An ninh mạng tháng 8/2021: Xuất hiện những lỗ hổng nghiêm trọng

[WhiteHat News #ID:0911]

Bên cạnh những bản vá, gói cập nhật đến từ các nhà cung cấp lớn như Cisco, SAP, VMware, Pulse Connect Secure, Magento… tình hình an ninh mạng tháng 8 xuất hiện nhiều lỗ hổng nghiêm trọng trong các sản phẩm phổ biến từ Microsoft và Atlassian. Các lỗ hổng này nghiêm trọng đến mức, các cơ quan như Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) và Bộ Tư lệnh Không gian mạng Hoa Kỳ (USCYBERCOM) đã buộc phải đưa ra những cảnh báo “nóng”.

Lỗ hổng trong Microsoft Exchange​

Trung tuần tháng 8, CISA khẩn cấp đưa cảnh báo về một chiến dịch khai thác bộ ba lỗ hổng thực thi mã từ xa trong Microsoft Exchange.

Bộ ba lỗ hổng ProxyShell cho phép kẻ tấn công qua mặt các kiểm soát ACL, leo thang đặc quyền trên backend của Exchange PowerShell; nguy hiểm hơn là thực thi mã từ xa không cần xác thực.

Đặc biệt, chiến dịch chỉ diễn ra sau hơn 1 tuần các nhà nghiên cứu an ninh mạng cảnh báo về khả năng quét và khai thác máy chủ Exchange chưa được vá bằng chuỗi tấn công ProxyShell.

Các nhà nghiên cứu từ Huntress Labs thống kê ít nhất 5 kiểu web shell riêng biệt đã được triển khai cho các máy chủ Microsoft Exchange tồn tại lỗ hổng, hơn 100 sự cố liên quan từ ngày 17-18/8. Các web shell tạo điều kiện cho kẻ tấn công chiếm quyền truy cập từ xa vào các máy chủ có lỗ hổng. Hiện vẫn chưa rõ mục đích cuối cùng của tin tặc là gì và các lỗ hổng đã bị khai thác đến mức độ nào.

Phía Huntress Labs cũng cho biết thêm, đến nay đã phát hiện hơn 140 web shell trong hơn 1.900 máy chủ Exchanger chưa được vá. Các tổ chức bị ảnh hưởng hoạt động chủ yếu trong các lĩnh vực: sản xuất xây dựng, chế biến thủy sản, máy móc công nghiệp, cửa hàng sửa chữa ô tô, một sân bay dân dụng...

Lỗ hổng trong Atlassian Confluence​

Chỉ vài ngày sau khi Atlassian phát hành bản vá cho một lỗ hổng an ninh trong Confluence dành cho khách hàng doanh nghiệp, USCYBERCOM phát đi cảnh báo kêu gọi các tổ chức trong nước cập nhật bản vá ngay lập tức trước khi quá muộn. Đây là lần thứ 2 của trong vòng 12 tháng qua Bộ Tư lệnh Không gian mạng Hoa Kỳ đưa ra cảnh báo.

Lỗ hổng được nhắc đến là OGNL Injection, cho phép kẻ tấn công xác thực hay chưa xác thực, trong một số điều kiện nhất định, thực thi mã tùy ý trên các sản phẩm Confluence Server và Confluence Data Center.

Lỗ hổng đã bị khai thác trên thực tế cộng thêm số lượng người dùng và khách hàng khổng lồ, việc chậm trễ cập nhật bản vá cho Confluence Server và Confluence Data Center sẽ có thể dẫn đến những hậu quả “không thể lường trước”.

Thông tin bên lề​

Để biết về mức độ nghiêm trọng của các lỗ hổng trong Microsoft Exchange và Atlassian Confluence, hãy cùng lướt qua tiểu sử của 2 phần mềm này:

Microsoft Exchange là giải pháp email và lưu trữ email độc quyền của Microsoft cho doanh nghiệp; chạy trên máy chủ đám mây và quản lý tất cả email của người dùng. Giải pháp bao gồm Exchange Online hoặc Outlook (hệ thống email) và Microsoft Exchange Server (hệ thống máy chủ lưu trữ email).

Trong khi đó, Confluence là một wiki (loại ứng dụng xây dựng và quản lý các trang thông tin do nhiều người cùng phát triển) doanh nghiệp trên web do Atlassian (Úc) phát triển từ 2004; được viết bằng ngôn ngữ lập trình Java. Ban đầu, Confluence được xây dựng với mục đích đáp ứng các yêu cầu của hệ thống quản lý tri thức doanh nghiệp mà không mất đi đặc trưng của wiki. Hiện, phiên bản mới của wiki này đã được điều chỉnh để hoạt động cùng Jira và các phần mềm khác của Atlassian như Bamboo, Clover, Crowd, Crucible và Fisheye.

Kết luận​

Các dịch vụ công khai trên Internet luôn là mục tiêu hàng đầu của các hacker. Thêm vào đó, việc POC được đăng tải rộng rãi dễ dẫn đến các mối đe doạ rất lớn đối với các tổ chức chưa kịp cập nhật bản vá hoặc chưa có phương án giảm thiểu thiệt hại tạm thời. Vì vậy, việc cập nhật bản vá ngay sau khi được phát hành là điều rất cần thiết để đảm bảo an ninh an toàn cho hệ thống.

WhiteHat.vn​