-
09/04/2020
-
128
-
1.638 bài viết
Lỗ hổng Apache ActiveMQ bị khai thác, LockBit quay lại mã hóa hệ thống
Một lỗ hổng chưa được vá trên máy chủ Apache ActiveMQ đã trở thành “cửa ngõ” cho tin tặc xâm nhập vào hệ thống doanh nghiệp, leo thang đặc quyền, đánh cắp thông tin xác thực và cuối cùng triển khai mã độc tống tiền LockBit. Đáng chú ý, dù từng bị phát hiện và đẩy ra khỏi hệ thống, nhóm tấn công vẫn quay trở lại sau 18 ngày, khai thác chính điểm yếu cũ để hoàn tất chiến dịch mã hóa dữ liệu. Vụ việc, được phân tích bởi The DFIR Report là lời cảnh báo rõ ràng về rủi ro từ các hệ thống công khai trên Internet nhưng không được cập nhật bản vá kịp thời.
Lỗ hổng bị khai thác là gì? Ở đâu và nguy hiểm ra sao?
Trọng tâm của sự cố là lỗ hổng CVE-2023-46604 trong Apache ActiveMQ (một nền tảng message broker mã nguồn mở phổ biến, thường được sử dụng trong các hệ thống tích hợp, ứng dụng doanh nghiệp và kiến trúc microservices). CVE-2023-46604 là lỗ hổng thực thi mã từ xa, cho phép kẻ tấn công gửi dữ liệu độc hại tới máy chủ ActiveMQ đang mở cổng ra Internet và buộc hệ thống thực thi lệnh tùy ý. Lỗ hổng này được đánh giá mức độ nghiêm trọng, với điểm CVSS khoảng 10/10 do có thể bị khai thác từ xa mà không cần xác thực.
Nguyên nhân kỹ thuật nằm ở cơ chế xử lý dữ liệu đầu vào của ActiveMQ khi tương tác với các lớp Java Spring. Tin tặc có thể cung cấp một file cấu hình XML độc hại, trong đó chèn lệnh tải và thực thi mã từ máy chủ bên ngoài.
Nguyên nhân kỹ thuật nằm ở cơ chế xử lý dữ liệu đầu vào của ActiveMQ khi tương tác với các lớp Java Spring. Tin tặc có thể cung cấp một file cấu hình XML độc hại, trong đó chèn lệnh tải và thực thi mã từ máy chủ bên ngoài.
Quá trình khai thác diễn ra như thế nào?
Theo phân tích kỹ thuật, cuộc tấn công bắt đầu vào tháng 02/2024 khi đối tượng nhắm vào một máy chủ ActiveMQ đang mở cổng ra Internet và chưa vá CVE-2023-46604.
Tin tặc gửi một file XML độc hại tới máy chủ. File này chứa lệnh yêu cầu hệ thống tải một payload từ máy chủ từ xa. Để thực thi, chúng sử dụng công cụ hợp pháp của Windows là CertUtil (vốn thường dùng để quản lý chứng chỉ) nhằm tải xuống file độc hại mà không bị nghi ngờ.
Payload được tải về thực chất là một Metasploit stager. Metasploit là framework kiểm thử xâm nhập phổ biến, nhưng khi rơi vào tay kẻ xấu, nó trở thành công cụ điều khiển từ xa cực kỳ nguy hiểm. Sau khi thực thi, tin tặc leo thang đặc quyền và giành quyền SYSTEM – mức quyền cao nhất trên máy Windows.
Từ đây, chúng thực hiện di chuyển ngang trong mạng nội bộ bằng cách khai thác lưu lượng SMB, tiếp tục triển khai payload Metasploit sang các hệ thống khác. Một bước quan trọng trong quá trình này là truy cập bộ nhớ tiến trình LSASS (nơi lưu trữ thông tin xác thực đăng nhập trên Windows). Việc trích xuất credential từ LSASS cho phép tin tặc thu thập tài khoản quản trị và chuẩn bị cho giai đoạn tấn công tiếp theo.
Tin tặc gửi một file XML độc hại tới máy chủ. File này chứa lệnh yêu cầu hệ thống tải một payload từ máy chủ từ xa. Để thực thi, chúng sử dụng công cụ hợp pháp của Windows là CertUtil (vốn thường dùng để quản lý chứng chỉ) nhằm tải xuống file độc hại mà không bị nghi ngờ.
Payload được tải về thực chất là một Metasploit stager. Metasploit là framework kiểm thử xâm nhập phổ biến, nhưng khi rơi vào tay kẻ xấu, nó trở thành công cụ điều khiển từ xa cực kỳ nguy hiểm. Sau khi thực thi, tin tặc leo thang đặc quyền và giành quyền SYSTEM – mức quyền cao nhất trên máy Windows.
Từ đây, chúng thực hiện di chuyển ngang trong mạng nội bộ bằng cách khai thác lưu lượng SMB, tiếp tục triển khai payload Metasploit sang các hệ thống khác. Một bước quan trọng trong quá trình này là truy cập bộ nhớ tiến trình LSASS (nơi lưu trữ thông tin xác thực đăng nhập trên Windows). Việc trích xuất credential từ LSASS cho phép tin tặc thu thập tài khoản quản trị và chuẩn bị cho giai đoạn tấn công tiếp theo.
Tin tặc quay lại sau 18 ngày: Điều gì đã xảy ra?
Dù từng bị phát hiện và loại khỏi hệ thống, nhóm tấn công đã quay trở lại sau 18 ngày (vẫn thông qua máy chủ ActiveMQ chưa được vá).
Kịch bản tái diễn: Khai thác RCE, leo thang đặc quyền, truy xuất LSASS và di chuyển ngang. Tuy nhiên, lần này chúng sử dụng các thông tin xác thực đã đánh cắp trước đó để đăng nhập vào các máy chủ khác thông qua Remote Desktop Protocol (RDP).
RDP trở thành phương tiện chính để triển khai mã độc tống tiền. Tin tặc cài đặt phần mềm truy cập từ xa AnyDesk để duy trì quyền kiểm soát, cấu hình RDP cho mục đích duy trì truy cập lâu dài, sau đó tải và thực thi LockBit trên nhiều hệ thống, bao gồm cả máy chủ sao lưu và máy chủ file.
Kịch bản tái diễn: Khai thác RCE, leo thang đặc quyền, truy xuất LSASS và di chuyển ngang. Tuy nhiên, lần này chúng sử dụng các thông tin xác thực đã đánh cắp trước đó để đăng nhập vào các máy chủ khác thông qua Remote Desktop Protocol (RDP).
RDP trở thành phương tiện chính để triển khai mã độc tống tiền. Tin tặc cài đặt phần mềm truy cập từ xa AnyDesk để duy trì quyền kiểm soát, cấu hình RDP cho mục đích duy trì truy cập lâu dài, sau đó tải và thực thi LockBit trên nhiều hệ thống, bao gồm cả máy chủ sao lưu và máy chủ file.
LockBit được triển khai ra sao?
LockBit là một trong những biến thể ransomware khét tiếng toàn cầu. Trong vụ việc này, các file thực thi có tên "LB3_pass.exe" và "LB3.exe" được chạy thủ công qua phiên RDP.
Đáng chú ý, ghi chú đòi tiền chuộc đã được chỉnh sửa, hướng nạn nhân sử dụng Session (ứng dụng nhắn tin mã hóa) thay vì truy cập trang rò rỉ dữ liệu trên Tor như thông lệ của LockBit. Điều này cho thấy tin tặc sử dụng bộ công cụ LockBit builder bị rò rỉ, cho phép chúng tùy chỉnh chiến dịch.
Việc thực thi được cấu hình với các tham số đặc biệt, có khả năng kích hoạt cơ chế lây lan qua SMB, khiến mã độc mã hóa dữ liệu trên diện rộng trong mạng nội bộ. Chỉ trong khoảng bốn giờ, hệ thống bị mã hóa hàng loạt, để lại các file đòi tiền chuộc trên nhiều máy chủ quan trọng.
Đáng chú ý, ghi chú đòi tiền chuộc đã được chỉnh sửa, hướng nạn nhân sử dụng Session (ứng dụng nhắn tin mã hóa) thay vì truy cập trang rò rỉ dữ liệu trên Tor như thông lệ của LockBit. Điều này cho thấy tin tặc sử dụng bộ công cụ LockBit builder bị rò rỉ, cho phép chúng tùy chỉnh chiến dịch.
Việc thực thi được cấu hình với các tham số đặc biệt, có khả năng kích hoạt cơ chế lây lan qua SMB, khiến mã độc mã hóa dữ liệu trên diện rộng trong mạng nội bộ. Chỉ trong khoảng bốn giờ, hệ thống bị mã hóa hàng loạt, để lại các file đòi tiền chuộc trên nhiều máy chủ quan trọng.
Rủi ro và hậu quả
Việc một lỗ hổng RCE trên hệ thống công khai bị khai thác có thể dẫn đến:
- Toàn bộ mạng nội bộ bị xâm nhập từ một điểm duy nhất
- Mất quyền kiểm soát máy chủ và tài khoản quản trị
- Rò rỉ thông tin xác thực và dữ liệu nhạy cảm
- Mã hóa hệ thống sao lưu, khiến doanh nghiệp không thể khôi phục
- Gián đoạn vận hành nghiêm trọng
Trường hợp này cho thấy một thực tế nguy hiểm là chỉ cần một dịch vụ Internet-facing chưa vá lỗi, toàn bộ hạ tầng doanh nghiệp có thể sụp đổ.
Vì sao mức độ nguy hiểm đặc biệt cao?
Thứ nhất, CVE-2023-46604 có thể khai thác từ xa mà không cần tài khoản hợp lệ.
Thứ hai, ActiveMQ thường chạy với quyền cao và nằm sâu trong hạ tầng tích hợp doanh nghiệp.
Thứ ba, nhiều tổ chức chỉ “đuổi” tin tặc ra khỏi hệ thống mà không vá lỗ hổng gốc, tạo điều kiện cho chúng quay lại bất cứ lúc nào.
Thứ tư, việc sử dụng RDP để triển khai ransomware cho thấy khi tin tặc đã có credential hợp lệ, chúng không cần kỹ thuật quá phức tạp để gây thiệt hại.
Thứ hai, ActiveMQ thường chạy với quyền cao và nằm sâu trong hạ tầng tích hợp doanh nghiệp.
Thứ ba, nhiều tổ chức chỉ “đuổi” tin tặc ra khỏi hệ thống mà không vá lỗ hổng gốc, tạo điều kiện cho chúng quay lại bất cứ lúc nào.
Thứ tư, việc sử dụng RDP để triển khai ransomware cho thấy khi tin tặc đã có credential hợp lệ, chúng không cần kỹ thuật quá phức tạp để gây thiệt hại.
Doanh nghiệp cần làm gì để phòng tránh?
Các chuyên gia an ninh mạng khuyến nghị:
Khẩn trương cập nhật bản vá cho Apache ActiveMQ, đặc biệt các phiên bản chịu ảnh hưởng bởi CVE-2023-46604
- Không để dịch vụ message broker hoặc hệ thống quản trị mở trực tiếp ra Internet
- Giám sát lưu lượng bất thường liên quan đến CertUtil, Metasploit, LSASS dump
- Hạn chế và giám sát chặt chẽ truy cập RDP
- Bật xác thực đa yếu tố (MFA) cho tài khoản quản trị
- Phân đoạn mạng nội bộ để ngăn chặn lateral movement
- Sao lưu dữ liệu offline, tách biệt khỏi hệ thống sản xuất
- Theo dõi log truy cập RDP và AnyDesk bất thường
Ngoài ra, sau khi xử lý sự cố, cần thực hiện rà soát toàn diện, thay đổi toàn bộ mật khẩu quản trị và đánh giá lại mức độ xâm nhập.
Theo Cyber Press
Chỉnh sửa lần cuối: