hoặc truy cập không mong muốn.

Phát biểu khai mạc Khoá bồi dưỡng, Phó Tổng Giám đốc Chu Mạnh Sinh nhấn mạnh, đồng hành với việc triển khai ứng dụng CNTT, xây dựng và quản lý CSDL quốc gia, triển khai các dịch vụ trực tuyến, việc bảo vệ thông tin và các hệ thống thông tin tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin là những vấn đề đặc biệt quan trọng.

  1. BHXH Việt Nam đẩy mạnh các hoạt động ứng cứu sự cố an toàn thông tin mạng

BHXH Việt Nam vừa ban hành Công văn số 3608/BHXH-CNTT gửi các đơn vị trong toàn Ngành về việc đẩy mạnh triển khai các hoạt động ứng cứu sự cố an toàn thông tin mạng.

Theo đó, thực hiện Chỉ thị số 18/CT-TTg ngày 13/10/2022 của Thủ tướng Chính phủ về việc đẩy mạnh triển khai các hoạt động ứng cứu sự cố an toàn thông tin mạng Việt Nam và để tăng cường hiệu lực, hiệu quả hoạt động ứng cứu sự cố an toàn thông tin mạng ngành BHXH Việt Nam, đáp ứng được yêu cầu ứng phó chủ động từ sớm, xử lý kịp thời, hiệu quả các cuộc tấn công mạng, BHXH Việt Nam yêu cầu các đơn vị triển khai một số nội dung sau:

Thứ 1. Quán triệt nguyên tắc “Ứng cứu sự cố an toàn thông tin mạng là hoạt động quan trọng nhằm phát hiện, ngăn chặn, xử lý và khắc phục kịp thời sự cố an toàn thông tin mạng”, Thủ trưởng các đơn vị chịu trách nhiệm trước Tổng Giám đốc BHXH Việt Nam nếu lơ là trong công tác ứng cứu sự cố an toàn thông tin mạng, để xảy ra hậu quả, thiệt hại nghiêm trọng tại đơn vị.

Thứ 2. Hoạt động ứng cứu sự cố an toàn thông tin mạng phải chuyển từ bị động sang chủ động, bao gồm: chủ động thực hiện săn lùng mối nguy hại và rà quét lỗ hổng trên các hệ thống thông tin trong phạm vi quản lý tối thiểu 01 lần/6 tháng.

Thứ 3. Nghiêm túc thực hiện rà soát, phát hiện và khắc phục các lỗ hổng, điểm yếu theo cảnh báo của BHXH Việt Nam (Trung tâm Công nghệ thông tin (CNTT)) và của các cơ quan chức năng; chủ động theo dõi, phát hiện sớm các nguy cơ mất an toàn thông tin mạng để kịp thời xử lý, khắc phục và thực hiện các quy định về báo cáo sự cố an toàn thông tin mạng; đẩy mạnh tuyên truyền cho người dùng cuối để nâng cao ý thức cảnh giác đối với các cuộc tấn công mạng.

Thứ 4. Hoạt động bảo đảm an toàn thông tin mạng ngành BHXH Việt Nam và thông tin liên quan đến hoạt động ứng cứu sự cố, về các nguy cơ mất an toàn thông tin mạng được cập nhật và chia sẻ cho các đơn vị tại chuyên mục “Hoạt động ứng cứu sự cố ATTT mạng” trên Cổng Thông tin điện tử BHXH Việt Nam (https://baohiemxahoi.gov.vn/tintuc/Pages/hoat-dong-ung-cuu-attt-mang.aspx).

Thứ 5. Bộ phận phụ trách công tác an toàn thông tin mạng của các đơn vị thực hiện các nhiệm vụ thường xuyên: làm đầu mối tiếp nhận, quản lý sự cố; ứng cứu, xử lý sự cố và săn lùng mối nguy hại; nghiên cứu, theo dõi các nguy cơ tấn công mạng, thông tin về lỗ hổng, điểm yếu; luyện tập các kỹ năng bảo vệ hệ thống thông tin và tham gia các chương trình huấn luyện, diễn tập do BHXH Việt Nam tổ chức.

Thứ 6. Giao Trung tâm CNTT phân công nhiệm vụ cho các thành viên Đội ứng cứu sự cố, bảo đảm an toàn thông tin mạng ngành BHXH Việt Nam theo hướng dẫn tổ chức, hoạt động của Đội Ứng cứu sự cố an toàn thông tin mạng tại Công văn số 4258/BTTTT-CATTT ngày 26/10/2021 của Bộ Thông tin và Truyền thông; tổ chức diễn tập thực chiến tối thiểu 01 lần/năm đối với hệ thống thông tin cấp độ 3 trở lên nhằm đánh giá khả năng phòng ngừa xâm nhập và khả năng phát hiện kịp thời các điểm yếu về quy trình, công nghệ, con người.

BHXH Việt Nam yêu cầu các đơn vị nghiêm túc thực hiện. Trong quá trình thực hiện nếu có vướng mắc đề nghị phản ánh kịp thời về BHXH Việt Nam (qua Trung tâm CNTT) để được hỗ trợ, xử lý./.

  1. Tin nước ngoài
  1. Elon Musk xác nhận Twitter 2.0 sẽ được triển khai mã hóa E2E cho các tin nhắn trực tiếp

Giám đốc điều hành Twitter, Elon Musk, đã xác nhận về kế hoạch triển khai mã hóa đầu cuối (E2EE) cho các tin nhắn trực tiếp trên nền tảng này.

Theo thông tin chia sẻ từ Musk vào cuối tuần trước, tính năng này là một phần trong dự định của Musk đối với Twitter 2.0, các dự định khác bao gồm Tweets dạng “longform” và tính năng thanh toán.

Kế hoạch mã hóa tin nhắn của công ty mới được tiết lộ lần đầu tiên vào giữa tháng 11 này. Nhiều nền tảng nhắn tin khác như Signal, Threema, WhatsApp, iMessage, Wire, Tox và Keybase đã hỗ trợ mã hóa cho tin nhắn.

Google, trước đây đã bật E2EE cho các cuộc trò chuyện trực tiếp (one-to-one chats) trong ứng dụng Tin nhắn dựa trên RCS dành cho Android, hiện đang thử nghiệm tùy chọn tương tự cho các cuộc trò chuyện nhóm (group chat). Facebook cũng đã bắt đầu kích hoạt E2EE theo mặc định  trên Messenger cho những người dùng trong nhóm thử nghiệm vào tháng 8 năm nay.

Musk cho biết thêm rằng số lượng người dùng đăng ký của nền tảng đang ở mức cao nhất từ trước đến nay với trung bình hơn hai triệu lượt đăng ký mỗi ngày trong vòng bảy ngày kể từ ngày 16 tháng 11, tăng 66% so với cùng tuần đó năm 2021 và Twitter hiện có hơn 253,8 triệu người dùng hoạt động hàng ngày.

Musk cũng tiết lộ rằng các vụ mạo danh được báo cáo trên dịch vụ đã tăng đột biến vào đầu tháng này, ngay trước và sau khi ra mắt lại dịch vụ đăng ký nâng cao Twitter Blue.

Cấp đăng ký mới (new subscription tier) dự kiến ​​sẽ được triển khai sớm nhất là vào ngày 2 tháng 12 năm 2022, với hệ thống xác minh ‘nhiều màu’ để cung cấp cho từng nhóm đối tượng, với huy hiệu vàng cho các công ty, màu xám cho chính phủ và màu xanh lam cho các tài khoản cá nhân.

  1. Lastpass xác nhận đã bị tin tặc xâm phạm vào dữ liệu của khách hàng

LastPass cho biết những kẻ tấn công chưa xác định đã xâm phạm bộ nhớ cloud của họ bằng cách sử dụng thông tin đánh cắp được trong một sự cố bảo mật trước đó từ tháng 8 năm 2022.

Công ty cho biết thêm rằng các tác nhân đe dọa đã truy cập được vào dữ liệu khách hàng được lưu trong dịch vụ lưu trữ bị xâm nhập.

"Gần đây, chúng tôi đã phát hiện hoạt động bất thường trong dịch vụ lưu trữ cloud của bên thứ ba, dịch vụ này hiện đang được chia sẻ bởi cả LastPass và công ty liên kết, GoTo".

"Chúng tôi đã xác định rằng một bên trái phép, sử dụng thông tin thu được trong một sự cố xảy ra vào tháng 8 năm nay, đã có thể truy cập vào một số thông tin khách hàng của chúng tôi."

LastPass là một trong những phần mềm quản lý mật khẩu phổ biến nhất đang được sử dụng bởi hơn 33 triệu người và 100.000 doanh nghiệp.

Sau khi phát hiện bất thường, Lastpass đã thuê công ty bảo mật Mandiant để điều tra vụ việc và đã thông báo cho cơ quan thực thi pháp luật về vụ tấn công.

Công ty cũng lưu ý rằng mật khẩu của khách hàng không bị xâm phạm và "vẫn được mã hóa an toàn nhờ kiến ​​trúc Zero Knowledge của LastPass."

“Chúng tôi đang nỗ lực làm việc để hiểu rõ phạm vi của vụ việc và xác định thông tin cụ thể nào đã bị truy cập”.

Đây là sự cố bảo mật thứ hai được Lastpass tiết lộ trong năm nay sau khi công ty xác nhận vào tháng 8 rằng môi trường dành cho nhà phát triển của họ đã bị xâm phạm thông qua một tài khoản nhà phát triển bị xâm nhập.

Trong email gửi cho khách hàng vào thời điểm đó, Lastpass xác nhận rằng những kẻ tấn công đã đánh cắp mã nguồn và thông tin kỹ thuật độc quyền từ hệ thống của họ.

Trong một bản tin cập nhật tiếp theo, công ty cho biết những kẻ tấn công đứng đằng sau vụ vi phạm bảo mật tháng 8 đã giành được quyền truy cập nội bộ vào hệ thống của Lastpass trong vòng 4 ngày cho đến khi chúng bị loại bỏ.

  1. Tin tặc lợi dụng trend thịnh hành trên TikTok để phát tán phần mềm độc hại

Theo một nghiên cứu mới từ Checkmarx, tin tặc đang lợi dụng một thử thách phổ biến trên TikTok để lừa người dùng tải xuống phần mềm độc hại đánh cắp thông tin.

Thử thách có tên là ‘Thử thách vô hình’ (Invisible Challenge), liên quan đến việc người quay thử thách sử dụng hiệu ứng Invisible Body để chỉ tạo ra hình ảnh đường viền mờ của cơ thể.

Nhưng việc những người quay thử thách có thể không mặc quần áo đã dẫn đến một âm mưu xấu, trong đó những kẻ tấn công đăng video TikTok có liên kết đến một phần mềm giả mạo có tên là "unfilter" có thể cho phép xóa các hiệu ứng đã sử dụng.

Nhà nghiên cứu Guy Nachshon của Checkmarx cho biết phần mềm 'unfilter' được thiết kế để triển khai mã độc WASP được dấu bên trong các package Python độc hại. WASP (hay W4SP Stealer) là một phần mềm độc hại dùng để đánh cắp mật khẩu, tài khoản Discord, ví tiền điện tử và các thông tin nhạy cảm khác của người dùng.

Các video TikTok do kẻ tấn công đăng vào ngày 11 tháng 11 năm 2022 đã đạt hơn một triệu lượt xem chỉ sau vài ngày. Các tài khoản đăng video này hiện đã bị cấm.

Trong các video còn có link mời đến một máy chủ Discord do kẻ tấn công quản lý với gần 32.000 thành viên trước khi nó bị phát hiện và xóa bỏ. Các nạn nhân tham gia máy chủ Discord sau đó sẽ nhận được liên kết đến kho lưu trữ phần mềm độc hại trên GitHub.

Kẻ tấn công đã đổi tên dự án thành "Nitro-generator" từ ngày 27 tháng 11 năm 2022, sau khi nó lọt vào danh sách kho lưu trữ phổ biến (Trending repositories list) của GitHub  bằng cách thao túng các thành viên trên Discord đánh dấu sao cho dự án.

Bên cạnh việc đổi tên kho lưu trữ, tin tặc đã xóa các tệp cũ trong dự án và tải lên các tệp mới, và mô tả tệp Python được cập nhật là "một mã nguồn mở, không phải **VIRUS**".

Phần mềm đánh cắp thông tin được cho là đã được thêm vào trong nhiều package Python khác nhau, như "tiktok-filter-api", "pyshftuler", "pyiopc" và "pydesings".

Nachshon lưu ý rằng "mức độ thao túng được sử dụng trong cuộc tấn công chuỗi cung ứng phần mềm đang gia tăng khi những kẻ tấn công ngày càng trở nên tinh vi". "Những cuộc tấn công cũng cho thấy những kẻ tấn công mạng đã bắt đầu chú ý đến hệ sinh thái phần mềm mã nguồn mở".

  1. Tin kỹ thuật chung
  1. Cập nhật trình duyệt Chrome ngay để vá lỗ hổng zero-day mới đã bị khai thác trong thực tế

Thứ Năm vừa qua, Google đã phát hành các bản cập nhật phần mềm để giải quyết một lỗ hổng zero-day mới trong trình duyệt web Chrome.

Lỗ hổng có định danh CVE-2022-4135, được xếp ở mức cao, liên quan đến lỗi tràn bộ đệm heap (heap buffer overflow) trong thành phần GPU. Nhà nghiên cứu Clement Lecigne thuộc Nhóm phân tích mối đe dọa của Google (TAG) được ghi nhận là người đã báo cáo lỗ hổng vào ngày 22/11/2022.

Các lỗi tràn bộ đệm heap có thể bị tin tặc khai thác để khiến một chương trình gặp sự cố hoặc thực thi mã tùy ý, dẫn đến các hành vi không mong muốn.

Theo National Vulnerability Database của NIST, lỗ hổng này có thể cho phép "kẻ tấn công từ xa đã xâm phạm quá trình tạo giao diện (renderer process) có khả năng thoát tkhỏi sandbox thông qua một trang HTML độc hại".

Google cho biết đã nhận được báo cáo về việc CVE-2022-4135 đã bị khai thác trong thực tế.

Giống như các lỗ hổng đã bị khai thác khác, các chi tiết kỹ thuật cụ thể về lỗ hổng sẽ được giữ bí mật cho đến khi phần lớn người dùng được cập nhật bản vá để ngăn chặn việc lỗ hổng bị khai thác, lạm dụng nhiều hơn.

Người dùng nên nâng cấp lên phiên bản 107.0.5304.121 cho macOS và Linux và 107.0.5304.121/.122 cho (RCE) trên các hệ thống bị ảnh hưởng.

Có định danh CVE-2022-4116 (điểm CVSS: 9,8), lỗ hổng có thể bị kẻ xấu lợi dụng mà không yêu cầu bất kỳ đặc quyền nào.

Nhà nghiên cứu Joseph Beeton của Contrast Security, người đã báo cáo lỗ hổng, cho biết "lỗ hổng được phát hiện trong Dev UI Config Editor, có thể bị khai thác để tấn công drive-by localhost, có thể dẫn đến thực thi mã từ xa".

Quarkus, được phát triển bởi Red Hat, là một dự án mã nguồn mở dùng để tạo các ứng dụng