-
09/04/2020
-
95
-
757 bài viết
Fortinet: Tin tặc vẫn duy trì quyền truy cập FortiGate dù các lỗ hổng đã được vá
Fortinet vừa cảnh báo các nhóm tin tặc đã tìm ra cách duy trì quyền truy cập chỉ đọc vào thiết bị FortiGate dù các lỗ hổng ban đầu dùng để xâm nhập đã được vá. Phương thức tấn công này dựa vào việc tạo liên kết tượng trưng (symlink) trong hệ thống tập tin SSL-VPN.
Theo Fortinet, kẻ tấn công đã khai thác các lỗ hổng bảo mật đã biết và được vá trước đó, bao gồm CVE-2022-42475, CVE-2023-27997 và CVE-2024-21762. Bằng cách lợi dụng các lỗi này, chúng tạo ra một symlink nối giữa hệ thống tập tin người dùng và hệ thống tập tin gốc tại thư mục phục vụ ngôn ngữ cho SSL-VPN.
Công ty bảo mật mạng cho biết các thay đổi diễn ra trong hệ thống tập tin người dùng và tránh được phát hiện, dẫn đến việc symlink độc hại vẫn tồn tại sau khi lỗ hổng ban đầu bị vá. Điều này cho phép kẻ tấn công duy trì quyền truy cập chỉ đọc vào các tập tin trên thiết bị, bao gồm cả cấu hình.
Fortinet khẳng định những khách hàng chưa từng kích hoạt SSL-VPN sẽ không bị ảnh hưởng bởi sự cố này. Hiện vẫn chưa xác định được nhóm tin tặc đứng sau chiến dịch tấn công, nhưng công ty cho biết cuộc điều tra không cho thấy dấu hiệu nhắm vào bất kỳ khu vực hay ngành nghề cụ thể nào. Fortinet đã liên hệ trực tiếp với các khách hàng bị ảnh hưởng.
Để giảm thiểu rủi ro và ngăn chặn các tình huống tương tự, Fortinet đã phát hành các bản cập nhật phần mềm cho FortiOS. Cụ thể:
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) cũng kêu gọi người dùng đặt lại thông tin đăng nhập bị lộ và cân nhắc vô hiệu hóa tính năng SSL-VPN cho đến khi các bản vá được áp dụng. CERT-FR (Pháp) cho biết họ đã ghi nhận các cuộc tấn công từ đầu năm 2023.
Ngoài ra, chuyên gia nhấn mạnh đây là vấn đề đáng lo ngại vì 2 lý do chính: một là tin tặc đang khai thác nhanh hơn tốc độ vá lỗi của các tổ chức, hai là chúng có chiến lược rõ ràng để duy trì quyền truy cập kể cả sau khi hệ thống đã được vá, cập nhật hoặc khôi phục cài đặt gốc.
Theo Fortinet, kẻ tấn công đã khai thác các lỗ hổng bảo mật đã biết và được vá trước đó, bao gồm CVE-2022-42475, CVE-2023-27997 và CVE-2024-21762. Bằng cách lợi dụng các lỗi này, chúng tạo ra một symlink nối giữa hệ thống tập tin người dùng và hệ thống tập tin gốc tại thư mục phục vụ ngôn ngữ cho SSL-VPN.
Công ty bảo mật mạng cho biết các thay đổi diễn ra trong hệ thống tập tin người dùng và tránh được phát hiện, dẫn đến việc symlink độc hại vẫn tồn tại sau khi lỗ hổng ban đầu bị vá. Điều này cho phép kẻ tấn công duy trì quyền truy cập chỉ đọc vào các tập tin trên thiết bị, bao gồm cả cấu hình.
Fortinet khẳng định những khách hàng chưa từng kích hoạt SSL-VPN sẽ không bị ảnh hưởng bởi sự cố này. Hiện vẫn chưa xác định được nhóm tin tặc đứng sau chiến dịch tấn công, nhưng công ty cho biết cuộc điều tra không cho thấy dấu hiệu nhắm vào bất kỳ khu vực hay ngành nghề cụ thể nào. Fortinet đã liên hệ trực tiếp với các khách hàng bị ảnh hưởng.
Để giảm thiểu rủi ro và ngăn chặn các tình huống tương tự, Fortinet đã phát hành các bản cập nhật phần mềm cho FortiOS. Cụ thể:
- FortiOS 7.4, 7.2, 7.0, 6.4: Liên kết symlink được đánh dấu là mã độc và sẽ bị công cụ antivirus tự động xóa.
- FortiOS 7.6.2, 7.4.7, 7.2.11, 7.0.17 và 6.4.16: Symlink bị loại bỏ và giao diện SSL-VPN được chỉnh sửa để ngăn chặn việc phục vụ các liên kết tượng trưng độc hại.
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) cũng kêu gọi người dùng đặt lại thông tin đăng nhập bị lộ và cân nhắc vô hiệu hóa tính năng SSL-VPN cho đến khi các bản vá được áp dụng. CERT-FR (Pháp) cho biết họ đã ghi nhận các cuộc tấn công từ đầu năm 2023.
Ngoài ra, chuyên gia nhấn mạnh đây là vấn đề đáng lo ngại vì 2 lý do chính: một là tin tặc đang khai thác nhanh hơn tốc độ vá lỗi của các tổ chức, hai là chúng có chiến lược rõ ràng để duy trì quyền truy cập kể cả sau khi hệ thống đã được vá, cập nhật hoặc khôi phục cài đặt gốc.
Theo The Hacker News