Các nhóm APT tăng cường khai thác các lỗ hổng trong VPN

05:33 PM 09/10/2019 In bài viết

Theo cảnh báo của các các quan chức Mỹ, các nhóm mối đe dọa dai dẳng (APT) do nhà nước hậu thuẫn đang sử dụng những lỗ hổng trong các công nghệ VPN lỗi thời từ Palo Alto Networks, Fortinet và Pulse Secure để thực hiện các cuộc tấn công mạng vào các mục tiêu tại Mỹ và nước ngoài.

Cơ quan An ninh quốc gia Mỹ (NSA) đã ban hành “Tư vấn an ninh mạng” về các mối đe dọa và đưa ra những đề xuất giảm thiểu, trong đó cảnh báo rằng nhiều tác nhân APT đã vũ khí hóa ba lỗ hổng nghiêm trọng được công bố lần đầu tiên vào tháng 8 là CVE-2019-11539, CVE-2019-11510 và CVE-2018 -13379 để truy cập vào các thiết bị VPN dễ bị tấn công. Hai lỗ hổng đầu ảnh hưởng đến Pulse Secure VPN trong khi lỗ hổng thứ ba ảnh hưởng đến hãng công nghệ Fortinet.

Trung tâm an ninh mạng quốc gia tại Anh cũng đưa ra một cảnh báo riêng về các mối đe dọa, xuất phát từ các lỗ hổng cho phép kẻ tấn công có thể truy xuất các tệp tùy ý, bao gồm cả các tệp có chứa thông tin xác thực. Các lỗ hổng cho phép kẻ tấn công sử dụng các thông tin bị đánh cắp để kết nối với các máy chủ VPN và thay đổi các thiết lập cấu hình hoặc thậm chí kết nối với cơ sở hạ tầng khác trên mạng. Thông qua kết nối trái phép này, kẻ tấn công có thể đạt được các đặc quyền để chạy các khai thác.

Cảnh báo của Anh đã bổ sung thêm hai lỗ hổng của Fortinet vào danh sách là CVE-2018-13382 và CVE-2018-13383 cũng như lỗ hổng VPN Palo Alto Networks, CVE-2019-1579.
Các nhà chức trách đã đưa ra một loạt các kỹ thuật giảm thiểu đối với các lỗ hổng, mà theo họ người dùng các sản phẩm này nên thực hiện nghiêm túc.

Để giảm thiểu các cuộc tấn công chống lại tất cả các mối đe dọa hiện có, các quan chức khuyến nghị một số bước cơ bản: Áp dụng mọi bản vá hiện có cho VPN đang sử dụng và cập nhật thông tin đăng nhập hiện có. NSA cũng đề nghị thu hồi các khóa và chứng chỉ máy chủ VPN hiện có, đồng thời tạo các chứng chỉ mới.

Danh sách toàn diện hơn về các kỹ thuật giảm thiểu được NSA khuyến nghị bao gồm việc không sử dụng các giao thức SSLVPN/TLSVPN độc quyền và chứng chỉ tự ký cho các ứng dụng web VPN công khai; yêu cầu xác thực dựa trên chứng chỉ để các máy khách từ xa cố gắng truy cập ứng dụng web VPN công khai phải xuất trình chứng chỉ ứng dụng khách hợp lệ để duy trì kết nối; và sử dụng xác thực đa yếu tố để ngăn chặn kẻ tấn công xác thực bằng mật khẩu bị đánh cắp bằng cách yêu cầu yếu tố xác thực thứ hai.

Cả NSA và Trung tâm an ninh mạng quốc gia Anh đều chưa xác định được nhóm nào chịu trách nhiệm về các vụ tấn công.

Các cảnh báo được đưa ra sau khi xuất hiện thông tin vào tháng trước rằng APT5 đã nhắm mục tiêu vào các máy chủ VPN doanh nghiệp của Fortinet và Pulse Secure sau khi thông tin chi tiết về lỗi bảo mật trong cả hai sản phẩm được công khai tại Hội nghị Bảo mật mũ Đen (Hai công ty đã vá các lỗ hổng đó). Cụ thể, APT5 đã sử dụng hai lỗ hổng này để đánh cắp các tệp lưu trữ thông tin mật khẩu hoặc dữ liệu phiên VPN từ các sản phẩm bị ảnh hưởng. Những tập tin này sẽ cho phép kẻ tấn công chiếm lấy các thiết bị dễ bị tấn công.

Theo báo cáo của FireEye, APT5 (còn được gọi là Mangan) đã hoạt động từ năm 2007 và "dường như là một nhóm mối đe dọa lớn bao gồm một số nhóm nhỏ, thường có chiến thuật và cơ sở hạ tầng riêng biệt”, chủ yếu tập trung vào các công ty công nghệ và viễn thông.

TH (Theo: https://threatpost.com)