Nhiều cơ quan chính phủ Na Uy bị tin tặc  xâm phạm, khai thác lỗ hổng zero-day

Tuần trước, các tin tặc xác nhận rằng chúng đã xâm phạm nhiều cơ quan chính phủ Na Uy bằng cách khai thác lỗ hổng chưa được phát hiện trước đó trong Ivanti Endpoint Manager Mobile (EPMM), trước đây là MobileIron Core, phần mềm này cũng được các cơ quan chính phủ trên khắp Hoa Kỳ và Vương quốc Anh sử dụng.

Mặc dù mức ảnh hưởng của các cuộc tấn công mạng trên đối với các cơ quan thuộc chính phủ Na Uy vẫn chưa được làm rõ, nhưng việc khai thác thành công lỗ hổng (CVE-2023-35078) cho phép tin tặc truy cập mà không cần xác thực vào thông tin cá nhân của người dùng và có thể thực hiện những thay đổi trên máy chủ có lỗ hổng.

CISA đã cảnh báo rằng lỗ hổng có thể bị khai thác để tạo tài khoản quản trị viên trên máy chủ có chứa lỗ hổng, hơn nữa còn có thể cho phép thay đổi cấu hình máy chủ.

CISA, cùng với trung tâm an ninh mạng quốc gia Na Uy (NCSC-NO), hồi đầu tuần đã đưa ra một cảnh báo rằng những kẻ tấn công đã lợi dụng lỗ hổng zero-day từ tháng 4, trước khi phát hiện ra sự khai thác lần đầu tiên.

Theo giải thích trong cảnh báo, những kẻ tấn công giấu tên được chính phủ hậu thuẫn “đã lợi dụng các bộ định tuyến dùng cho văn phòng nhỏ/văn phòng tại nhà (SOHO) bị xâm nhập, bao gồm cả bộ định tuyến ASUS” làm proxy để che giấu nguồn gốc các cuộc tấn công.

Cơ quan an ninh cũng cũng cảnh báo rằng, tin tặc đang lợi dụng lỗ hổng thứ hai là CVE-2023-35081 làm giảm sự phức tạp của việc thực thi các cuộc tấn công.

Trong một khuyến nghị được công bố vào ngày 4/8, Ivanti đã cảnh báo rằng lỗ hổng ghi tệp tùy ý từ xa mới có nguy cơ cho phép tác nhân đe dọa tạo, sửa đổi hoặc xóa tệp từ xa trong máy chủ Ivanti EPMM và cho biết nó có thể được sử dụng cùng với lỗ hổng trước đó để vượt qua những giới hạn xác thực của quản trị viên.

Ivanti đã phát hành một bản vá cho lỗ hổng zero-day đầu tiên vào ngày 23/7 và một bản vá khác cho lỗ hổng bảo mật vào ngày 28/7. CISA đã thêm cả hai lỗ hổng vào danh mục các lỗ hổng bị khai thác đã biết, yêu cầu các cơ quan dân sự liên bang phải áp dụng các bản vá cho đến ngày 21/8.

CISA và NCSC-NO cũng kêu gọi các cơ quan kiểm tra trên những hệ thống của họ xem có nguy cơ bị xâm phạm hay không và ngay lập tức báo cáo mọi vấn đề.

CISA lưu ý rằng, những tác nhân được chính phủ hậu thuẫn đã từng khai thác các lỗ hổng MobileIron trước đây và các cuộc xâm nhập trước đó có liên quan đến những tin tặc do nhà nước tài trợ. “Do đó, CISA và NCSC-NO lo ngại về khả năng khai thác rộng rãi trong các mạng của chính phủ và khu vực tư nhân”.

Daniel Spicer, Giám đốc an ninh của Ivanti từ chối bình luận về quy kết hoặc động cơ và cho biết: “Những gì chúng ta có thể nói là các tác nhân đe dọa tiếp tục hoàn thiện những chiến thuật của chúng với tính dai dẳng, bền bỉ, sử dụng những công cụ và công nghệ mới nổi cùng những khai thác tinh vi”.

Tuy nhiên, công ty lưu ý rằng họ cũng chỉ nắm được số lượng rất hạn chế khách hàng bị ảnh hưởng. Điều này cho thấy danh sách nạn nhân đã vượt ra ngoài chính phủ Na Uy.

Theo Shodan, một công cụ tìm kiếm các thiết bị bị lộ công khai thì vẫn còn hơn 2.200 cổng MobileIron bị lộ trên Internet, phần lớn trong số đó nằm ở Hoa Kỳ./.