-
09/04/2020
-
110
-
1.044 bài viết
Điều gì xảy ra nếu chứng chỉ VPN của bạn bị kẻ tấn công giả mạo?
Mới đây, Palo Alto Networks đã công bố một lỗ hổng trong ứng dụng VPN GlobalProtect, cho phép kẻ tấn công leo thang đặc quyền và cài đặt phần mềm độc hại trên các thiết bị đầu cuối. Lỗ hổng này được gán mã CVE-2025-2183 bắt nguồn từ quá trình xác thực chứng chỉ chưa đủ chặt chẽ trên các hệ thống Windows và Linux.
Điều gì sẽ xảy ra nếu chứng chỉ VPN vốn được xem như “chìa khóa tin cậy” để bảo vệ kết nối lại bị kẻ tấn công giả mạo? Thay vì được bảo mật, thiết bị của bạn có thể trở thành đích đến cho phần mềm độc hại.
Đây chính là nguy cơ mà lỗ hổng CVE-2025-2183 trong ứng dụng VPN GlobalProtect của Palo Alto Networks mang lại. Điểm yếu này xuất phát từ quá trình xác thực chứng chỉ chưa đủ chặt chẽ trên hệ thống Windows và Linux, tạo điều kiện cho kẻ tấn công leo thang đặc quyền và cài đặt phần mềm độc hại trên thiết bị đầu cuối.
Dù chưa ghi nhận trường hợp khai thác thực tế nào nhưng rủi ro tiềm ẩn mà lỗ hổng mang lại đòi hỏi các tổ chức sử dụng GlobalProtect cần nhanh chóng cập nhật bản vá và điều chỉnh cấu hình để giảm thiểu nguy cơ.
Palo Alto Networks đã phát hành các bản vá, đồng thời khuyến cáo thêm một số biện pháp cấu hình:
Điều gì sẽ xảy ra nếu chứng chỉ VPN vốn được xem như “chìa khóa tin cậy” để bảo vệ kết nối lại bị kẻ tấn công giả mạo? Thay vì được bảo mật, thiết bị của bạn có thể trở thành đích đến cho phần mềm độc hại.
Đây chính là nguy cơ mà lỗ hổng CVE-2025-2183 trong ứng dụng VPN GlobalProtect của Palo Alto Networks mang lại. Điểm yếu này xuất phát từ quá trình xác thực chứng chỉ chưa đủ chặt chẽ trên hệ thống Windows và Linux, tạo điều kiện cho kẻ tấn công leo thang đặc quyền và cài đặt phần mềm độc hại trên thiết bị đầu cuối.
Dù chưa ghi nhận trường hợp khai thác thực tế nào nhưng rủi ro tiềm ẩn mà lỗ hổng mang lại đòi hỏi các tổ chức sử dụng GlobalProtect cần nhanh chóng cập nhật bản vá và điều chỉnh cấu hình để giảm thiểu nguy cơ.
Nguyên nhân và cách thức tấn công
Điểm yếu bảo mật xuất phát từ việc ứng dụng GlobalProtect cho phép kết nối tới máy chủ tùy ý do không kiểm tra chặt chẽ chứng chỉ. Kẻ tấn công có thể lợi dụng lỗ hổng này để:- Kết nối ứng dụng đến máy chủ giả mạo.
- Cài đặt chứng chỉ gốc độc hại trên thiết bị.
- Phát tán phần mềm được ký bởi chứng chỉ giả mạo, qua đó qua mặt hệ thống bảo mật.
- Khi chứng chỉ “Trusted Root CA” chứa toàn bộ chuỗi chứng chỉ của Portal/Gateway.
- Khi tùy chọn “FULLCHAINCERTVERIFY” được bật.
Phiên bản bị ảnh hưởng
- Windows: GlobalProtect 6.3 (trước 6.3.3-h2), 6.2 (trước 6.2.8-h3) cùng toàn bộ 6.1 và 6.0.
- Linux: GlobalProtect 6.3 (trước 6.3.3), toàn bộ 6.2, 6.1 và 6.0.
Palo Alto Networks đã phát hành các bản vá, đồng thời khuyến cáo thêm một số biện pháp cấu hình:
- Đảm bảo chứng chỉ portal/gateway được xác thực thông qua kho chứng chỉ của hệ điều hành
- Loại bỏ chứng chỉ portal/gateway khỏi danh sách “Trusted Root CA”
- Bật tùy chọn “Enable Strict Certificate Check” trong cài đặt portal
Theo Cyber Press
Chỉnh sửa lần cuối: