-
09/04/2020
-
122
-
1.392 bài viết
Tấn công mạng quy mô lớn nhắm vào GlobalProtect VPN và SonicOS API
Một chiến dịch tấn công mạng quy mô lớn vừa được ghi nhận khi hơn 7.000 địa chỉ IP từ hạ tầng thuê của công ty Đức 3xK GmbH đồng loạt nhắm vào các cổng VPN GlobalProtect của Palo Alto Networks. Chỉ trong thời gian ngắn sau ngày 02/12, lượng IP này đã tạo ra hàng triệu lần thử đăng nhập rồi nhanh chóng chuyển hướng sang quét API SonicWall SonicOS, mở rộng phạm vi tấn công và làm dấy lên lo ngại về nguy cơ rò rỉ thông tin đăng nhập cùng lộ diện các điểm quản trị trọng yếu.
Các chuyên gia của GreyNoise phát hiện rằng ba dấu vân tay kỹ thuật số (client fingerprint) xuất hiện liên tục trong các đợt quét từ cuối tháng 9 đến giữa tháng 11, cho thấy cùng một tác nhân thực hiện nhiều lần tấn công. Trong lần quét giữa tháng 11, hạ tầng thuê của công ty Đức 3xK tạo ra hơn 2,3 triệu phiên quét nhắm vào các cổng GlobalProtect, phần lớn từ Đức, và tất cả sử dụng cùng kiểu fingerprint. Ngày 03/12, ba fingerprint này tiếp tục xuất hiện khi kẻ tấn công quét các API của SonicOS, cho thấy họ nhanh chóng chuyển hướng từ brute-force VPN sang kiểm tra cấu hình tường lửa, nhằm tìm các dịch vụ để lộ ra ngoài hoặc lỗ hổng có thể khai thác.
Số lượng địa chỉ IP điều khiển các cuộc tấn công
Nguồn: GreyNoise
GlobalProtect là giải pháp VPN được triển khai rộng rãi trong các doanh nghiệp lớn, cơ quan chính phủ và nhà cung cấp dịch vụ. Nếu tài khoản bị chiếm quyền truy cập, kẻ tấn công có thể xâm nhập mạng nội bộ, gây nguy cơ rò rỉ dữ liệu hoặc thao túng hệ thống. SonicOS cũng cung cấp API quản trị từ xa và nếu không được bảo vệ tốt, chúng có thể bị lợi dụng để khai thác firewall hoặc thu thập thông tin mạng nội bộ.
Palo Alto Networks xác nhận các hoạt động này là tấn công dựa trên thông tin đăng nhập, không liên quan đến lỗ hổng phần mềm. Thông tin từ Cortex XSIAM cho thấy sản phẩm của họ không bị xâm phạm. Để giảm rủi ro, công ty khuyến nghị khách hàng bắt buộc áp dụng Multi-Factor Authentication (MFA), đồng thời giám sát các nỗ lực đăng nhập bất thường để ngăn lạm dụng tài khoản.
Hoạt động quét SonicWall
Nguồn: GreyNoise
Các chuyên gia an ninh mạng cảnh báo cần giám sát tất cả điểm đăng nhập, phát hiện thất bại đăng nhập bất thường, theo dõi fingerprint client, và áp dụng chặn động dựa trên hành vi thay vì chỉ dựa vào danh sách IP tĩnh. Với SonicWall, việc hạn chế quyền truy cập API, áp dụng rate-limit, audit cấu hình và cập nhật bản vá kịp thời là cần thiết.
Số lượng địa chỉ IP điều khiển các cuộc tấn công
Nguồn: GreyNoise
Palo Alto Networks xác nhận các hoạt động này là tấn công dựa trên thông tin đăng nhập, không liên quan đến lỗ hổng phần mềm. Thông tin từ Cortex XSIAM cho thấy sản phẩm của họ không bị xâm phạm. Để giảm rủi ro, công ty khuyến nghị khách hàng bắt buộc áp dụng Multi-Factor Authentication (MFA), đồng thời giám sát các nỗ lực đăng nhập bất thường để ngăn lạm dụng tài khoản.
Hoạt động quét SonicWall
Nguồn: GreyNoise
Các chuyên gia an ninh mạng cảnh báo cần giám sát tất cả điểm đăng nhập, phát hiện thất bại đăng nhập bất thường, theo dõi fingerprint client, và áp dụng chặn động dựa trên hành vi thay vì chỉ dựa vào danh sách IP tĩnh. Với SonicWall, việc hạn chế quyền truy cập API, áp dụng rate-limit, audit cấu hình và cập nhật bản vá kịp thời là cần thiết.
Theo Bleeping Computer
Chỉnh sửa lần cuối: