WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Lỗ hổng bảo mật ở thiết bị mạng của Cisco: Nguy cơ lớn
Cục An toàn thông tin (ATTT), Bộ Thông tin và Truyền thông (TT&TT) đã cảnh báo điểm yếu an toàn thông tin nghiêm trọng trên các thiết bị router (thiết bị định tuyến)/switch (bộ chuyển mạch) của Cisco.
Theo đó, có hơn 1000 thiết bị của Cisco bị ảnh hưởng. Trong đó, Việt Nam là một trong những quốc gia có dải IP bị dò quét lỗ hổng này nhiều nhất. Đáng lưu ý là các thiết bị này đều là những thiết bị sử dụng trong môi trường mạng lớn và các hệ thống lõi.
Cụ thể, trong văn bản gửi đến các đơn vị chuyên trách về CNTT các bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ; Sở TT&TT các tỉnh, thành phố trực thuộc Trung ương; các doanh nghiệp cung cấp dịch vụ viễn thông, Internet; các Tập đoàn, Tổng công ty nhà nước; các Ngân hàng TMCP và các tổ chức tài chính ngày 9/4/2018, Cục ATTT đã cảnh báo về nhóm 40 điểm yếu an toàn thông tin (lỗ hổng) trên nhiều thiết bị của Cisco.
Trong đó, lỗ hổng với mã lỗi quốc tế CVE-2018-0171 tồn tại trong chức năng Smart Install của hệ điều hành Cisco IOS - đây là một chức năng sử dụng để quản lý cài đặt, triển khai thiết bị và thường được bật mặc định.
Đối tượng tấn công khai thác lỗ hổng bằng cách gửi một thông điệp giả mạo Smart Install đến cổng TCP 4786 của thiết bị. Việc khai thác thành công cho phép đối tượng tấn công khởi động một tiến trình để nạp lại thiết bị, thực thi mã lệnh từ xa hoặc thực hiện một vòng lặp vô hạn trên thiết bị dẫn đến tình trạng từ chối dịch vụ.
Cũng theo Cục ATTT, Cisco đã xác nhận thông tin về lỗ hổng này trên các thiết bị Router/Switch của mình. Các chuyên gia an toàn thông tin của Cisco cho biết, đối tượng tấn công đã lợi dụng lỗ hổng CVE-2018-0171 để thực hiện nhiều cuộc tấn công mạng trên thế giới.
Lỗ hổng bảo mật thiết bị của Cisco tiềm ẩn nguy cơ lớn nếu bị tấn công
Ông Trần Đăng Khoa, chuyên gia bảo mật Cục An toàn thông tin cho biết, hơn 1000 thiết bị được phát hiện là thời điểm đơn vị cho quét toàn bộ không gian mạng và phát hiện ra lỗ hổng.
"Nếu bị đối tượng xấu khai thác, lợi dụng và tấn công các lỗ hổng này, có thể sẽ gây ra những nguy hiểm lớn đối với hệ thống mạng cũng như các nhà mạng viễn thông", ông Khoa phân tích.
Theo ông Ngô Tuấn Anh, Phó Chủ tịch phụ trách An ninh mạng Bkav, đây là thiết bị định tuyến, kết nối các mạng nội bộ với nhau; đồng thời kết nối mạng nội bộ với mạng internet bên ngoài. Có thể coi đây là "cửa ngõ" đầu ra của các thiết bị mạng.
Các chuyên gia đặt giả thiết nếu các thiết bị này bị ngừng trệ hoặc bị chiếm quyền điều khiển sẽ dẫn đến ngưng trệ toàn bộ hệ thống. Hoặc giả thiết nếu người dùng muốn truy cập đến địa chỉ Google, Facebook… thì đối tượng chiếm quyền điều khiển thiết bị mạng này có thể định tuyến đến các địa chỉ giả mạo, đến các server giả của hacker, dẫn đến người dùng mất thông tin tài khoản, lừa cài đặt mã độc trên máy tính.
Điều này sẽ nguy hiểm hơn nữa nếu các thiết bị này nằm trong hệ thống thiết bị nguồn của các nhà cung cấp dịch vụ mạng bởi nó không chỉ ảnh hưởng đến một số người mà liên quan đến nhiều người dùng.
Ông Ngô Tuấn Anh cho rằng, các thiết bị mạng này cũng như các thiết bị IoT có các phần mềm chạy trên đó nên sẽ có các lỗ hổng. Tuy nhiên, với các máy tính thì có thể cập nhật bản vá hệ điều hành định kỳ, còn trên các thiết bị mạng thì việc cập nhật là không dễ dàng.
Để cập nhật, người quản trị phải tải về và kết nối máy tính với thiết bị mạng đó, sau đó nâng cấp phần mềm hệ điều hành của thiết bị. Nếu người quản trị không nhận được các thông tin cảnh báo như thế này thì có thể sẽ bỏ qua.
Theo giới chuyên gia công nghệ, hiện tượng để các quản trị biết được hệ thống của mình có bị ảnh hưởng hay không đó chính là hệ thống tự nhiên ngưng trệ. Hacker có thể tấn công chiếm quyền điều khiển và nằm lâu dài trong hệ thống mạng của nạn nhân.
Ông Ngô Tuấn Anh khuyến cáo các đơn vị hãy nhanh chóng cập nhật phiên bản hệ điều hành để vá lỗ hổng; đồng thời kiểm tra rà soát xem có truy cập lạ vào hệ thống không.
Nếu có cần phải rà soát và cập nhật, thay thế toàn bộ phần mềm mới trên thiết bị mạng lõi, tránh nguy cơ hacker đã chèn mã độc vào hệ thống. Nếu cập nhật phiên bản mới mà không xóa mã độc khi hacker đã chèn thì nguy cơ cũng sẽ rất lớn.
Ngày 11-4, đại diện của Cisco phản hồi cho biết lỗ hổng này trong chức năng Smart Install. Hãng cũng đã thông báo chính thức nhằm đưa ra cảnh báo kịp thời cho khách hàng về tính cấp thiết của việc bảo vệ thiết bị chuyển mạch trước lỗi này.
"Cisco đã chia sẻ các thông tin bổ sung nhằm hướng dẫn khách hàng nhận biết cách đánh giá và bảo vệ mạng của mình. Các quản trị viên được tư vấn nên vô hiệu hóa chức năng Smart Install nếu chức năng này không cần thiết hoặc áp dụng biện pháp kiểm soát an toàn bảo mật thích hợp cho thiết bị, nhằm ngăn chặn các truy cập không mong muốn vào cổng Smart Install như một phần của quá trình cài đặt và cấu hình", phía Cisco thông tin về vụ việc.
Theo đó, có hơn 1000 thiết bị của Cisco bị ảnh hưởng. Trong đó, Việt Nam là một trong những quốc gia có dải IP bị dò quét lỗ hổng này nhiều nhất. Đáng lưu ý là các thiết bị này đều là những thiết bị sử dụng trong môi trường mạng lớn và các hệ thống lõi.
Cụ thể, trong văn bản gửi đến các đơn vị chuyên trách về CNTT các bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ; Sở TT&TT các tỉnh, thành phố trực thuộc Trung ương; các doanh nghiệp cung cấp dịch vụ viễn thông, Internet; các Tập đoàn, Tổng công ty nhà nước; các Ngân hàng TMCP và các tổ chức tài chính ngày 9/4/2018, Cục ATTT đã cảnh báo về nhóm 40 điểm yếu an toàn thông tin (lỗ hổng) trên nhiều thiết bị của Cisco.
Trong đó, lỗ hổng với mã lỗi quốc tế CVE-2018-0171 tồn tại trong chức năng Smart Install của hệ điều hành Cisco IOS - đây là một chức năng sử dụng để quản lý cài đặt, triển khai thiết bị và thường được bật mặc định.
Đối tượng tấn công khai thác lỗ hổng bằng cách gửi một thông điệp giả mạo Smart Install đến cổng TCP 4786 của thiết bị. Việc khai thác thành công cho phép đối tượng tấn công khởi động một tiến trình để nạp lại thiết bị, thực thi mã lệnh từ xa hoặc thực hiện một vòng lặp vô hạn trên thiết bị dẫn đến tình trạng từ chối dịch vụ.
Cũng theo Cục ATTT, Cisco đã xác nhận thông tin về lỗ hổng này trên các thiết bị Router/Switch của mình. Các chuyên gia an toàn thông tin của Cisco cho biết, đối tượng tấn công đã lợi dụng lỗ hổng CVE-2018-0171 để thực hiện nhiều cuộc tấn công mạng trên thế giới.
Lỗ hổng bảo mật thiết bị của Cisco tiềm ẩn nguy cơ lớn nếu bị tấn công
Ông Trần Đăng Khoa, chuyên gia bảo mật Cục An toàn thông tin cho biết, hơn 1000 thiết bị được phát hiện là thời điểm đơn vị cho quét toàn bộ không gian mạng và phát hiện ra lỗ hổng.
"Nếu bị đối tượng xấu khai thác, lợi dụng và tấn công các lỗ hổng này, có thể sẽ gây ra những nguy hiểm lớn đối với hệ thống mạng cũng như các nhà mạng viễn thông", ông Khoa phân tích.
Theo ông Ngô Tuấn Anh, Phó Chủ tịch phụ trách An ninh mạng Bkav, đây là thiết bị định tuyến, kết nối các mạng nội bộ với nhau; đồng thời kết nối mạng nội bộ với mạng internet bên ngoài. Có thể coi đây là "cửa ngõ" đầu ra của các thiết bị mạng.
Các chuyên gia đặt giả thiết nếu các thiết bị này bị ngừng trệ hoặc bị chiếm quyền điều khiển sẽ dẫn đến ngưng trệ toàn bộ hệ thống. Hoặc giả thiết nếu người dùng muốn truy cập đến địa chỉ Google, Facebook… thì đối tượng chiếm quyền điều khiển thiết bị mạng này có thể định tuyến đến các địa chỉ giả mạo, đến các server giả của hacker, dẫn đến người dùng mất thông tin tài khoản, lừa cài đặt mã độc trên máy tính.
Điều này sẽ nguy hiểm hơn nữa nếu các thiết bị này nằm trong hệ thống thiết bị nguồn của các nhà cung cấp dịch vụ mạng bởi nó không chỉ ảnh hưởng đến một số người mà liên quan đến nhiều người dùng.
Ông Ngô Tuấn Anh cho rằng, các thiết bị mạng này cũng như các thiết bị IoT có các phần mềm chạy trên đó nên sẽ có các lỗ hổng. Tuy nhiên, với các máy tính thì có thể cập nhật bản vá hệ điều hành định kỳ, còn trên các thiết bị mạng thì việc cập nhật là không dễ dàng.
Để cập nhật, người quản trị phải tải về và kết nối máy tính với thiết bị mạng đó, sau đó nâng cấp phần mềm hệ điều hành của thiết bị. Nếu người quản trị không nhận được các thông tin cảnh báo như thế này thì có thể sẽ bỏ qua.
Theo giới chuyên gia công nghệ, hiện tượng để các quản trị biết được hệ thống của mình có bị ảnh hưởng hay không đó chính là hệ thống tự nhiên ngưng trệ. Hacker có thể tấn công chiếm quyền điều khiển và nằm lâu dài trong hệ thống mạng của nạn nhân.
Ông Ngô Tuấn Anh khuyến cáo các đơn vị hãy nhanh chóng cập nhật phiên bản hệ điều hành để vá lỗ hổng; đồng thời kiểm tra rà soát xem có truy cập lạ vào hệ thống không.
Nếu có cần phải rà soát và cập nhật, thay thế toàn bộ phần mềm mới trên thiết bị mạng lõi, tránh nguy cơ hacker đã chèn mã độc vào hệ thống. Nếu cập nhật phiên bản mới mà không xóa mã độc khi hacker đã chèn thì nguy cơ cũng sẽ rất lớn.
Ngày 11-4, đại diện của Cisco phản hồi cho biết lỗ hổng này trong chức năng Smart Install. Hãng cũng đã thông báo chính thức nhằm đưa ra cảnh báo kịp thời cho khách hàng về tính cấp thiết của việc bảo vệ thiết bị chuyển mạch trước lỗi này.
"Cisco đã chia sẻ các thông tin bổ sung nhằm hướng dẫn khách hàng nhận biết cách đánh giá và bảo vệ mạng của mình. Các quản trị viên được tư vấn nên vô hiệu hóa chức năng Smart Install nếu chức năng này không cần thiết hoặc áp dụng biện pháp kiểm soát an toàn bảo mật thích hợp cho thiết bị, nhằm ngăn chặn các truy cập không mong muốn vào cổng Smart Install như một phần của quá trình cài đặt và cấu hình", phía Cisco thông tin về vụ việc.
Theo VOV, Vietnam+