Các xu hướng khai thác zero-day hàng đầu trong năm 2024
Các lỗ hổng chưa được vá luôn là những điểm yếu để tin tặc xâm nhập vào hệ thống CNTT của doanh nghiệp. Hoạt động của tội phạm mạng xung quanh lỗ hổng zero-day cho thấy các xu hướng chính mà bộ phận an ninh mạng cần lưu ý.
Các lỗ hổng bảo mật zero-day một lần nữa đã tăng mạnh trong năm 2024. Sau đây là một số xu hướng zero-day đáng chú ý mà các doanh nghiệp (DN) cần lưu ý. Mỗi xu hướng đều quan trọng vì tính nghiêm trọng, cách tiếp cận mới, hoặc tác động thực tế đối với tài sản của DN.
Tấn công zero-day vào các thiết bị bảo mật mạng gia tăng
Việc nhắm mục tiêu vào các thiết bị vùng biên, bao gồm cổng VPN, tường lửa, cổng bảo mật email và hệ thống cân bằng tải, đã gia tăng mạnh trong năm 2024. Các thiết bị này đóng vai trò là điểm vào lý tưởng để xâm nhập mạng DN.
Năm 2024 đã phát hiện hai lỗ hổng zero-day trong các sản phẩm Ivanti Connect Secure và Ivanti Policy Secure, một VPN SSL và một giải pháp kiểm soát truy cập mạng. Hai lỗ hổng được đề cập là CVE-2023-46805 và CVE-2024-21887, có thể bị tin tặc lợi dụng để vượt qua kiểm tra xác thực và thực thi các lệnh tùy ý trên hệ thống bị xâm phạm.
Ngoài ra, năm 2024 còn tiếp tục chứng kiến các cuộc tấn công zero-day vào nhiều lỗ hổng khác, ví dụ: Citrix NetScaler ADC và NetScaler Gateway (CVE-2023-6548, chèn mã; CVE-2023-6549, tràn bộ đệm); Ivanti Connect Secure (CVE-2024-21893, làm giả yêu cầu phía máy chủ); Fortinet FortiOS SSL VPN (CVE-2024-21762, thực thi mã tùy ý); Palo Alto Networks PAN-OS (CVE-2024-3400, tiêm lệnh) v.v...
Các lỗ hổng bảo mật khác đã được khắc phục (N-days) cũng tiếp tục bị khai thác trong các thiết bị mạng chưa được vá, khiến những hệ thống này trở thành một trong những mục tiêu hàng đầu của những kẻ tấn công vào năm 2024, đặc biệt là đối với các nhóm gián điệp mạng do các nhà nước tài trợ.
Giám sát và quản lý từ xa vẫn là mục tiêu chín muồi
Những kẻ tấn công thường xuyên lạm dụng các sản phẩm giám sát và quản lý từ xa (RMM) để duy trì sự tồn tại trên mạng công ty nhưng cũng để đột nhập trái phép vào hệ thống.
Quay trở lại năm 2021, nhóm ransomware REvil đã khai thác lỗ hổng trong máy chủ Kaseya VSA, một nền tảng quản lý từ xa được nhiều nhà cung cấp dịch vụ được quản lý (MSP) sử dụng. Vào tháng 2/2024, những kẻ tấn công đã khai thác hai lỗ hổng zero-day trong ConnectWise ScreenConnect, một công cụ RMM được sử dụng rộng rãi khác.
Các lỗ hổng, có tên CVE-2024-1708 và CVE-2024-1709, cho phép kẻ tấn công truy cập trình hướng dẫn thiết lập ban đầu và đặt lại mật khẩu quản trị như một phần của quy trình. Thông thường, trình hướng dẫn thiết lập chỉ nên chạy một lần và phải được bảo vệ sau khi ứng dụng được thiết lập.
Khai thác phần mềm chuyển tập tin
Các băng nhóm ransomware cũng được biết đến với việc nhắm mục tiêu vào phần mềm chuyển tệp được quản lý của DN (MFT) để truy cập ban đầu vào mạng công ty. Vào tháng 12, những kẻ tấn công bắt đầu khai thác lỗ hổng ghi tệp tùy ý trong Cleo LexiCom, VLTrader và Harmony, ba sản phẩm chuyển tệp của DN.
Lỗ hổng bảo mật, có tên CVE-2024-55956, tương tự như một lỗ hổng bảo mật khác đã được vá trong cùng một sản phẩm Cleo vào tháng 10 (CVE-2024-50623) cho phép cả ghi tệp tùy ý và đọc tệp. Tuy nhiên, theo các nhà nghiên cứu tại Rapid7, ngay cả khi chúng nằm trong cùng một phần của cơ sở mã và có thể truy cập thông qua cùng một điểm cuối, các lỗ hổng bảo mật vẫn khác nhau và không cần phải được liên kết với nhau.
Kẻ tấn công có thể khai thác CVE-2024-55956 để ghi tệp độc hại vào thư mục Autorun của ứng dụng, sau đó lợi dụng chức năng tích hợp để thực thi tệp và tải xuống các phần mềm độc hại bổ sung.
Vào năm 2023, một lỗ hổng tiêm SQL zero-day ( CVE-2023-34362 ) trong MOVEit Transfer, một sản phẩm MFT được hàng nghìn DN sử dụng, đã bị nhóm ransomware Cl0p khai thác để đánh cắp dữ liệu từ nhiều tổ chức. Năm nay, hai lỗ hổng bỏ qua xác thực quan trọng đã được tìm thấy trong cùng một sản phẩm (CVE-2024-5806 và CVE-2024-5805), làm dấy lên lo ngại rằng một làn sóng khai thác mớ, đặc biệt là vì các nhóm ransomware đã nhắm mục tiêu vào các sản phẩm MFT trước đó.
Trước đó, vào tháng 1/2023, nhóm Cl0p đã khai thác lỗ hổng thực thi mã từ xa zero-day (CVE-2023-0669) trong GoAnywhere MFT và tuyên bố đã đánh cắp dữ liệu từ 130 tổ chức, trong khi đó vào năm 2020, các thành viên của cùng nhóm đã khai thác lỗ hổng zero-day trong Accellion File Transfer Appliance (CVE-2021-27101).
Các lỗ hổng CI/CD hấp dẫn kẻ tấn công
Những kẻ tấn công cũng đang tìm kiếm lỗ hổng trong các công cụ CI/CD (tích hợp liên tục và triển khai liên tục) vì chúng không chỉ cung cấp điểm vào mạng công ty mà còn làm tăng khả năng xâm phạm các đường dẫn phát triển phần mềm dẫn đến các cuộc tấn công vào chuỗi cung ứng phần mềm. Một trong những cuộc tấn công như vậy đã dẫn đến việc mở cửa hậu vào năm 2020 đối với phần mềm Orion của SolarWinds được hàng chục nghìn tổ chức tư nhân và cơ quan chính phủ sử dụng.
Vào tháng 1/2024, các nhà nghiên cứu đã tìm thấy một lỗ hổng path traversal trong Jenkins (CVE-2024-23897) có thể dẫn đến việc thực thi mã. Lỗ hổng được đánh giá là nghiêm trọng và bắt nguồn từ cách phần mềm phân tích các lệnh giao diện dòng lệnh (CLI).
Mặc dù bản vá đã có sẵn khi lỗ hổng được công bố công khai và do đó không phải là zero-day, nhưng những kẻ tấn công đã nhanh chóng áp dụng nó với các dấu hiệu khai thác lỗ hổng sớm nhất là vào tháng 3. Vào tháng 8, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã thêm lỗ hổng này vào danh mục các lỗ hổng đã khai thác sau khi các nhóm ransomware bắt đầu khai thác nó để đột nhập vào mạng DN và đánh cắp dữ liệu nhạy cảm.
Một lỗ hổng CI/CD N-day khác mà kẻ tấn công khai thác trong năm nay là CVE-2024-27198, một sự cố bỏ qua bước xác thực trong JetBrains TeamCity, một máy chủ quản lý xây dựng và tích hợp liên tục. Lỗ hổng này có thể dẫn đến việc chiếm quyền kiểm soát hoàn toàn máy chủ và thực thi mã từ xa.
Đây không phải là lần đầu tiên những kẻ tấn công nhắm vào TeamCity, vì đã có một lỗ hổng bỏ qua xác thực khác, được phát hiện vào tháng 9/2023 (CVE-2023-42793), nó đã nhanh chóng bị tin tặc khai thác để xâm nhập vào môi trường Windows và sau đó tiếp tục bị các nhóm khác nhắm mục tiêu trong suốt năm 2024./.
Tài liệu tham khảo:
.png "Xuất hiện lỗ hổng “zero-day” đánh cắp tiền điện tử")
.jpg "Apple vá khẩn cấp các lỗ hổng zero-day ảnh hưởng đến iPhone, iPad và Mac")
