Tin tức An toàn thông tin tuần 49, năm 2022 (5-11/12)
19/12/2022 02:11 PM
Hiện tại bài viết chưa được cập nhật nội dung Âm thanh. Xin cảm ơn.
Qua công tác giám sát đảm bảo an toàn thông tin cho hệ thống thông tin ngành BHXH Việt Nam, ngày 30/11/2022, Trung tâm Công nghệ thông tin (CNTT) đã phát hiện lưu lượng truy cập bất thường từ một số địa chỉ IP, đây có thể là hành vi rà quét tài khoản của người dùng trong ngành BHXH Việt Nam.
Theo đó, trong ngày 30/11/2022, trên hệ thống giám sát đã ghi nhận xuất hiện liên tục các phiên kết nối, cố gắng đăng nhập hệ thống với nhiều tài khoản khác nhau của người dùng trong ngành BHXH Việt Nam, các kết nối này xuất phát từ địa chỉ IP được xác định ở Thành phố Hồ Chí Minh.
Ngay khi phát hiện tình trạng trên, Trung tâm CNTT đã thực hiện rà soát, thống kê các tài khoản người dùng đã được sử dụng trong Brute Force để có biện pháp xử lý.
Do phát hiện kịp thời, cùng với việc triển khai ngay các hoạt động ứng phó nên việc rà quét đã được ngăn chặn. Tuy nhiên, thông qua hành động rà quét lần này, chứng tỏ đã có những nguy cơ nhắm mục tiêu vào hệ thống của các cơ quan Nhà nước, trong đó có BHXH Việt Nam.
Với việc ngày càng nhiều các mối nguy hại như rà quyét, tấn công lợi dụng điểm yếu vào các hệ thống thông tin của cơ quan Nhà nước, vừa qua, Cục An toàn thông tin - Bộ thông tin và Truyền thông đã phát động "Chiến dịch làm sạch mã độc trên không gian mạng năm 2022". BHXH Việt Nam cũng đã sớm tuyên truyền, phố biến đến công chức, viên chức và người lao động trong toàn Ngành, giúp nâng cao cảnh giác, không chủ quan, lơ là trước các cuộc tấn công mạng ngày càng phổ biến với nhiều hình thức và mức độ nguy hiểm ngày càng tăng.
Một chiến dịch xâm nhập mới được phát hiện đã nhắm mục tiêu vào các công ty viễn thông và công ty cung cấp dịch vụ gia công quy trình kinh doanh (BPO) kể từ tháng 6 năm 2022.
Nhà nghiên cứu Tim Parisi của CrowdStrike cho biết “mục đích của chiến dịch này dường như là giành quyền truy cập vào mạng của các nhà cung cấp dịch vụ di động để thực hiện hoạt động hoán đổi SIM (SIM swapping)”.
Các cuộc tấn công có động cơ tài chính, được cho là do một đối tượng được theo dõi dưới cái tên Scattered Spider thực hiện.
Quyền truy cập ban đầu vào môi trường mục tiêu được cho là có được thông qua tấn công social engineering bằng cách sử dụng các cuộc gọi và tin nhắn lừa đảo được gửi qua Telegram để mạo danh nhân viên CNTT.
Kỹ thuật này được sử dụng để dẫn dụ nạn nhân đến trang thu thập thông tin xác thực hoặc lừa họ cài đặt các công cụ quản lý và giám sát từ xa (RMM) có tính thương mại như Zoho Assist và Getscreen.me.
Nếu các tài khoản mục tiêu được bảo vệ bằng xác thực hai yếu tố (2FA), kẻ tấn công sẽ tìm cách lừa nạn nhân chia sẻ mật khẩu một lần (OTP) hoặc sử dụng một kỹ thuật được gọi là (Azure tenant) của tổ chức.
Một trường hợp khác được phát hiện liên quan đến việc khai thác lỗ hổng thực thi mã từ xa nghiêm trọng trong giải pháp quản lý truy cập ForgeRock OpenAM (CVE-2021-35464) đã bị tin tặc khai thác vào năm ngoái.
Nhiều cuộc tấn công cũng liên quan đến việc Scattered Spider giành quyền truy cập vào bảng điều khiển (console) xác thực đa yếu tố (MFA) của tổ chức bị xâm phạm để đăng ký các thiết bị của chúng, sau đó duy trì truy cập thông qua các công cụ truy cập từ xa hợp pháp để tránh bị các hệ thống bảo vệ phát hiện.
Sau các bước truy cập và duy trì truy cập, kẻ tấn công đã tiến hành thu thập thông tin về các môi trường (improper input validation) trong lần thử nghiệm thứ 3 của họ đối với Samsung Galaxy S22 và giành được 50K đô và 5 điểm Master of Pwn.
Trong đó, thiết bị thử nghiệm đang chạy phiên bản mới nhất của hệ điều hành Android và đã được cài đặt tất cả các bản cập nhật hiện có.
Sau STAR Labs, một nhà nghiên cứu khác, Chim, cũng đã thử nghiệm thành công tấn công này đối với Samsung Galaxy S22 và giành được 25K đô và 5 điểm Master of Pwn.
Người khai thác thành công lần đầu tiên trên mỗi mục tiêu, trong trường hợp này là STAR Labs, đã nhận được toàn bộ giải thưởng bằng tiền mặt và các thiết bị được thử nghiệm. Đối với những người thắng sau đó sẽ nhận được 50% giải thưởng, tuy nhiên, họ vẫn sẽ nhận được toàn bộ điểm Master of Pwn.
DEVCORE là nhóm đầu tiên thử nghiệm thành công hai cuộc tấn công tràn bộ đệm dựa trên stack khác nhau nhằm vào bộ định tuyến Mikrotik và máy in Canon trong hạng mục mới, “SOHO SMASHUP” và nhận về 100 nghìn đô la tiền mặt và 10 điểm Master of Pwn.
Nhóm Nghiên cứu Claroty đã kết hợp 3 lỗ hổng (2 lỗ hổng thiếu kiểm tra xác thực và lỗ hổng bỏ qua xác thực) để tấn công Synology DiskStation DS920+ trong danh mục NAS. Họ đã giành được 40K đô tiền thưởng và 4 điểm Master of Pwn.
Trong danh mục “Máy in”, Horizon3 AI đã chứng minh thành công một khai thác command injection bằng cách cho mọi người nghe một bản nhạc nổi tiếng phát ra từ máy in Lexmark MC3224i. Họ đã giành được 20K đô và 2 điểm Master of Pwn. Các nhà nghiên cứu của Interrupt Labs đã thực hiện thành công cuộc tấn công tràn bộ đệm dựa trên stack vào lần thử nghiệm thứ 3 của họ và cũng là lần cuối cùng đối với HP Color LaserJet Pro M479fdw trong danh mục này. Họ cũng đã nhận được 20K đô và 2 điểm Master of Pwn.
Trong ngày đầu tiên của cuộc thi này, các hacker mũ trắng cũng đã thử nghiệm thành công các khai thác của họ đối với các bộ định tuyến từ nhiều nhà cung cấp, bao gồm Mikrotik, NETGEAR, TPLink và Synology.
Mới đây, Apple đã công bố một loạt các biện pháp bảo mật mới, bao gồm cài đặt Bảo vệ dữ liệu nâng cao (Advanced Data Protection) cho phép sao lưu dữ liệu được mã hóa đầu cuối (E2EE) trong dịch vụ iCloud của họ.
Tính năng này khi được bật dự kiến sẽ bảo mật 23 loại dữ liệu bằng E2EE, bao gồm sao lưu thiết bị và tin nhắn, iCloud Drive, Ghi chú, Ảnh, Lời nhắc, ghi âm giọng nói (Voice Memos), Safari Bookmarks, Phím tắt Siri (Siri Shortcuts) và Wallet Passes.
Apple cho biết các danh mục dữ liệu iCloud chính vẫn chưa được bảo vệ với E2EE là Thư (mail), Danh bạ và Lịch vì "cần tương tác với các hệ thống lịch, danh bạ và email toàn cầu" thông qua các công nghệ cũ.
Một khi E2EE được triển khai cho iCloud, dữ liệu cá nhân của người dùng chỉ có thể được giải mã trên các thiết bị đáng tin cậy của họ.
Trong một tài liệu hỗ trợ, Apple giải thích rằng: "Nếu bạn kích hoạt Advanced Data Protection mà sau đó bị mất quyền truy cập vào tài khoản của mình, Apple sẽ không có khóa mã hóa để giúp bạn khôi phục tài khoản - bạn sẽ cần sử dụng mật mã hoặc mật khẩu thiết bị, một liên hệ khôi phục (recovery contact) hoặc một khóa khôi phục cá nhân".
Với sự phát triển này, Apple đã giải quyết những lời chỉ trích cho rằng họ giữ các khóa mã hóa để sao lưu iCloud khiến thông tin dễ bị vi phạm dữ liệu, có thể do yêu cầu thực thi pháp luật hoặc nhân viên của Apple.
Việc sử dụng mã hóa để bảo vệ dữ liệu người dùng cũng đặt ra một thách thức được gọi là "going dark", trong đó các cơ quan chính phủ bị cản trở về khả năng thu thập bằng chứng số để buộc tội những tội phạm nghiêm trọng và điều tra các tội phạm khác.
Theo The Wall Street Journal và WIRED, bên cạnh việc mở rộng E2EE, Apple đã xác nhận về việc từ bỏ kế hoạch quét (scan) tin nhắn để tìm các hình ảnh liên quan đến lạm dụng tình dục trẻ em (CSAM) được lưu trữ trong iCloud Photos. Ngoài ra, Apple cũng đã bác bỏ ý tưởng nâng cấp SMS/MMS lên tiêu chuẩn RCS.
Trong một bản nâng cấp bảo mật liên quan, Apple cũng đang mở rộng xác thực hai yếu tố cho Apple ID và phát hành một tính năng bảo mật iMessage mới có tên là Xác minh khóa liên hệ (Contact Key Verification) để đảm bảo rằng "người dùng chỉ nhắn tin với những người mà họ có ý định nhắn".
Apple cho biết rằng: "Để nâng cao bảo mật hơn nữa, người dùng iMessage Contact Key Verification có thể so sánh Mã xác minh liên hệ trực tiếp trên FaceTime hoặc thông qua một cuộc gọi an toàn khác".
Tuy nhiên, điều đáng chú ý là iMessage là một nền tảng nhắn tin trực tuyến dành riêng cho hệ sinh thái Apple và không tương thích với các hệ điều hành lớn khác như Android và (non-contacts) trong thời gian 10 phút để giảm thiểu các tệp rác.
"DEV-0139 tham gia các nhóm Telegram giữa khách hàng VIP và các sàn giao dịch tiền điện tử, từ đó tìm kiếm mục tiêu trong số các thành viên", nhóm nghiên cứu Security Threat Intelligence của Microsoft cho biết.
Vào ngày 19 tháng 10, hacker giả làm đại diện của một công ty quản lý tài sản điện tử và mời ít nhất một mục tiêu tham gia một nhóm Telegram, nơi cung cấp các thông tin về cấu trúc phí của các sàn giao dịch tiền điện tử
Sau khi lấy được lòng tin của nạn nhân, hacker gửi bảng tính Excel độc hại có tên "OKX Binance & Huobi VIP fee comparision.xls" cùng với dữ liệu so sánh (có thể chính xác để tăng độ tin cậy) cấu trúc phí VIP của các sàn giao dịch tiền điện tử.
Sau khi nạn nhân mở tài liệu và kích hoạt macro, một bảng tính thứ hai được nhúng trong tệp sẽ tải xuống và phân tích tệp PNG để trích xuất một tệp DLL độc hại, một backdoor được mã hóa XOR và một tệp thực thi (Platform certificates) được sử dụng bởi các nhà cung cấp điện thoại thông minh Android như Samsung, LG và MediaTek đã bị lạm dụng để ký các ứng dụng độc hại.
Sự việc đã được nhà nghiên cứu Łukasz Siewierski của Google phát hiện và báo cáo lần đầu tiên vào thứ năm tuần trước.
Báo cáo được gửi thông qua chương trình Android Partner Vulnerability Initiative (AVPI) cho biết "chứng chỉ nền tảng được sử dụng để ký ứng dụng ‘android’ trên hình ảnh hệ thống (system image)".
"Ứng dụng 'android' chạy với id người dùng có đặc quyền android.uid.system và nắm giữ các quyền hệ thống (system permissions), bao gồm quyền truy cập dữ liệu người dùng."
Điều này có nghĩa là một ứng dụng lừa đảo được ký có thể nhận được các đặc quyền ở mức cao nhất như hệ điều hành Android, cho phép nó thu thập tất cả các loại thông tin nhạy cảm từ một thiết bị bị xâm nhập.
Hiện chưa rõ các phần mềm này đang được phát tán ở đâu và liệu chúng có được sử dụng như một phần của chiến dịch phần mềm độc hại đang hoạt động nào đó hay không.
Kiểm tra trên VirusTotal cho thấy các mẫu được xác định đã bị hệ thống gắn nhãn (flag) là phần mềm quảng cáo ẩn (HiddenAds adware), Metasploit, phần mềm đánh cắp thông tin, công cụ downloader và phần mềm độc hại gây nhiễu khác.
Google cho biết họ đã thông báo cho tất cả các nhà cung cấp bị ảnh hưởng để thay đổi chứng chỉ và không có dấu hiệu nào cho thấy các ứng dụng này đã được phát tán qua Play Store.
"Các đối tác OEM đã nhanh chóng thực hiện các biện pháp giảm thiểu ngay khi chúng tôi báo cáo về sự xâm phạm". "Người dùng sẽ được bảo vệ bởi các biện pháp giảm thiểu do các đối tác OEM triển khai".
"Google đã triển khai tính năng phát hiện mã độc trong Build Test Suite, cho phép quét/kiểm tra (scan) các system image".
Google cũng khuyến nghị người dùng nên đảm bảo rằng họ đang sử dụng phiên bản Android mới nhất.
Những nhà bảo trì hệ điều hành FreeBSD đã phát hành các bản cập nhật để khắc phục một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến mô-đun ping, có khả năng bị khai thác để khiến chương trình gặp sự cố hoặc kích hoạt thực thi mã từ xa.
Lỗ hổng có định danh CVE-2022-23093, ảnh hưởng đến tất cả các phiên bản FreeBSD được hỗ trợ, liên quan đến lỗi tràn bộ đệm (stack-based buffer overflow) trong dịch vụ ping.
Theo Securityaffairs, tiện ích ping cho phép kiểm tra khả năng tiếp cận của máy chủ từ xa bằng thông báo ICMP và yêu cầu các đặc quyền nâng cao khi chạy. Nó có sẵn cho người dùng không có đặc quyền với việc cài đặt bộ bit (raw) từ mạng để xử lý các phản hồi trong hàm pr_pack()".
"Các bản sao pr_pack() nhận các header IP và ICMP vào bộ đệm stack để xử lý thêm mà không tính đến sự hiện diện có thể có của các tùy chọn IP (IP option) theo sau header IP trong phản hồi (response) hoặc gói (packet) được trích dẫn".
Kết quả là, bộ đệm dùng để lưu dữ liệu này có thể bị tràn tối đa 40 byte khi có các tùy chọn IP.
FreeBSD Project lưu ý rằng quy trình ping được thực hiện trong môi trường cách ly ở chế độ capability mode sandbox do đó bị hạn chế tương tác với phần còn lại của hệ điều hành.
OPNsense, một phần mềm định tuyến và tường lửa (firewall) mã nguồn mở dựa trên FreeBSD, cũng đã phát hành một bản vá (phiên bản 22.7.9) để vá lỗ hổng này cùng với các vấn đề khác.
Phát hiện này được đưa ra khi các nhà nghiên cứu từ Qualys trình bày chi tiết về một lỗ hổng mới khác (CVE-2022-3328) trong chương trình snap-confine trong hệ điều hành Linux, dựa trên lỗ hổng leo thang đặc quyền trước đó (CVE-2021-44731) được tiết lộ vào tháng 2 năm 2022.
Snaps là các package ứng dụng độc lập có thể được các nhà phát triển cung cấp cho người dùng.
CVE-2022-3328 có thể được kết hợp cùng hai lỗ hổng khác trong multipathd được gọi là Leeloo Multipath (CVE-2022- 41974 và CVE-2022-41973) để vượt qua kiểm tra xác thực và thực hiện tấn công liên kết tượng trưng (symlink) để giành được quyền root.
Do daemon multipathd chạy theo mặc định với quyền root, nên việc khai thác thành công các lỗ hổng có thể cho phép tác nhân đe dọa [không có đặc quyền] giành được quyền cao nhất trên máy chủ bị ảnh hưởng và thực thi mã tùy ý.
Có mã theo dõi CVE-2022-35843 (điểm CVSS là 7,7), lỗ hổng vượt qua xác thực tồn tại trong thành phần đăng nhập SSH của FortiOS. Lỗi chỉ có thể kích hoạt khi xác thực Radius được sử dụng.
Fortinet giải thích trong cảnh báo an ninh: “Lỗ hổng cho phép kẻ tấn công từ xa không xác thực đăng nhập vào thiết bị thông qua việc gửi phản hồi Access-Challenge độc hại từ máy chủ Radius”.
Fortinet cho biết lỗ hổng này ảnh hưởng đến các phiên bản FortiOS 7.2.x, 7.0.x, 6.4.x, 6.2.x và 6.0.x cũng như các phiên bản FortiProxy 7.0.x, 2.0.x và 1.2.x.
Các bản vá đã được đưa vào các phiên bản FortiOS 7.2.2, 7.0.8 và 6.4.10 cũng như trong các phiên bản FortiProxy 7.0.7 và 2.0.11.
Trước đó, các cơ quan chính phủ Hoa Kỳ đã nhiều lần cảnh báo về việc hacker liên tục khai thác các lỗ hổng đã được biết đến trong FortiOS, hối thúc các cơ quan liên bang và tổ chức tư nhân áp dụng các bản vá kịp thời.
Fortinet tuần này cũng công bố bản vá cho hai lỗ hổng nghiêm trọng mức trung bình trong FortiADC (Bộ điều khiển phân phối ứng dụng).
Lỗi đầu tiên (CVE-2022-33876) liên quan vấn đề xác thực đầu vào dẫn đến việc tiết lộ thông tin thông qua các yêu cầu HTML độc hại. Lỗi thứ hai (CVE-2022-33875) do sự vô hiệu hóa không đúng cách của các yếu tố đặc biệt dẫn đến việc chèn SQL.
Cisco đã tiết lộ một lỗ hổng có mức độ nghiêm trọng cao ảnh hưởng đến IP thế hệ điện thoại mới nhất khiến chúng có thể bị tấn công từ chối dịch vụ (DoS) và thực thi mã từ xa.
Lỗ hổng có mã định danh là CVE-2022-20968. Đây là lỗi do xác thực đầu vào không đầy đủ của các gói Giao thức dò quét mạng, cho phép những kẻ tấn công không được xác thực kích hoạt tràn ngăn xếp (overstack) nếu khai thác thành công.
Nhóm ứng phó sự cố an ninh sản phẩm (PSIRT) của Cisco đã cảnh báo rằng "việc xuất hiện PoC của lỗ hổng này là hoàn toàn khả thi" và "lỗ hổng này đã được công khai". Tuy nhiên, nhóm cũng cho biết thêm rằng họ chưa nhận thấy bất kỳ dấu hiệu nào của việc khai thác lỗ hổng trong các cuộc tấn công.
Cisco cho biết bản vá của lỗ hổng sẽ được tung ra vào tháng 1 năm 2023.
Các thiết bị bị ảnh hưởng bao gồm điện thoại IP của Cisco có dùng firmware 7800 và 8800 phiên bản 14.2 trở về trước.
Mặc dù chưa có bản cập nhật để xử lý lỗ hổng CVE-2022-20968 hoặc giải pháp thay thế, nhưng Cisco có cung cấp giải pháp tạm thời cho quản trị viên là vô hiệu hóa giao thức dò quét mạng của Cisco trên các thiết bị IP Phone Series 7800 và 8800 có hỗ trợ lớp liên kết mạng (LLDP). Tuy nhiên, Cisco cũng khuyên các quản trị viên muốn triển khai biện pháp này nên kiểm tra tính hiệu quả và khả năng áp dụng của nó đối với môi trường của họ.
Ngoài ra đối với người dùng, Cisco cũng cũng đã đưa ra lời cảnh báo rằng "khách hàng không nên triển khai bất kỳ giải pháp thay thế hoặc biện pháp nào trước khi đánh giá khả năng áp dụng đối với môi trường của chính họ và bất kỳ tác động nào đối với môi trường đó".
Nguồn tham khảo:
[1] The Hacker News
[2] Bleeping Computer
[3] Security Week
Trung tâm CNTT
Video: BHXH Việt Nam tổ chức Hội nghị giao ban ...
BHXH Việt Nam tăng cường hợp tác quốc tế nâng cao ...
Các ca khúc đạt giải Đặc biệt, giải A và giải B ...
BHXH các tỉnh, thành phố: Phát huy tiềm năng, quyết tâm ...
Thủ tướng bổ nhiệm và bổ nhiệm lại nhân sự Hội đồng quản lý ...
Bộ Chính trị ban hành Nghị quyết về đột phá phát triển khoa ...
Phê duyệt cấp độ an toàn hệ thống thông tin “Bồi dưỡng trực ...
BHXH Việt Nam đạt kết quả vượt bậc trong chi trả chế độ ...