“Chúng tôi vẫn đang chủ động theo dõi hoạt động của những kẻ đang tìm cách khai thác lỗ hổng bảo mật và tại thời điểm này chúng tôi chưa nhận thấy việc lợi dụng lỗ hổng Log4Shell trong các vụ xâm nhập lớn”, Jen Easterly (giám đốc CISA) cho biết tại một cuộc họp báo.
“Kẻ xấu có thể đang sử dụng lỗ hổng này để có được quyền truy cập liên tục mà chúng có thể sử dụng trong tương lai, đó là lý do tại sao chúng tôi rất tập trung vào việc khắc phục lỗ hổng trên toàn quốc và đảm bảo rằng chúng tôi có thể phát hiện bất kỳ hành vi xâm nhập nào phát sinh”. Tuy vậy, Eric Goldstein, trợ lý giám đốc điều hành về an ninh mạng của CISA cho biết thêm: “Chúng tôi đang quan sát thấy sự thịnh hành của các hoạt động có mức ảnh hưởng thấp, có thể kể đến như cài đặt phần mềm đào tiền ảo hay cài đặt các mã độc có thể sử dụng trong mạng lưới botnet”.
CISA đã đóng vai trò dẫn đầu trong việc giúp các cơ quan liên bang Mỹ và khu vực tư nhân quản lý mối đe dọa lan rộng của lỗ hổng Log4Shell, lỗ hổng đầu tiên trong bốn lỗ hổng nghiêm trọng được phát hiện trong phần mềm Log4j, vốn được triển khai trên hàng trăm triệu máy chủ trên toàn thế giới. Trong một phản ứng tức thời, CISA đã thêm lỗ hổng này vào danh mục các điểm yếu đã biết đang bị khai thác (known exploited vulnerabilities). Bằng cách đó, CISA đã kích hoạt chỉ thị hoạt động bắt buộc được ban hành vào tháng 11/2021, trong đó yêu cầu tất cả các cơ quan dân sự khẩn trương vá hệ thống của họ ngay khi có bản vá. Tuy nhiên, CISA nhanh chóng nhận ra rằng chỉ thị hoạt động cần được tiếp tục hoàn thiện và ưu tiên các bước giải quyết và khắc phục lỗ hổng cho các tài sản công nghệ trong trường hợp các bản vá không có sẵn.
CISA đã thiết lập một danh mục công khai để nhận các báo cáo miêu tả chi tiết các sản phẩm có chứa lỗ hổng Log4j tiềm ẩn, cho đến nay đã có hơn 2.800 báo cáo được gửi đến. Ngoài ra, thông qua Bugcrowd – một nền tảng chia sẻ thông tin các lỗ hổng bảo mật, các nhà nghiên cứu bảo mật đã tìm thấy 17 sản phẩm chưa được xác định trước đó có thể bị tấn công bằng lỗ hổng Log4Shell, tất cả đều đã được khắc phục trước khi xảy ra bất kỳ sự xâm nhập nào.
Mặc dù các khuyến nghị của CISA giới hạn với các cơ quan trong chính phủ liên bang Mỹ, nó cũng gửi một tín hiệu mạnh mẽ tới tất cả các tổ chức trong việc xử lý lỗ hổng Log4j. Điểm quan trọng nhất trong thông điệp này là làm các tổ chức hiểu và ưu tiên việc nắm bắt các thành phần và thư viện có chứa điểm yếu bảo mật nằm trong hệ thống của họ, thông qua việc sử dụng BoM phần mềm (software bill of metarials - SBOM). SBOM là thứ không thể thiếu của một tổ chức, nó giúp các tổ chức dễ dàng kiểm tra xem liệu họ có bị ảnh hưởng bởi một điểm yếu bảo mật cụ thể hay không để đưa ra quyết định khắc phục nhanh chóng.
Một sự hạn chế mà CISA gặp phải khi giúp đỡ các tổ chức phi chính phủ là không có bất cứ một quy tắc nào yêu cầu các tổ chức bắt buộc phải báo cáo các sự cố an ninh thông tin, khiến cho cơ quan có phần mông lung trong việc phát hiện các sự cố liên quan đến Log4j. Vào tháng 12/2021, các tiêu chuẩn về báo cáo sự cố ANTT đã được đưa vào phiên bản thỏa hiệp của Đạo luật Ủy quyền Quốc phòng Quốc gia nhưng đã bị rút lại vào phút cuối.
“Chúng tôi chưa tìm thấy vụ xâm nhập nào đáng kể, nhưng cũng không có vụ xâm nhập nào được báo cáo tới chúng tôi. Chúng tôi lo ngại rằng kẻ xấu sẽ sớm bắt đầu lợi dụng lỗ hổng này, đặc biệt khi nó có tác động đến cơ sở hạ tầng quan trọng. Do hiện tại không có luật nào bắt buộc việc báo cáo sự cố ANTT, chúng tôi có thể sẽ không biết về nó”, Jen Easterly cho biết.
Mặc dù có tin đồn về một cuộc tấn công ransomware đã khai thác lỗ hổng Log4j nhằm vào Bộ Quốc phòng Bỉ vào cuối tháng 12/2021, Goldstein cho biết “Chúng tôi không có xác nhận nào về các vụ xâm nhập ransomware mà Log4Shell đã được sử dụng làm lỗ hổng bắt nguồn cho vụ xâm nhập”. “Ngày nay, chúng ta biết rằng nhiều vụ xâm nhập ransomware không được báo cáo cho chính phủ Hoa Kỳ ngay từ ban đầu. Còn những vụ việc được báo cáo thì thường không được gửi kèm theo thông tin kỹ thuật hữu ích để hiểu được lỗ hổng bảo mật nào đã được kẻ xấu lợi dụng cho vụ xâm nhập. Tuy nhiên, một trong những điều tôi quan sát được và cảm thấy rất đáng lưu tâm là các cuộc tấn công ransomware hiện nay đang chọn mục tiêu là bệnh viện và các cơ sở y tế, chúng tôi đang theo dõi sát sao vấn đề này”.
Các hệ thống điều khiển công nghiệp là một mối quan tâm đặc biệt mà CISA đang tìm cách giải quyết trong cuộc khủng hoảng này. Goldstein cho biết: “Đối với CISA, ngoài các nhiệm vụ đối với US-CERT (The United States Computer Emergency Readiness Team), chúng tôi cũng đảm nhận nhiệm vụ của ICS-CERT (Industrial Control System Cyber Emergency Response Team). Chúng tôi sở hữu một lượng chuyên môn lớn trong lĩnh vực này. Chiếm một phần lớn trong công việc của chúng tôi bao gồm làm việc với hàng trăm nhà cung cấp các thành phần trong hệ thống điều khiển công nghiệp để xác định xem các sản phẩm của họ có chứa lỗ hổng bảo mật hay không và phối hợp giao tiếp với các khách hàng của họ để thực hiện các tác vụ cần thiết. Các vùng mạng vận hành các hạ tầng công nghệ quan trọng của các tổ chức nên được ngắt hoàn toàn khỏi Internet để được bảo vệ tốt nhất trước các cuộc xâm nhập sử dụng lỗ hổng Log4j. Các tài sản này không nên được public trên Internet nhằm mục đích quản trị các hệ thống ứng dụng trong hầu hết các trường hợp. Tập trung vào việc loại bỏ bề mặt tấn công của kẻ xấu sẽ giúp làm giảm đáng kể rủi ro mà lỗ hổng này đem lại”.
Ngày 24/11/2021, một nhà nghiên cứu làm việc tại công ty điện toán đám mây của Alibaba, Trung Quốc đã thông báo cho Apache Foundation (tổ chức quản lý nền tảng ghi log của Java) về sự tồn tại của lỗ hổng. Trước khi Apache có thể phát hành bản vá, nhà nghiên cứu đã cảnh báo cho họ rằng người dùng Trung Quốc hiện đang thảo luận về nó, điều đó cho thấy tin tặc có thể đang cố gắng khai thác nó trước khi nó được công khai.
Sau đó, chính phủ Trung Quốc đã đình chỉ hợp đồng với công ty điện toán đám mây của Alibaba, với lý do được cho là không báo cáo về lỗi của phần mềm Log4j cho Bắc Kinh kịp thời. Goldstein nói rằng, CISA không thể xác nhận độc lập các báo cáo này, cũng như không thể xác nhận độc lập bất kỳ tương tác nào giữa chính phủ Trung Quốc và nhà nghiên cứu nói trên.
Đăng Thứ
17:00 | 17/11/2021
16:00 | 16/12/2021
07:00 | 12/04/2022
18:00 | 22/07/2021
10:00 | 29/03/2024
Một dịch vụ lừa đảo mới có tên là Darcula sử dụng 20.000 tên miền để giả mạo thương hiệu và đánh cắp thông tin xác thực từ người dùng Android và iPhone tại hơn 100 quốc gia thông qua iMessage.
13:00 | 28/03/2024
Một chiến dịch tấn công tinh vi được cho là do nhóm tin tặc APT của Trung Quốc có tên Earth Krahang thực hiện, chúng đã xâm nhập 70 tổ chức tại 23 quốc gia và nhắm mục tiêu vào ít nhất 116 tổ chức của 45 quốc gia khác trên thế giới.
15:00 | 26/01/2024
Các nhà nghiên cứu bảo mật của công ty an ninh mạng Akamai (Mỹ) phát hiện ra một mạng botnet mới dựa trên Mirai có tên là NoaBot, hiện đang được các tác nhân đe dọa sử dụng như một phần của chiến dịch khai thác tiền điện tử đã hoạt động kể từ đầu năm 2023. Bài viết này sẽ phân tích về đặc điểm của NoaBot và công cụ khai thác tiền điện tử được sử dụng trong chiến dịch tấn công mạng botnet này.
09:00 | 08/12/2023
Để bổ sung thêm những tính năng dành cho các nền tảng ứng dụng nhắn tin hiện nay, các nhà phát triển bên thứ ba đã đưa ra các bản mod (phiên bản sửa đổi của ứng dụng không chính thức) cung cấp các tính năng mới bên cạnh những nâng cấp về mặt giao diện. Tuy nhiên, một số mod này có thể chứa phần mềm độc hại cùng với các cải tiến hợp pháp. Một trường hợp điển hình đã xảy ra vào năm ngoái khi các nhà nghiên cứu Kaspersky phát hiện ra Trojan Triada bên trong bản mod WhatsApp. Gần đây, các nhà nghiên cứu đã phát hiện một bản mod Telegram có module gián điệp được nhúng và phân phối thông qua Google Play. Câu chuyện tương tự hiện tại xảy ra với WhatsApp, khi một số bản mod trước đây đã được phát hiện có chứa module gián điệp có tên là Trojan-Spy.AndroidOS.CanesSpy.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024
