-
09/04/2020
-
141
-
1.950 bài viết
CISA cảnh báo lỗ hổng WebLogic đang bị khai thác, cho phép tin tặc truy cập trái phép hệ thống
Cơ quan An ninh Mạng và Cơ sở Hạ tầng Hoa Kỳ (CISA) vừa bổ sung lỗ hổng CVE-2024-21182 trong Oracle WebLogic Server vào danh sách các lỗ hổng đang bị khai thác trong thực tế. Việc xuất hiện trong danh sách này đồng nghĩa với việc lỗ hổng đã được sử dụng trong các chiến dịch tấn công, thay vì chỉ tồn tại trên lý thuyết hoặc trong nghiên cứu bảo mật. CISA đồng thời yêu cầu các cơ quan liên bang phải triển khai biện pháp khắc phục bắt buộc theo thời hạn quy định.
Oracle WebLogic Server là nền tảng ứng dụng Java được triển khai rộng rãi trong các hệ thống doanh nghiệp lớn, đóng vai trò xử lý các dịch vụ trung gian giữa người dùng, ứng dụng và cơ sở dữ liệu. Chính vì nằm ở lớp “xương sống” của nhiều hệ thống nghiệp vụ, WebLogic thường trở thành mục tiêu ưu tiên trong các chiến dịch tấn công ban đầu, đặc biệt là những cuộc tấn công nhắm vào doanh nghiệp và hạ tầng quan trọng.
Theo mô tả kỹ thuật, CVE-2024-21182 là một lỗ hổng nghiêm trọng cho phép thực thi mã từ xa hoặc truy cập trái phép mà không cần xác thực, đồng nghĩa kẻ tấn công không cần tài khoản hợp lệ vẫn có thể gửi yêu cầu qua mạng để khai thác hệ thống. Điểm đáng lo ngại nằm ở việc cơ chế kiểm soát truy cập của WebLogic có thể bị vượt qua nếu dịch vụ bị cấu hình sai hoặc để lộ ra môi trường Internet.
Vector tấn công được xác định liên quan đến các giao thức nội bộ của WebLogic như T3 và IIOP. Đây là các kênh truyền thông được thiết kế cho trao đổi giữa các thành phần ứng dụng trong môi trường nội bộ, nhưng lại trở thành điểm yếu khi bị mở ra ngoài. Trong thực tế, việc phơi bày các giao thức này qua Internet hoặc không giới hạn truy cập đã tạo điều kiện cho các chiến dịch quét và khai thác tự động trên diện rộng.
Nếu bị khai thác thành công, kẻ tấn công có thể chiếm quyền điều khiển WebLogic, truy cập dữ liệu nhạy cảm và cài cắm mã độc để duy trì truy cập lâu dài trong hệ thống. Trong nhiều kịch bản thực tế, WebLogic không phải đích cuối cùng mà chỉ đóng vai trò điểm truy cập ban đầu, sau đó bị lợi dụng để mở rộng tấn công sang các máy chủ khác trong mạng nội bộ thông qua kỹ thuật di chuyển ngang, làm gia tăng đáng kể phạm vi ảnh hưởng.
CISA cho biết việc đưa CVE-2024-21182 vào danh sách các lỗ hổng đang bị khai thác trong thực tế là dựa trên bằng chứng tấn công đã được ghi nhận. Tuy nhiên, hiện chưa có thông tin công khai về nhóm tấn công hay chiến dịch cụ thể liên quan đến hoạt động khai thác này. Điều này cho thấy lỗ hổng đang được sử dụng trong môi trường thực, nhưng mức độ lan rộng và chủ thể đứng sau vẫn chưa được xác định rõ.
Trước nguy cơ lỗ hổng đang bị khai thác trong thực tế, các tổ chức được khuyến nghị ưu tiên triển khai biện pháp khắc phục và giảm thiểu rủi ro theo hướng chủ động. Trong đó, cập nhật bản vá là biện pháp quan trọng nhất, cần được thực hiện ngay khi nhà cung cấp phát hành. Trong trường hợp chưa thể cập nhật bản vá ngay, cần áp dụng các biện pháp giảm thiểu tạm thời để hạn chế nguy cơ bị khai thác:
- Hạn chế hoặc chặn hoàn toàn truy cập từ Internet vào hệ thống WebLogic
- Kiểm soát chặt các giao thức T3 và IIOP, chỉ cho phép trong phạm vi nội bộ tin cậy
- Rà soát cấu hình hệ thống để loại bỏ các dịch vụ không cần thiết có khả năng bị truy cập từ bên ngoài
- Triển khai phân đoạn mạng nhằm giảm khả năng di chuyển ngang nếu xảy ra xâm nhập