-
09/04/2020
-
93
-
600 bài viết
An ninh mạng 2021 trên WhiteHat - Năm của những cái 'nhất'
Năm 2021, thế giới đối mặt với những khó khăn do đại dịch Covid-19, những biến thể mới xuất hiện với tốc độ lây lan khủng khiếp gây ra những hậu quả nặng nề về kinh tế và xã hội.
Trong bối cảnh đó, an ninh mạng năm 2021 cũng trải qua những ngày tháng “đứng ngồi không yên”. Có thể nói đây là năm mà giới an ninh mạng phải đối mặt với những thách thức chưa từng có, xuất hiện những “siêu” lỗ hổng hay kỷ lục về tiền chuộc được thiết lập...
Hãy cùng nhìn lại một năm đầy sóng gió đã qua dưới góc nhìn của Ban quản trị WhiteHat các bạn nhé!
Tiết lộ cách thức tấn công vào SolarWinds – kỹ thuật tinh vi nhất
Chắc hẳn nhiều người vẫn chưa quên được vụ tấn công lịch sử vào SolarWinds - công ty chuyên phát triển phần mềm cho các doanh nghiệp của Mỹ vào cuối năm 2020. Tin tặc đã lợi dụng bản cập nhật định kỳ Orion của SolarWinds (phần mềm giám sát các hoạt động “hậu trường” trong mạng lưới của một tổ chức) để chèn mã độc hại từ đó phát động các cuộc tấn công lớn nhắm vào nước này.
Đằng sau những hậu quả để lại là hàng loạt các cơ quan chính phủ bị tấn công thì kỹ thuật được tin tặc sử dụng mới là điều không thể tin nổi. Tin tặc được cho là đã “dạo chơi” trong mạng của nước Mỹ 9 tháng mà không hề bị phát hiện, biến các hệ thống phát hiện xâm nhập của nước này chỉ để làm cảnh.
Tiếp đó, việc lựa chọn một phần mềm giám sát để hack là một nước cờ ngoài sức tưởng tượng. Tin tặc đã tiêm một đoạn mã để biết được khi nào SolarWinds chuẩn bị dựng một bản cập nhật phần mềm Orion mới. Sau đó, chúng đã đánh tráo tệp cập nhật tạm thời có chứa mã độc hại (do chúng tự tạo) vào mã phần mềm của SolarWinds ở những giây cuối cùng trước khi nó được “niêm phong”. Kết thúc, chúng dọn dẹp hiện trường cực kỳ sạch sẽ để không ai lần ra được dấu vết. Bản cập nhật đến tay khách hàng của SolarWinds là phiên bản độc hại giúp tin tặc truy cập một cách không bị kiểm soát và không hề bị phát hiện.
Phải đến giữa tháng 01/2021, Adam Meyers - Trưởng nhóm điều tra truy vết của SolarWinds mới cô lập được “vật chứng mong manh” của cuộc tấn công – một đoạn mã nhỏ đầy tinh vi được mã hóa dài 3.500 dòng. Thế mới biết, tin tặc đã lên một kế hoạch chi tiết, công phu và có độ chính xác cao như thế nào cho vụ việc này.
Những vụ tấn công đòi tiền chuộc lớn nhất
2021 được coi là năm bùng nổ của những vụ tấn công ransomware với những khoản tiền chuộc khổng lồ.
Ngày 07/05/2021, Colonial Pipeline - công ty vận hành đường ống dẫn nhiên liệu lớn nhất của Mỹ bị tấn công ransomware và buộc phải tạm ngừng hoạt động để đảm bảo an toàn. Vụ việc được xem là một trong những cuộc tấn công mạng nghiêm trọng và gây ra nhiều thiệt hại nhất trong lịch sử nhắm vào các cơ sở hạ tầng quan trọng của Mỹ. Ít nhất 3.500 trạm xăng đã “cạn kiệt” trên khắp Virginia, Bắc Carolina và một số tiểu bang khác khiến hàng trăm người phải xếp hàng mua xăng để tích trữ, giá dầu tăng cao kỷ lục. Để nhanh chóng phục hồi hệ thống, Colonial bất đắc dĩ phải chi trả cho tin tặc 4.4 triệu đô la bằng Bitcoin (hơn 100 tỷ VNĐ).
Không lâu sau đó vào tháng Sáu là vụ tấn công mã độc tống tiền vào công ty chế biến thịt lớn nhất thế giới - JBS USA đã làm tê liệt nhiều cơ sở chế biến thịt trên thế giới, hàng chục ngàn công nhân phải ở nhà, gia súc bị trả lại nơi chăn nuôi. Để ngăn chặn gián đoạn trong chuỗi cung ứng, JBS đã trả 11 triệu đô la tiền chuộc.
Chưa hết, đến tháng 07/2021 nhóm tin tặc REvil đã tuồn mã độc vào phần mềm VSA - công cụ của công ty Kaseya để giúp các khách hàng quản trị mạng máy tính từ xa. Hệ thống dữ liệu của công ty bị vô hiệu hóa ảnh hưởng đến khoảng 1.500 công ty trên khắp thế giới. 70 triệu USD tiền chuộc là con số kỷ lục được tin tặc đưa ra để khôi phục lại quyền truy cập hệ thống.
Không giống như Colonial Pipeline hay JBS, Kaseya đã khá rắn khi từ chối chi trả khoản tiền chuộc này dù tin tặc cho biết có thể “đàm phán”.
Có thể thấy, mã độc tống tiền đã, đang và sẽ là vấn đề an ninh quốc gia, quốc tế vô cùng nhức nhối hiện nay.
Máy chủ mail Exchange tồn tại nhiều lỗ hổng nghiêm trọng nhất
Microsoft Exchange Server là một trong những phần mềm được sử dụng phổ biến nhất để quản lý hệ thống thư điện tử hiện nay. Tại Việt Nam, Exchange Server được dùng trong các cơ quan nhà nước, tổ chức ngân hàng, tài chính và rất nhiều đơn vị lớn khác.
Năm 2021, phần mềm này trải qua những chuỗi ngày sóng gió với rất nhiều lần được kêu gọi cập nhật bản vá khẩn cấp hoặc nếu không thì được Microsoft “âm thầm” xử lý trong Patch Tuesday định kỳ. Điển hình trong số này là bộ ba chuỗi khai thác ProxyLogon, ProxyShell và ProxyOracle vẫn đang bị tin tặc khai thác cho đến nay.
Trong đó, ProxyLogon được Microsoft phát hành bản vá khẩn cấp vào đầu tháng 03/2021cho phép tin tặc truy cập vào tài khoản email từ đó cài đặt phần mềm độc hại để nằm vùng trong hệ thống. Ít nhất 30.000 tổ chức trên khắp Hoa Kỳ gồm các doanh nghiệp, tổ chức chính quyền địa phương đã bị tấn công đánh cắp email qua lỗ hổng này.
Đến trung tuần tháng 8/2021 lại xuất hiện thêm hai lỗ hổng mới có tên ProxyShell và ProxyOracle trong Exchange Server được đánh giá là đặc biệt nguy hiểm, cho phép tin tặc thực thi mã tùy ý qua cổng 443. Cơ quan An ninh mạng và cơ sở hạ tầng của Hoa Kỳ đã phải phát đi thông báo khẩn cấp về một chiến dịch khai thác ba lỗ hổng thực thi mã từ xa ProxyShell. Theo Huntress Labs, tính đến tháng 8 có 140 web shell đã được phát hiện trong hơn 1.900 máy chủ Exchange chưa được vá lỗi.
Chưa kịp hạ nhiệt thì đến tháng 11/2021, một lỗ hổng trong Exchange Server (CVE-2021-42321) có mức độ nghiêm trọng cao cho phép hacker thực thi mã từ xa. Microsoft đã phải kêu gọi các quản trị viên vá lỗ hổng ngay lập tức bởi tin tặc đang tích cực khai thác. Theo thống kê của WhiteHat, lỗ hổng ảnh hưởng đến khoảng 170 đơn vị đang sử dụng Exchange Server 2016 và 2019 tại Việt Nam.
Lỗ hổng nguy hiểm nhất trong camera IP của Hikvision
Chiếm gần 40% thị phần trên toàn cầu, Hikvision là hãng sản xuất camera giám sát lớn nhất thế giới. Với mức độ phổ biến như vậy, khi lỗ hổng zero-click được công bố vào tháng 09/2021 trong các camera của hãng đã khiến không ít người dùng hoang mang. Tin tặc có thể lợi dụng lỗ hổng để tiến hành các cuộc tấn công thực thi mã từ xa mà không cần xác thực, từ đó chiếm toàn quyền kiểm soát thiết bị. Lỗ hổng ảnh hưởng đến khoảng 80 dòng camera của Hikvision, do đó nếu các camera này được triển khai tại những địa điểm nhạy cảm hay cơ sở hạ tầng quan trọng có thể dẫn đến rủi ro khôn lường.
Theo thống kê của WhiteHat, hiện ở Việt Nam có hơn 380.000 thiết bị camera IP Hikvision, đứng thứ 2 trên toàn thế giới. Với điểm CVSS là 9.8/10, đây cũng được nhận định là lỗ hổng nghiêm trọng nhất trong thiết bị camera an ninh từng được công bố từ trước đến nay.
Log4shell - Lỗ hổng nguy hiểm nhất thập kỷ
Những tưởng quá đủ drama cho năm 2021, nhưng đừng thấy hoa nở mà ngỡ xuân về. Trùm cuối chính là siêu phẩm Log4Shell (CVE-2021-44228) - lỗ hổng kinh điển trong thư viện ghi nhật ký log rất phổ biến Apache Log4j trên Java đã khiến kỳ nghỉ lễ cuối năm của giới công nghệ thông tin tan thành mây khói.
Ngày 09/12/2021, cộng đồng an ninh mạng chao đảo khi lỗ hổng Log4Shell được Công ty phần mềm Apache tiết lộ có thể dẫn đến thực thi mã từ xa bằng cách gửi một chuỗi đặc biệt đến hệ thống tồn tại lỗ hổng. Các phiên bản bị ảnh hưởng từ 2.0 đến 2.14.1. Sau đây là những lý do khiến giới chuyên môn đánh giá Log4Shell là lỗ hổng nguy hiểm nhất thập kỷ:
Và Alibaba Cloud – đơn vị đã báo cáo lỗ hổng cho Apache đã bị chính phủ Trung Quốc tạm đình chỉ hợp tác trong vòng 6 tháng vì tội thông báo “chậm trễ” thông tin về lỗ hổng cho cơ quan quản lý viễn thông của nước này.
Chưa đầy 20 ngày sau khi công bố, Apache rơi vào “khủng hoảng” khi hổng rồi lại vá, vá rồi lại hổng, nâng mức điểm CVSS liên tục cho các lỗ hổng mới được phát hiện. Giới an ninh mạng thì chỉ biết kêu trời khi không biết nỗi đau log4j bao giờ mới chấm dứt.
Bên cạnh những mảng màu u tối đó của an ninh mạng thế giới, WhiteHat vẫn nỗ lực phối hợp với các cơ quan, đơn vị tổ chức các chương trình diễn tập ứng cứu sự cố để nâng cao kỹ năng của đội ngũ cán bộ chuyên trách công nghệ thông tin trong năm 2021. Kịch bản của chương trình được xây dựng dựa trên những cuộc tấn công thực tế và cập nhật mới nhất giúp các cơ quan, đơn vị chủ động trong việc phòng chống và xử lý sự cố một cách hiệu quả, ngăn chặn các hành vi tương tự trong tương lai.
Với việc Bộ TT&TT đã ban hành Chỉ thị số 60/CT-BTTTT gửi các đơn vị chuyên trách an toàn thông tin về việc triển khai diễn tập thực chiến trên hệ thống đang vận hành, cung cấp, đây là tiền đề để WhiteHat tổ chức nhiều chương trình diễn tập chất lượng hơn trong thời gian tới.
Năm 2022, an ninh mạng thế giới sẽ có nhiều biến động, tin tặc sẽ ngày một tinh vi hơn, WhiteHat chắc chắn sẽ vẫn đồng hành cùng các bạn thành viên để mang đến những thông tin nhanh nhất, thiết thực nhất và tổ chức những cuộc thi chất lượng nhất.
Chúc các bạn thành viên gặt hái nhiều thành công trên con đường trở thành chuyên gia an ninh mạng mũ trắng đích thực!
Trong bối cảnh đó, an ninh mạng năm 2021 cũng trải qua những ngày tháng “đứng ngồi không yên”. Có thể nói đây là năm mà giới an ninh mạng phải đối mặt với những thách thức chưa từng có, xuất hiện những “siêu” lỗ hổng hay kỷ lục về tiền chuộc được thiết lập...
Hãy cùng nhìn lại một năm đầy sóng gió đã qua dưới góc nhìn của Ban quản trị WhiteHat các bạn nhé!
Tiết lộ cách thức tấn công vào SolarWinds – kỹ thuật tinh vi nhất
Chắc hẳn nhiều người vẫn chưa quên được vụ tấn công lịch sử vào SolarWinds - công ty chuyên phát triển phần mềm cho các doanh nghiệp của Mỹ vào cuối năm 2020. Tin tặc đã lợi dụng bản cập nhật định kỳ Orion của SolarWinds (phần mềm giám sát các hoạt động “hậu trường” trong mạng lưới của một tổ chức) để chèn mã độc hại từ đó phát động các cuộc tấn công lớn nhắm vào nước này.
Đằng sau những hậu quả để lại là hàng loạt các cơ quan chính phủ bị tấn công thì kỹ thuật được tin tặc sử dụng mới là điều không thể tin nổi. Tin tặc được cho là đã “dạo chơi” trong mạng của nước Mỹ 9 tháng mà không hề bị phát hiện, biến các hệ thống phát hiện xâm nhập của nước này chỉ để làm cảnh.
Tiếp đó, việc lựa chọn một phần mềm giám sát để hack là một nước cờ ngoài sức tưởng tượng. Tin tặc đã tiêm một đoạn mã để biết được khi nào SolarWinds chuẩn bị dựng một bản cập nhật phần mềm Orion mới. Sau đó, chúng đã đánh tráo tệp cập nhật tạm thời có chứa mã độc hại (do chúng tự tạo) vào mã phần mềm của SolarWinds ở những giây cuối cùng trước khi nó được “niêm phong”. Kết thúc, chúng dọn dẹp hiện trường cực kỳ sạch sẽ để không ai lần ra được dấu vết. Bản cập nhật đến tay khách hàng của SolarWinds là phiên bản độc hại giúp tin tặc truy cập một cách không bị kiểm soát và không hề bị phát hiện.
Phải đến giữa tháng 01/2021, Adam Meyers - Trưởng nhóm điều tra truy vết của SolarWinds mới cô lập được “vật chứng mong manh” của cuộc tấn công – một đoạn mã nhỏ đầy tinh vi được mã hóa dài 3.500 dòng. Thế mới biết, tin tặc đã lên một kế hoạch chi tiết, công phu và có độ chính xác cao như thế nào cho vụ việc này.
Những vụ tấn công đòi tiền chuộc lớn nhất
2021 được coi là năm bùng nổ của những vụ tấn công ransomware với những khoản tiền chuộc khổng lồ.
Ngày 07/05/2021, Colonial Pipeline - công ty vận hành đường ống dẫn nhiên liệu lớn nhất của Mỹ bị tấn công ransomware và buộc phải tạm ngừng hoạt động để đảm bảo an toàn. Vụ việc được xem là một trong những cuộc tấn công mạng nghiêm trọng và gây ra nhiều thiệt hại nhất trong lịch sử nhắm vào các cơ sở hạ tầng quan trọng của Mỹ. Ít nhất 3.500 trạm xăng đã “cạn kiệt” trên khắp Virginia, Bắc Carolina và một số tiểu bang khác khiến hàng trăm người phải xếp hàng mua xăng để tích trữ, giá dầu tăng cao kỷ lục. Để nhanh chóng phục hồi hệ thống, Colonial bất đắc dĩ phải chi trả cho tin tặc 4.4 triệu đô la bằng Bitcoin (hơn 100 tỷ VNĐ).
Không lâu sau đó vào tháng Sáu là vụ tấn công mã độc tống tiền vào công ty chế biến thịt lớn nhất thế giới - JBS USA đã làm tê liệt nhiều cơ sở chế biến thịt trên thế giới, hàng chục ngàn công nhân phải ở nhà, gia súc bị trả lại nơi chăn nuôi. Để ngăn chặn gián đoạn trong chuỗi cung ứng, JBS đã trả 11 triệu đô la tiền chuộc.
Chưa hết, đến tháng 07/2021 nhóm tin tặc REvil đã tuồn mã độc vào phần mềm VSA - công cụ của công ty Kaseya để giúp các khách hàng quản trị mạng máy tính từ xa. Hệ thống dữ liệu của công ty bị vô hiệu hóa ảnh hưởng đến khoảng 1.500 công ty trên khắp thế giới. 70 triệu USD tiền chuộc là con số kỷ lục được tin tặc đưa ra để khôi phục lại quyền truy cập hệ thống.
Không giống như Colonial Pipeline hay JBS, Kaseya đã khá rắn khi từ chối chi trả khoản tiền chuộc này dù tin tặc cho biết có thể “đàm phán”.
Có thể thấy, mã độc tống tiền đã, đang và sẽ là vấn đề an ninh quốc gia, quốc tế vô cùng nhức nhối hiện nay.
Máy chủ mail Exchange tồn tại nhiều lỗ hổng nghiêm trọng nhất
Microsoft Exchange Server là một trong những phần mềm được sử dụng phổ biến nhất để quản lý hệ thống thư điện tử hiện nay. Tại Việt Nam, Exchange Server được dùng trong các cơ quan nhà nước, tổ chức ngân hàng, tài chính và rất nhiều đơn vị lớn khác.
Năm 2021, phần mềm này trải qua những chuỗi ngày sóng gió với rất nhiều lần được kêu gọi cập nhật bản vá khẩn cấp hoặc nếu không thì được Microsoft “âm thầm” xử lý trong Patch Tuesday định kỳ. Điển hình trong số này là bộ ba chuỗi khai thác ProxyLogon, ProxyShell và ProxyOracle vẫn đang bị tin tặc khai thác cho đến nay.
Trong đó, ProxyLogon được Microsoft phát hành bản vá khẩn cấp vào đầu tháng 03/2021cho phép tin tặc truy cập vào tài khoản email từ đó cài đặt phần mềm độc hại để nằm vùng trong hệ thống. Ít nhất 30.000 tổ chức trên khắp Hoa Kỳ gồm các doanh nghiệp, tổ chức chính quyền địa phương đã bị tấn công đánh cắp email qua lỗ hổng này.
Đến trung tuần tháng 8/2021 lại xuất hiện thêm hai lỗ hổng mới có tên ProxyShell và ProxyOracle trong Exchange Server được đánh giá là đặc biệt nguy hiểm, cho phép tin tặc thực thi mã tùy ý qua cổng 443. Cơ quan An ninh mạng và cơ sở hạ tầng của Hoa Kỳ đã phải phát đi thông báo khẩn cấp về một chiến dịch khai thác ba lỗ hổng thực thi mã từ xa ProxyShell. Theo Huntress Labs, tính đến tháng 8 có 140 web shell đã được phát hiện trong hơn 1.900 máy chủ Exchange chưa được vá lỗi.
Chưa kịp hạ nhiệt thì đến tháng 11/2021, một lỗ hổng trong Exchange Server (CVE-2021-42321) có mức độ nghiêm trọng cao cho phép hacker thực thi mã từ xa. Microsoft đã phải kêu gọi các quản trị viên vá lỗ hổng ngay lập tức bởi tin tặc đang tích cực khai thác. Theo thống kê của WhiteHat, lỗ hổng ảnh hưởng đến khoảng 170 đơn vị đang sử dụng Exchange Server 2016 và 2019 tại Việt Nam.
Lỗ hổng nguy hiểm nhất trong camera IP của Hikvision
Chiếm gần 40% thị phần trên toàn cầu, Hikvision là hãng sản xuất camera giám sát lớn nhất thế giới. Với mức độ phổ biến như vậy, khi lỗ hổng zero-click được công bố vào tháng 09/2021 trong các camera của hãng đã khiến không ít người dùng hoang mang. Tin tặc có thể lợi dụng lỗ hổng để tiến hành các cuộc tấn công thực thi mã từ xa mà không cần xác thực, từ đó chiếm toàn quyền kiểm soát thiết bị. Lỗ hổng ảnh hưởng đến khoảng 80 dòng camera của Hikvision, do đó nếu các camera này được triển khai tại những địa điểm nhạy cảm hay cơ sở hạ tầng quan trọng có thể dẫn đến rủi ro khôn lường.
Theo thống kê của WhiteHat, hiện ở Việt Nam có hơn 380.000 thiết bị camera IP Hikvision, đứng thứ 2 trên toàn thế giới. Với điểm CVSS là 9.8/10, đây cũng được nhận định là lỗ hổng nghiêm trọng nhất trong thiết bị camera an ninh từng được công bố từ trước đến nay.
Log4shell - Lỗ hổng nguy hiểm nhất thập kỷ
Những tưởng quá đủ drama cho năm 2021, nhưng đừng thấy hoa nở mà ngỡ xuân về. Trùm cuối chính là siêu phẩm Log4Shell (CVE-2021-44228) - lỗ hổng kinh điển trong thư viện ghi nhật ký log rất phổ biến Apache Log4j trên Java đã khiến kỳ nghỉ lễ cuối năm của giới công nghệ thông tin tan thành mây khói.
Ngày 09/12/2021, cộng đồng an ninh mạng chao đảo khi lỗ hổng Log4Shell được Công ty phần mềm Apache tiết lộ có thể dẫn đến thực thi mã từ xa bằng cách gửi một chuỗi đặc biệt đến hệ thống tồn tại lỗ hổng. Các phiên bản bị ảnh hưởng từ 2.0 đến 2.14.1. Sau đây là những lý do khiến giới chuyên môn đánh giá Log4Shell là lỗ hổng nguy hiểm nhất thập kỷ:
- Mức độ cực kỳ nghiêm trọng với điểm CVSS cao nhất 10/10. Ngoài ra, mã khai thác được công bố chỉ vài giờ sau đó được nhận định là rất đơn giản để thực hiện.
- Phạm vi ảnh hưởng của lỗ hổng là không thể thống kê nổi do mức độ phổ biến của thư viện log4j, trong đó có cả các dịch vụ của những tập đoàn lớn như Google, Apple, Microsoft, Amazon,...
- Việc cập nhật bản vá cho các hệ thống sẽ cần một khoảng thời gian nhưng tin tặc thì không bao giờ biết chờ đợi.
Và Alibaba Cloud – đơn vị đã báo cáo lỗ hổng cho Apache đã bị chính phủ Trung Quốc tạm đình chỉ hợp tác trong vòng 6 tháng vì tội thông báo “chậm trễ” thông tin về lỗ hổng cho cơ quan quản lý viễn thông của nước này.
Chưa đầy 20 ngày sau khi công bố, Apache rơi vào “khủng hoảng” khi hổng rồi lại vá, vá rồi lại hổng, nâng mức điểm CVSS liên tục cho các lỗ hổng mới được phát hiện. Giới an ninh mạng thì chỉ biết kêu trời khi không biết nỗi đau log4j bao giờ mới chấm dứt.
Bên cạnh những mảng màu u tối đó của an ninh mạng thế giới, WhiteHat vẫn nỗ lực phối hợp với các cơ quan, đơn vị tổ chức các chương trình diễn tập ứng cứu sự cố để nâng cao kỹ năng của đội ngũ cán bộ chuyên trách công nghệ thông tin trong năm 2021. Kịch bản của chương trình được xây dựng dựa trên những cuộc tấn công thực tế và cập nhật mới nhất giúp các cơ quan, đơn vị chủ động trong việc phòng chống và xử lý sự cố một cách hiệu quả, ngăn chặn các hành vi tương tự trong tương lai.
Với việc Bộ TT&TT đã ban hành Chỉ thị số 60/CT-BTTTT gửi các đơn vị chuyên trách an toàn thông tin về việc triển khai diễn tập thực chiến trên hệ thống đang vận hành, cung cấp, đây là tiền đề để WhiteHat tổ chức nhiều chương trình diễn tập chất lượng hơn trong thời gian tới.
Năm 2022, an ninh mạng thế giới sẽ có nhiều biến động, tin tặc sẽ ngày một tinh vi hơn, WhiteHat chắc chắn sẽ vẫn đồng hành cùng các bạn thành viên để mang đến những thông tin nhanh nhất, thiết thực nhất và tổ chức những cuộc thi chất lượng nhất.
Chúc các bạn thành viên gặt hái nhiều thành công trên con đường trở thành chuyên gia an ninh mạng mũ trắng đích thực!
BQT WhiteHat