WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
CISA cảnh báo VPN đã được vá lỗi vẫn có thể bị tin tặc khai thác
Cơ quan an ninh mạng Hoa Kỳ (CISA) hôm qua đưa ra khuyến cáo trong đó cảnh báo các tổ chức cần thay đổi tất cả thông tin Active Directory để tránh các cuộc tấn công lợi dụng lỗ hổng thực thi mã từ xa (RCE) trong máy chủ Pulse Secure VPN – cho dù lỗi này đã được vá.
Cảnh báo được đưa ra ba tháng sau khi CISA kêu gọi người dùng và quản trị viên vá lỗi trên Pulse Secure VPN để ngăn chặn các cuộc tấn công khai thác lỗ hổng.
"Hacker đã khai thác thành công CVE-2019-11510 và đánh cắp thông tin đăng nhập, có thể truy cập và chuyển qua mạng của tổ chức. Sau khi tổ chức đó vá lỗ hổng mà vẫn không đổi các thông tin đăng nhập thì hacker vẫn có thể truy cập và thực hiện tấn công”, CISA nói.
CISA cũng đã phát hành một công cụ giúp quản trị viên mạng tìm kiếm các dấu vết tấn công liên quan đến lỗ hổng.
Lỗi thực thi mã từ xa
Được theo dõi là CVE-2019-11510, lỗ hổng này có thể cho phép hacker tấn công từ xa các máy chủ VPN tồn tại lỗ hổng và có quyền truy cập vào thông tin của tất cả người dùng đang hoạt động và thực thi các lệnh tùy ý.
Lỗ hổng xuất phát từ thực tế là dịch vụ truyền tải thư mục được hard-coded có thể truy cập nếu chứa đường dẫn "dana / html5 / acc", do đó cho phép kẻ tấn công gửi URL được tạo thủ công đặc biệt để đọc các tệp nhạy cảm, chẳng hạn như "/ etc / passwd" có chứa thông tin về từng người dùng trên hệ thống.
Để giải quyết vấn đề này, Pulse Secure đã phát hành một bản vá ngày 24 tháng 4 năm 2019.
Ngày 24 tháng 8 năm 2019, công ty tình báo bảo mật Bad Packets đã phát hiện ra 14,528 máy chủ Pulse Secure chưa được vá, lần quét tiếp theo vào tháng trước có 2.099 máy, cho thấy phần lớn các tổ chức đã vá các cổng VPN của họ.
Máy chủ VPN chưa được vá lỗi trở thành mục tiêu hấp dẫn
Thực tế là vẫn còn hàng ngàn máy chủ Pulse Secure VPN chưa được vá lỗi đã khiến chúng trở thành mục tiêu để hacker phát tán phần mềm độc hại.
Một báo cáo từ ClearSky đã phát hiện hacker được nhà nước Iran hậu thuẫn đã sử dụng CVE-2019-11510 để xâm nhập và đánh cắp thông tin từ các công ty CNTT và viễn thông trên toàn thế giới.
Theo khuyến cáo của NSA từ tháng 10 năm 2019, "mã khai thác được cung cấp miễn phí trên Metasploit, và GitHub. Các hacker đang tích cực sử dụng mã khai thác này".
Trong một cảnh báo tương tự được đưa ra vào năm ngoái, Trung tâm an ninh mạng quốc gia (NCSC) của Anh cảnh báo rằng các nhóm hacker đang tiếp tục khai thác lỗ hổng để nhắm vào các tổ chức chính phủ, quân đội…
Gần đây, Travelex, công ty bảo hiểm du lịch và trao đổi ngoại tệ, đã trở thành nạn nhân sau khi tội phạm mạng tung ransomware Sodinokibi (REvil) lên mạng của công ty thông qua lỗ hổng Pulse Secure. Mặc dù hacker yêu cầu khoản tiền chuộc 6 triệu đô la (4,6 triệu bảng Anh), nhưng một nguồn tin cho biết họ đã trả 2,3 triệu đô la dưới dạng 285 Bitcoin để lấy lại dữ liệu).
Trước các cuộc tấn công đang diễn ra, các tổ chức nên nâng cấp Pulse Secure VPN, đặt lại thông tin đăng nhập và quét log các yêu cầu xác thực và khai thác.
CISA cũng yêu cầu loại bỏ bất kỳ chương trình truy cập từ xa nào chưa được phép và kiểm tra các tác vụ theo lịch trình cho các tập lệnh hoặc các tệp thực thi có thể cho phép kẻ tấn công lợi dụng.
Cảnh báo được đưa ra ba tháng sau khi CISA kêu gọi người dùng và quản trị viên vá lỗi trên Pulse Secure VPN để ngăn chặn các cuộc tấn công khai thác lỗ hổng.
"Hacker đã khai thác thành công CVE-2019-11510 và đánh cắp thông tin đăng nhập, có thể truy cập và chuyển qua mạng của tổ chức. Sau khi tổ chức đó vá lỗ hổng mà vẫn không đổi các thông tin đăng nhập thì hacker vẫn có thể truy cập và thực hiện tấn công”, CISA nói.
Lỗi thực thi mã từ xa
Được theo dõi là CVE-2019-11510, lỗ hổng này có thể cho phép hacker tấn công từ xa các máy chủ VPN tồn tại lỗ hổng và có quyền truy cập vào thông tin của tất cả người dùng đang hoạt động và thực thi các lệnh tùy ý.
Để giải quyết vấn đề này, Pulse Secure đã phát hành một bản vá ngày 24 tháng 4 năm 2019.
Ngày 24 tháng 8 năm 2019, công ty tình báo bảo mật Bad Packets đã phát hiện ra 14,528 máy chủ Pulse Secure chưa được vá, lần quét tiếp theo vào tháng trước có 2.099 máy, cho thấy phần lớn các tổ chức đã vá các cổng VPN của họ.
Máy chủ VPN chưa được vá lỗi trở thành mục tiêu hấp dẫn
Thực tế là vẫn còn hàng ngàn máy chủ Pulse Secure VPN chưa được vá lỗi đã khiến chúng trở thành mục tiêu để hacker phát tán phần mềm độc hại.
Một báo cáo từ ClearSky đã phát hiện hacker được nhà nước Iran hậu thuẫn đã sử dụng CVE-2019-11510 để xâm nhập và đánh cắp thông tin từ các công ty CNTT và viễn thông trên toàn thế giới.
Theo khuyến cáo của NSA từ tháng 10 năm 2019, "mã khai thác được cung cấp miễn phí trên Metasploit, và GitHub. Các hacker đang tích cực sử dụng mã khai thác này".
Trong một cảnh báo tương tự được đưa ra vào năm ngoái, Trung tâm an ninh mạng quốc gia (NCSC) của Anh cảnh báo rằng các nhóm hacker đang tiếp tục khai thác lỗ hổng để nhắm vào các tổ chức chính phủ, quân đội…
Gần đây, Travelex, công ty bảo hiểm du lịch và trao đổi ngoại tệ, đã trở thành nạn nhân sau khi tội phạm mạng tung ransomware Sodinokibi (REvil) lên mạng của công ty thông qua lỗ hổng Pulse Secure. Mặc dù hacker yêu cầu khoản tiền chuộc 6 triệu đô la (4,6 triệu bảng Anh), nhưng một nguồn tin cho biết họ đã trả 2,3 triệu đô la dưới dạng 285 Bitcoin để lấy lại dữ liệu).
Trước các cuộc tấn công đang diễn ra, các tổ chức nên nâng cấp Pulse Secure VPN, đặt lại thông tin đăng nhập và quét log các yêu cầu xác thực và khai thác.
CISA cũng yêu cầu loại bỏ bất kỳ chương trình truy cập từ xa nào chưa được phép và kiểm tra các tác vụ theo lịch trình cho các tập lệnh hoặc các tệp thực thi có thể cho phép kẻ tấn công lợi dụng.
Theo: The Hacker News