FBI cảnh báo lỗ hổng zero-day của FatPipe VPN đã bị khai thác ít nhất 6 tháng
An toàn thông tin - Ngày đăng : 10:13, 21/11/2021
"Kể từ tháng 11/2021, phân tích pháp y của FBI đã chỉ ra việc khai thác một lỗ hổng zero-day trong phần mềm thiết bị FatPipe MPVPN đã có ít nhất từ tháng 5/2021", FBI đưa ra trong một cảnh báo nhanh mới đây.
Lỗ hổng - đã được vá trong tuần này - được tìm thấy trong phần mềm thiết bị cho sản phẩm dự phòng WAN WARP của FatPipe, thiết bị phân cụm bộ định tuyến MPVPN, IPVPN và thiết bị cân bằng tải VPN. Đây là các sản phẩm dành cho các máy chủ được lắp đặt tại các biên mạng và được sử dụng để cho phép nhân viên truy cập từ xa vào các ứng dụng nội bộ thông qua Internet, đóng vai trò như một phần cổng mạng, một phần tường lửa.
Theo cảnh báo, lỗ hổng này cho phép các tác nhân đe dọa thực hiện tấn công có chủ đích (APT) để khai thác chức năng tải tệp lên trong firmware của thiết bị nhằm cài đặt một webshell (một dạng mã độc, backdoor (cửa hậu) sở hữu nhiều các chức năng, giúp hỗ trợ cho quá trình xâm nhập và chiếm quyền quản lý hệ thống các website của các tin tặc) nhằm chiếm quyền root, leo thang đặc quyền và thực hiện các hoạt động tiếp theo.
"Việc khai thác lỗ hổng này được coi là điểm khởi đầu cho những kẻ tấn công APT tiến hành các hoạt động khai thác khác".
FBI cảnh báo rằng kẻ tấn công đã tận dụng webshell và tấn công cơ sở hạ tầng mạng của Mỹ bằng cách thiết lập một dịch vụ SSH độc hại, theo sau là một số bước được thiết kế để che giấu các cuộc xâm nhập và bảo vệ việc khai thác để truy cập lại về sau.
Trong một bản tin độc lập (FPSA006), FatPipe nói rằng lỗ hổng bắt nguồn từ việc thiếu cơ chế xác thực đầu vào cho các HTTP request, do đó cho phép kẻ tấn công khai thác lỗ hổng bằng cách gửi một HTTP request độc hại tới thiết bị bị ảnh hưởng.
Cảnh báo của FBI bao gồm một danh sách các chỉ số về sự xâm nhập (IOC) và dấu vết phần mềm độc hại YARA và yêu cầu các tổ chức "hành động ngay lập tức" nếu họ xác định bất kỳ hoạt động mạng nào có liên quan.
FBI đang kêu gọi quản trị viên hệ thống nâng cấp thiết bị của họ ngay lập tức và tuân theo các khuyến nghị bảo mật khác của FatPipe, bao gồm việc tắt quyền truy cập UI và SSH từ giao diện WAN (giao diện bên ngoài) khi không sử dụng hoặc cấu hình danh sách truy cập để chỉ cho phép truy cập từ các nguồn đáng tin cậy./.