Tin tức An toàn thông tin tuần 44, năm 2022 (01-06/11)

01/11/2022 10:30 AM


  1. Tin tức trong nước
  1. Chỉ thị 18/CT-TTg về đẩy mạnh triển khai các hoạt động ứng cứu sự cố an toàn thông tin mạng Việt Nam

Ngày 14/10/2022 vừa qua, Thủ tướng Chính phủ vừa ban hành Chỉ thị yêu cầu đẩy mạnh triển khai các hoạt động ứng cứu sự cố an toàn thông tin đối với các Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ, UBND các tỉnh, thành phố trực thuộc TW, tập đoàn, tổng công ty nhà nước và các tổ chức, doanh nghiệp thành viên Mạng lưới ứng cứu sự cố an toàn thông tin mạng quốc gia.

Chỉ thị 18/CT-TTg 

Theo đó, đáng chú ý có những nội dung sau:

  • Lãnh đạo các cơ quan, đơn vị quán triệt tới tất cả các tổ chức, cá nhân thuộc phạm vi quản lý nghiêm túc triển khai các nội dung của Chỉ thị và chịu trách nhiệm trước Thủ tướng Chính phủ nếu lơ là trong công tác ứng cứu sự cố an toàn thông tin mạng, để xảy ra hậu quả, thiệt hại nghiêm trọng tại cơ quan, đơn vị thuộc phạm vi quản lý.
  • Hoạt động ứng cứu sự cố an toàn thông tin mạng phải chuyển từ bị động sang chủ động.
  • Tổ chức, kiện toàn lại các Đội ứng cứu sự cố trước ngày 31/12/2022 theo hướng chuyên nghiệp, cơ động, tối thiểu 05 chuyên gia an toàn thông tin mạng đáp ứng kỹ năng về an toàn thông tin do Bộ Thông tin và Truyền thông quy định.
  • Cơ quan chủ trì 11 lĩnh vực quan trọng cần ưu tiên bảo đảm an toàn thông tin mạng (theo Quyết định 623/QĐ-TTg ngày 10 tháng 5 năm 2017 của Thủ tướng Chính phủ), chú trọng hoạt động chia sẻ thông tin về các nguy cơ, sự cố mất an toàn thông tin mạng cho các cơ quan, tổ chức, doanh nghiệp...

Chi tiết toàn văn: Chỉ thị 18/CT-TTg.

  1. Diễn tập quốc tế ACID 2022 chủ đề ứng phó tấn công gián đoạn mạng từ khai thác lỗ hổng bảo mật

Diễn tập quốc tế ACID là chương trình diễn tập xử lý sự cố an toàn thông tin mạng được tổ chức thường niên, với sự tham gia của các quốc gia trong khu vực Đông Nam Á và các nước đối tác đối thoại gồm Nhật Bản, Trung Quốc, Hàn Quốc, Ấn Độ và Úc.

Chương trình diễn tập quốc tế ACID 2022 chủ đề “Ứng phó tấn công gián đoạn mạng từ khai thác lỗ hổng bảo mật vừa được tổ chức, với sự tham gia của các quốc gia ASEAN cùng một số nước đối tác đối thoại. Chủ đề của diễn tập quốc tế ACID năm nay được các quốc gia trong khu vực ASEAN thống nhất lựa chọn, cũng đang là một xu hướng được các tội phạm mạng tận dụng, khai thác triệt để.

Ngoài mục đích duy trì liên lạc giữa các đầu mối, giữa các quốc gia thì diễn tập quốc tế này cũng là cơ hội để cho các nhóm các quốc gia thực hiện và tinh chỉnh quy trình xử lý sự cố, đối phó với các sự cố xuyên biên giới. Đặc biệt, qua diễn tập, các tổ chức, cán bộ kỹ thuật của các nước được tăng cường nhận thức, kỹ năng trong việc xử lý lỗ hổng, tăng cường khả năng đối phó dựa trên tình huống thực tế của các đội xử lý sự cố, điều tra, khắc phục và báo cáo.

  1. Tin nước ngoài
  1. Dropbox tiết lộ vi phạm sau khi hacker lấy trộm 130 kho Github

Dropbox đã tiết lộ vi phạm bảo mật sau khi các kẻ tấn công đã đánh cắp 130 kho lưu trữ mã nguồn sau khi có quyền truy cập vào một trong các tài khoản quản trị GitHub bằng cách sử dụng thông tin xác thực của nhân viên bị đánh cắp trong một cuộc tấn công lừa đảo (phishing).

 “Cho đến nay, cuộc điều tra của chúng tôi đã phát hiện ra rằng mã nguồn được truy cập bởi kẻ tấn công bằng một số thông tin xác thực, các khóa API được sử dụng bởi các đội ngủ phát triển của phát triển Dropbox”, Dropbox tiết lộ. “Mã nguồn và dữ liệu liên quan cũng bao gồm một vài nghìn tên và địa chỉ email thuộc về nhân viên Dropbox, khách hàng và nhà cung cấp (Dropbox có hơn 700 triệu người dùng đã đăng ký”.

Vi phạm trên là hậu quả của một cuộc tấn công lừa đảo nhắm vào nhiều nhân viên Dropbox bằng cách sử dụng email mạo danh và chuyển hướng chúng đến một trang đích của họ, nơi họ được yêu cầu nhập tên người dùng và mật khẩu GitHub của họ.

Thư điện tử mạo danh gửi đến nhân viên của Dropbox 

  1. Chính sách bảo mật mới của TikTok xác nhận việc nhân viên Trung Quốc có thể truy cập vào dữ liệu người dùng châu Âu

Nền tảng chia sẻ video phổ biến TikTok, thuộc sở hữu của ByteDance, đang sửa đổi chính sách bảo mật (privacy policy) của họ đối với người dùng châu Âu để làm rõ việc dữ liệu người dùng có thể được truy cập bởi một số nhân viên từ khắp nơi trên thế giới, bao gồm cả Trung Quốc.

TikTok, hiện đang lưu trữ dữ liệu người dùng châu Âu ở Mỹ và Singapore, cho biết việc sửa đổi này là một phần trong nỗ lực quản lý dữ liệu của họ nhằm giới hạn quyền truy cập của nhân viên đối với người dùng trong khu vực, giảm thiểu các luồng dữ liệu bên ngoài và lưu trữ thông tin tại địa phương.

TikTok cho biết "dựa trên nhu cầu cần thiết để thực hiện công việc, tuân theo các quy trình kiểm soát và phê duyệt bảo mật chặt chẽ và bằng các phương pháp được GDPR công nhận, chúng tôi cho phép một số nhân viên của chúng tôi trong nhóm ở Brazil, Canada, Trung Quốc, Israel, Nhật Bản, Malaysia, Philippines, Singapore, Hàn Quốc và Mỹ truy cập từ xa vào dữ liệu người dùng TikTok châu Âu".

Công ty cho biết các biện pháp kiểm soát bảo mật của họ bao gồm việc hạn chế truy cập hệ thống, mã hóa và bảo mật mạng, thêm vào đó, họ không thu thập thông tin vị trí chính xác từ người dùng ở Châu Âu.

  1. Tin kỹ thuật chung
  1. OpenSSL vá hai lỗ hổng nghiêm trọng cao CVE-2022-3602 và CVE-2022-3786

OpenSSL vừa phát hành bản vá cho hai lỗ hổng nghiêm trọng cao trong thư viện mã nguồn mở được dùng để mã hóa các kênh giao tiếp và kết nối HTTPS. Hai lỗ hổng CVE-2022-3602 (CVSS 9,8) và CVE-2022-3786 (CVSS 7,5) ảnh hưởng đến OpenSSL phiên bản 3.0.0 trở lên và đã được xử lý trong phiên bản OpenSSL 3.0.7. Trong đó mã khai thác cho CVE-2022-3602 đã được công bố.

CVE-2022-3602 là lỗi tràn bộ đệm ngăn xếp 4-byte tùy ý có thể gây sự cố hoặc dẫn đến thực thi mã từ xa (RCE). Còn CVE-2022-3786 có thể bị kẻ tấn công khai thác thông qua địa chỉ email độc hại để kích hoạt điều kiện từ chối dịch vụ.

OpenSSL cho biết: "Chúng tôi đánh giá đây là những lỗ hổng nghiêm trọng và người dùng bị ảnh hưởng được khuyến cáo nâng cấp lên phiên bản mới càng sớm càng tốt”. Bên cạnh đó, OpenSSL cũng cung cấp các biện pháp giảm thiểu tạm thời và yêu cầu quản trị viên vận hành máy chủ TLS vô hiệu hóa xác thực TLS client.

Một số chuyên gia an ninh mạng và nhà cung cấp cho rằng lỗ hổng OpenSSL tương tự với Log4Shell (Apache Log4J), nhưng chỉ có khoảng 7.000 hệ thống được mở ra ngoài Internet đang chạy các phiên bản OpenSSL tồn tại lỗ hổng trong tổng số hơn 1.793.000 máy chủ duy nhất được Censys phát hiện trực tuyến. Trong khi đó Shodan thống kê khoảng 16.000 server sử dụng OpenSSL có thể truy cập công khai.

  1. Nhiều lỗ hổng mức cao trong hệ điều hành Juniper Junos ảnh hưởng đến các thiết bị

Nhiều lỗ hổng bảo mật mức cao đã được tiết lộ có thể ảnh hưởng đến các thiết bị của Juniper Networks, một số lỗ hổng trong số đó có thể bị khai thác để thực thi mã.

Trong một thông báo được đưa ra vào ngày 12 tháng 10 năm 2022, Juniper Networks cho biết “một/một số lỗ hổng có thể dẫn đến truy cập tệp cục bộ trái phép, tấn công XSS trên nhiều trang web, path injection và path traversal”.

Theo nhà nghiên cứu Paulos Yibelo của Octagon Networks, nghiêm trọng nhất là CVE-2022-22241 (điểm CVSS: 8.1), lỗ hổng pre-authenticated (có thể khai thác mà không cần xác thực) deserialization trong thành phần J-Web của Junos OS. Cũng được phát hiện là năm lỗ hổng khác, bao gồm:

  • CVE-2022-22242 (Điểm CVSS: 6,1) - Lỗ hổng pre-authenticated reflected XSS trên trang "error.php", cho phép kẻ tấn công từ xa chiếm quyền kiểm soát phiên quản trị (admin session) Junos OS và có thể được khai thác cùng các lỗ hổng yêu cầu xác thực khác.
  • CVE-2022-22243 (điểm CVSS: 4,3) & CVE-2022-22244 (điểm CVSS: 5,3) - Hai lỗ hổng XPATH injection cho phép kẻ tấn công đã xác thực khai thác để ăn cắp và điều khiển các phiên quản trị hệ điều hành Junos
  • CVE-2022-22245 (điểm CVSS: 4,3) - Lỗ hổng path traversal có thể cho phép kẻ tấn công đã xác thực tải các tệp PHP lên vị trí tùy ý, tương tự với lỗ hổng RARlab UnRAR (CVE-2022-30333) mới được tiết lộ gần đây.
  • CVE-2022-22246 (Điểm CVSS: 7,5) - Lỗ hổng local file inclusion có thể bị lạm dụng để thực thi mã PHP.
  1. Chiến dịch phần mềm độc hại Romcom Rat mạo danh Keepass, Solarwinds NPM, Veeam

Những kẻ tấn công đứng sau sau Romcom Rat (Trojan truy cập từ xa) đã làm mới cách thức tấn công của mình và hiện đang lợi dụng các thương hiệu phần mềm nổi tiếng để phát tán.

Trong một chiến dịch mới được BlackBerry phát hiện, phần mềm độc hại RomCom đã tạo ra các trang web giao diện giống như các cổng tải xuống chính thức của phần mềm giám sát hiệu năng mạng SolarWinds (NPM), trình quản lý mật khẩu Keepass và PDF Reader Pro để ngụy trang phần mềm độc hại thành chương trình của các phần mềm phổ biến này.

Trang web mạo danh Solarwinds NPM cung cấp phiên bản có chứa mã độc (trojan) của bản dùng thử miễn phí và thậm chí liên kết đến mẫu đăng ký chính thức của nhà phát triển, nếu nạn nhân điền vào, nó sẽ dẫn đến liên hệ với nhân viên hỗ trợ của Solarwinds.

Tuy nhiên, ứng dụng đã tải xuống đã được sửa đổi để chứa một file thư viện DLL độc hại và chạy một bản sao của Romcom Rat từ thư mục "C:\User\ User\AppData\Local\Temp\Winver.dll".

Các tệp tin sau khi tải từ Solarwinds 

  1. Lỗ hổng trong Galaxy Store có thể đã cho phép tin tặc lén lút cài đặt ứng dụng độc hại trên thiết bị Samsung

Một lỗ hổng bảo mật hiện đã được vá đã được phát hiện trong ứng dụng Galaxy Store dành cho các thiết bị Samsung có khả năng cho phép thực thi lệnh từ xa (RCE - Remote Command Execution) trên các thiết bị bị ảnh hưởng. Lỗ hổng, ảnh hưởng đến phiên bản Galaxy Store 4.5.32.4, liên quan đến lỗi cross-site scripting (XSS) xảy ra khi xử lý một deep link độc hại.

SSD Secure Disclosure cho biết "do việc kiểm tra deep link theo cách không an toàn, khi người dùng truy cập vào một liên kết từ một trang web chứa deep link, kẻ tấn công có thể thực thi mã :14px">Các cuộc tấn công XSS cho phép kẻ tấn công chèn và thực thi mã :14px">Điều này có thể bị lạm dụng để tải xuống và cài đặt các ứng dụng có chứa phần mềm độc hại trên thiết bị Samsung khi truy cập liên kết. Các nhà nghiên cứu lưu ý: “Để có thể khai thác thành công một thiết bị của nạn nhân, kẻ tấn công cần phải vượt qua kiểm tra CORS của chrome”.

  1. Phát hiện các ứng dụng độc hại trên cửa hàng Google Play nhắm mục tiêu vào hơn 200 ứng dụng tài chính và ví điện tử

Năm ứng dụng dropper Android (phần mềm độc hại mang theo mã độc hoặc cho phép triển khai mã độc trên thiết bị sau khi nạn nhân cài đặt nó) với tổng cộng hơn 130.000 lượt cài đặt được phát hiện trên Cửa hàng Google Play đang phát tán mã độc banking trojan như SharkBot và Vultur, có khả năng đánh cắp dữ liệu tài chính và thực hiện gian lận trên thiết bị.

Mục tiêu của những dropper này bao gồm 231 ứng dụng ví điện tử và ứng dụng chuyển tiền (banking) từ các tổ chức tài chính ở Ý, Anh, Đức, Tây Ban Nha, Ba Lan, Áo, Hoa Kỳ, Úc, Pháp và Hà Lan.

Công ty bảo mật ThreatFnai cho biết "các ứng dụng này đã giả dạng ứng dụng quản lý tệp và vượt qua các biện pháp hạn chế bằng cách tải payload độc hại thông qua trình duyệt web".

Sử dụng phần mềm dropper trên các cửa hàng ứng dụng chính thức như Google Play ngày càng trở thành một kỹ thuật phổ biến để phát tán mã độc. Bên cạnh đó, các tác nhân đe dọa đằng sau những chiến dịch này vẫn luôn tìm mọi cách để vượt qua các hạn chế do Google đặt ra. Danh sách các ứng dụng độc hại đã được phát hiện bao gồm:

Công ty bảo mật ThreatFnai lưu ý rằng "Việc phát tán mã độc thông qua dropper trên Google Play vẫn là cách 'hợp lý' nhất và có thể mở rộng đối với hầu hết các đối tượng ở các cấp độ khác nhau".

"Các chiến thuật tinh vi như thực hiện các cuộc tấn công qua điện thoại đòi hỏi nhiều tài nguyên hơn và khó mở rộng quy mô, trong khi phát tán thông qua các dropper trên các cửa hàng chính thức và bên thứ ba cho phép các tác nhân đe dọa tiếp cận nhiều đối tượng hơn".

Để tránh trở thành nạn nhân của các chiến dịch tấn công kiểu này, người dùng cần kiểm tra cẩn thận các thông tin, đánh giá về ứng dụng cũng như các quyền mà ứng dụng yêu cầu trước khi cài đặt bất kỳ ứng dụng trên thiết bị của mình, đồng thời không nên cài đặt các ứng dụng từ những nguồn không xác định hoặc không tin cậy.

Thông tin nguồn tham khảo:

[1] Các nước ASEAN ứng phó tấn công gián đoạn mạng từ khai thác lỗ hổng bảo mật

[2] Dropbox discloses breach after hacker stole 130 GitHub repositories

[3]

Trung tâm CNTT