-
09/04/2020
-
99
-
802 bài viết
Cảnh báo tấn công diện rộng vào dịch vụ SaaS gây ảnh hưởng đến Microsoft 365
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) vừa phát đi cảnh báo nghiêm trọng về một chiến dịch tấn công mạng quy mô lớn, nhắm vào các dịch vụ SaaS (Software as a Service) đang vận hành trên nền tảng điện toán đám mây Microsoft Azure. Trong đó, mục tiêu bị ảnh hưởng trực tiếp là giải pháp sao lưu Microsoft 365 của Commvault.
Khi có trong tay thông tin xác thực này, tin tặc có thể chiếm quyền kiểm soát các “tenant” Microsoft 365, tức là các phiên bản độc lập, riêng biệt của dịch vụ
Microsoft 365 mà mỗi tổ chức (doanh nghiệp, cơ quan, trường học…) sở hữu và quản lý. Việc này cho phép chúng tiến hành các hoạt động xâm nhập sâu hơn, như đánh cắp dữ liệu, giả mạo tài khoản hoặc leo thang đặc quyền.
CISA khuyến cáo các tổ chức, đặc biệt là những đơn vị đang sử dụng Commvault Metallic, Microsoft 365 hoặc Azure thực hiện các biện pháp bảo vệ sau:
Dịch vụ SaaS là gì và tại sao dễ trở thành mục tiêu?
SaaS là mô hình cung cấp phần mềm qua Internet, nơi người dùng chỉ cần truy cập qua trình duyệt mà không cần cài đặt hay quản lý hệ thống. Mọi thứ từ máy chủ, cập nhật phần mềm đến bảo mật đều do nhà cung cấp đảm nhiệm. Đây là xu hướng phổ biến hiện nay do tính tiện lợi và khả năng mở rộng cao. Tuy nhiên, nếu nhà cung cấp cấu hình sai hoặc bị khai thác lỗ hổng, toàn bộ hệ thống của khách hàng sử dụng dịch vụ đó cũng có thể bị ảnh hưởng.Lỗ hổng CVE-2025-3928 trong Commvault: Mối đe dọa đến Microsoft 365
Theo CISA, tin tặc đã khai thác lỗ hổng zero-day CVE-2025-3928 trong máy chủ web của Commvault, một phần mềm sao lưu phổ biến trên nền tảng Azure. Lỗ hổng này cho phép kẻ tấn công đã xác thực có thể tạo và thực thi web shell từ xa, từ đó truy cập trái phép vào các thông tin xác thực mà Commvault sử dụng để kết nối với tài khoản Microsoft 365 của khách hàng.Khi có trong tay thông tin xác thực này, tin tặc có thể chiếm quyền kiểm soát các “tenant” Microsoft 365, tức là các phiên bản độc lập, riêng biệt của dịch vụ
Microsoft 365 mà mỗi tổ chức (doanh nghiệp, cơ quan, trường học…) sở hữu và quản lý. Việc này cho phép chúng tiến hành các hoạt động xâm nhập sâu hơn, như đánh cắp dữ liệu, giả mạo tài khoản hoặc leo thang đặc quyền.
Chiến dịch tấn công quy mô lớn, khai thác sai sót trong cấu hình
CISA nhận định rằng đây không phải là một sự cố đơn lẻ, mà là một phần của chiến dịch tấn công rộng hơn nhằm vào nhiều nhà cung cấp SaaS khác nhau. Điểm chung của các hệ thống bị tấn công là:- Sử dụng cấu hình mặc định
- Phân quyền vượt mức cần thiết (over-permissioned) trong môi trường cloud
CISA khuyến cáo các tổ chức, đặc biệt là những đơn vị đang sử dụng Commvault Metallic, Microsoft 365 hoặc Azure thực hiện các biện pháp bảo vệ sau:
- Giám sát log Entra (trước đây là Azure AD), đặc biệt các thay đổi liên quan đến service principal và app credentials
- Rà soát quyền cấp cho ứng dụng, đảm bảo chỉ cấp quyền theo nguyên tắc tối thiểu (least privilege)
- Giới hạn IP truy cập ứng dụng Commvault chỉ trong dải IP cho phép
- Chặn các hành vi tải mã độc và tấn công path traversal bằng cách triển khai Web Application Firewall (WAF)
- Ngắt truy cập công khai đến giao diện quản lý của Commvault, chỉ cho phép từ mạng nội bộ hoặc hệ thống quản trị uy tín
- Xoay vòng toàn bộ thông tin xác thực ứng dụng
- Kiểm tra và tăng cường bảo vệ hệ thống
- Khẳng định chưa phát hiện truy cập trái phép vào dữ liệu sao lưu của khách hàng
Cảnh báo cho tổ chức tại Việt Nam
Trong bối cảnh ngày càng nhiều cơ quan, doanh nghiệp tại Việt Nam chuyển sang mô hình SaaS và cloud, sự cố này là lời cảnh báo:- Tầm quan trọng của bảo mật ứng dụng đám mây
- Sự cần thiết của kiểm soát quyền truy cập ứng dụng
- Nguy cơ thực tế từ cấu hình mặc định và quyền truy cập dư thừa
Theo The Hacker News