Mạng doanh nghiệp gặp nguy cơ khi tin tặc tấn công máy chủ
Xu hướng - Dự báo - Ngày đăng : 16:27, 26/08/2019
Không có gì ngạc nhiên, các nhóm tin tặc đã bắt đầu khai thác những lỗ hổng đã được công khai vào đầu tháng này, lợi dụng các chi tiết kỹ thuật phổ biến và mã khai thác demo để khởi động các cuộc tấn công chống lại các mục tiêu trong thế giới thực.
Các cuộc tấn công đã bắt đầu trong tuần trước, nhắm mục tiêu vào Webmin, một tiện ích dựa trên web để quản lý các hệ thống Linux và * NIX cũng như các sản phẩm VPN dành cho doanh nghiệp gồm Pulse Secure và FortiGate của Fortinet.
Tất cả ba loại tấn công đều nguy hiểm như nhau, vì chúng nhắm vào các thiết bị trong mạng doanh nghiệp và cho phép kẻ tấn công kiểm soát hoàn toàn các hệ thống bị tấn công.
Các cuộc tấn công trong tuần qua vào Webmin, Pulse Secure và FortiGate là một trong những điều tồi tệ nhất trong năm nay, không phải về số lượng tấn công, mà vì tính chất nhạy cảm của các hệ thống mà chúng nhắm tới.
Các cuộc tấn công vào Webmin
Cuộc tấn công đầu tiên bắt đầu vào thứ ba tuần trước, một ngày sau khi tin tức về một “cửa hậu” lớn được tiết lộ trên Webmin, một công cụ dựa trên web mà các quản trị viên hệ thống sử dụng để quản lý các hệ thống Linux và * NIX từ xa.
“Cửa hậu” đã giúp thâm nhập vào mã nguồn Webmin sau khi các tác nhân đe dọa khác xâm phạm một máy chủ thuộc về một nhà phát triển Webmin, đã ẩn dấu trong hơn một năm trước khi bị phát hiện.
Việc quét lỗ hổng này bắt đầu sau khi một nhà nghiên cứu bảo mật có một buổi thuyết trình tại hội nghị bảo mật DEF CON, nêu chi tiết hơn về lỗ hổng (sau này được chứng minh là một “cửa hậu”).
Tuy nhiên, khi nhóm Webmin xác nhận mức độ nghiêm trọng của vấn đề này, việc quét các máy chủ Webmin ngay lập tức biến thành các nỗ lực khai thác tích cực.
Theo Bad Packets, có nhiều tác nhân hiện đang khai thác lỗ hổng Webmin, với một trong số các tác nhân là những chủ sở hữu của một botnet IoT có tên Cloudbot.
Các quản trị viên Webmin được khuyến nghị nên cập nhật lên v1.930, được phát hành vào chủ nhật tuần trước, để bảo vệ hệ thống của họ chống lại CVE-2019-15107 (lỗ hổng thực thi mã từ xa (RCE)/cửa hậu). Mã khai thác công khai tồn tại vì lỗ hổng này, làm cho các cuộc tấn công trở nên thông thường và dễ tự động hóa, thậm chí được thực hiện bởi các tác nhân đe dọa có kỹ năng thấp.
Nhóm Webmin tuyên bố có hơn một triệu lượt cài đặt Webmin đang hoạt động trên Internet. Tất cả các phiên bản Webmin trong khoảng từ 1.882 - 1.921 được tải xuống từ Sourceforge đều dễ bị tấn công; tuy nhiên, trong v1.890, “cửa hậu” được kích hoạt theo mặc định. Theo BinaryEdge, có 29.000 máy chủ Webmin được kết nối với Internet, chạy phiên bản đặc biệt này, chiếm một bề mặt tấn công khổng lồ.
Hơn nữa, việc tấn công các mục tiêu này cũng có thể cho phép kẻ tấn công truy cập vào tất cả các máy chủ Linux, FreeBSD và OpenBSD đang được quản lý thông qua các bản cài đặt Webmin này, cho phép kẻ tấn công khởi động các cuộc tấn công vào hàng triệu điểm cuối và máy chủ khác.
Các cuộc tấn công vào Pulse Secure và Fortigate VPN
Vào thứ Sáu tuần trước, những kẻ tấn công cũng bắt đầu khai thác một loạt lỗ hổng khác được tiết lộ tại một hội nghị bảo mật - nhưng lần này là tại Black Hat.
Những lỗ hổng này là một phần trong cuộc nói chuyện có tên “Infiltrating Corporate Intranet Like NSA: Pre-auth RCE on Leading SSL VPNs (Tạm dịch là: “Xâm nhập mạng nội bộ doanh nghiệp như NSA: RCE trước khi xác thực trên các SSL SSL hàng đầu"), trong đó có thông tin chi tiết về lỗi bảo mật hàng loạt trong nhiều sản phẩm VPN doanh nghiệp.
Tuy nhiên, các cuộc tấn công đã không nhắm mục tiêu tất cả các sản phẩm VPN mà chỉ nhắm hai mục tiêu cụ thể là Pulse Secure VPN và FortiGate VPN của Fortinet.
Nhiều khả năng những kẻ tấn công đã sử dụng các chi tiết kỹ thuật và mã chứng minh khái niệm (proof-of-concept - PoC) có trong một bài đăng trên blog ngày 9/8 của Devcore, công ty nơi hai người thuyết trình Black Hat làm việc, như một điểm khởi đầu để chuẩn bị các cuộc tấn công.
Bài đăng trên blog này bao gồm các chi tiết và mã demo cho những lỗ hổng khác nhau trong hai sản phẩm VPN nói trên. Tuy nhiên, những kẻ tấn công chỉ chọn hai trong số các lỗ hổng đó là CVE-2019-11510 (ảnh hưởng đến Pulse Secure) và CVE-2018-13379 (ảnh hưởng đến FortiGate).
Cả hai đều là "đọc tệp xác thực trước" (pre-authentication file reads), nghĩa là một loại lỗ hổng có thể cho phép tin tặc lấy tệp từ hệ thống được nhắm mục tiêu mà không cần xác thực.
Cũng theo Bad Packets và các nhà nghiên cứu khác trên Twitter, tin tặc đang quét Internet để tìm các thiết bị dễ bị tấn công và sau đó chúng đang truy xuất các tệp mật khẩu hệ thống từ Pulse Secure VPN và các tệp phiên VPN từ FortiGate của Fortinet. Với hai tệp này trong tay, kẻ tấn công có thể vừa xác thực trên thiết bị hoặc giả mạo một phiên VPN đang hoạt động.
Trong một bài đăng trên blog vào cuối tuần qua, Bad Packets cho biết có gần 42.000 hệ thống Pulse Secure VPN hiện diện trực tuyến, trong đó gần 14.500 hệ thống chưa được vá mặc dù các bản vá đã có nhiều tháng cho cả hai sản phẩm, cụ thể Pulse phát hành bản vá vào tháng 4 và Fortinet vào tháng 5.
Số lượng VPN FortiGate cũng được cho là lên tới hàng trăm nghìn, mặc dù chúng ta không có một thống kê chính xác về số lượng hệ thống chưa được vá vẫn dễ bị tấn công.
Những người sở hữu các thiết bị này được khuyến nghị nên vá càng sớm càng tốt. Đây là những sản phẩm VPN cấp doanh nghiệp đắt tiền và những sản phẩm như vậy không hiện diện ở những nơi thường không cần đến, nghĩa là chúng thường bảo vệ việc truy cập vào các mạng có độ nhạy cảm cao.
Lấy ví dụ, các nhà nghiên cứu bảo mật từ Bad Packets cho biết họ đã xác định được Pulse Secure VPN trên các mạng: Quân đội Mỹ, các cơ quan liên bang, tiểu bang và chính phủ Hoa Kỳ; Các trường đại học và trường công lập; Các bệnh viện và các nhà cung cấp dịch vụ chăm sóc sức khỏe; Các tổ chức tài chính lớn và nhiều công ty trong danh sách Fortune 500.
Các mạng này sẽ gặp phải tình trạng tồi tệ khi các lỗ hổng bị tin tặc khai thác. Pulse Secure đã cố gắng nhấn mạnh vấn đề này cho khách hàng khi đánh giá lỗi bảo mật này có điểm số 10/10, tuy nhiên, 4 tháng sau, nhiều khách hàng vẫn chưa sửa lỗi.
Hơn nữa, vấn đề tồi tệ hơn khi mã proof of concept được vũ khí hóa đã hiện diện miễn phí trực tuyến.