Cảnh báo cho biết, những kẻ tấn công đang quét các thiết bị trên các cổng 4443, 8443 và 10443 để tìm kiếm các lỗ hổng bảo mật đã công bố nhưng chưa được vá. Cụ thể, các nhóm APT đang khai thác các lỗ hổng CVE-2018-13379, CVE-2019-5591 và CVE-2020-12812.
Các nhóm APT đang quét các lỗ hổng này để chiếm quyền truy cập vào các mạng dịch vụ của chính phủ, thương mại và công nghệ. Tin tặc trước đó từng khai thác các lỗ hổng nghiêm trọng để tấn công DDoS, lây nhiễm ransomware, tấn công SQL injection, thực hiện các chiến dịch lừa đảo trực tuyến, thay đổi giao diện trang web và tung tin giả.
CVE-2018-13379 là lỗ hổng path traversal, trong đó cổng web SSL VPN cho phép tin tặc tải xuống các tệp hệ thống thông qua các truy vấn tài nguyên HTTP đặc biệt. Lỗ hổng CVE-2019-5591 là lỗ hổng cấu hình mặc định của thiết bị có thể bị kẻ tấn công trong cùng một mạng con chặn thông tin bằng cách mạo danh máy chủ LDAP. CVE-2020-12812 là lỗ hổng xác thực trong SSL VPN, có thể cho phép người dùng đăng nhập thành công mà không cần bước xác thực thứ hai nếu người dùng thay đổi username.
Chuyên gia Zach Hanley tại Horizon3.AI, cho biết: “Tin tặc đang nhắm vào các ứng dụng bên ngoài quan trọng và trong năm 2020, VPN thường xuyên là mục tiêu bị tấn công. Ba lỗ hổng nói trên cho phép kẻ tấn công có được thông tin xác thực hợp lệ, bỏ qua xác thực đa yếu tố (MFA) và tấn công man-in-the-middle (MITM) để chặn thông tin xác thực”.
Các nhà nghiên cứu nhấn mạnh các lỗ hổng này thường xuyên bị khai thác trong các cuộc tấn công mạng.
FBI và CISA không cung cấp thêm chi tiết về các nhóm APT đã tấn công gần đây. Sau khi khai thác thành công, tin tặc sẽ theo dõi các mục tiêu. Theo cảnh báo, các nhóm APT có thể đang sử dụng bất kỳ CVE nào hoặc tất cả các CVE trên để truy cập vào các mạng quan trọng, hỗ trợ việc định vị cho các cuộc tấn công xâm nhập dữ liệu hoặc mã hóa dữ liệu tiếp theo.
Cùng với đó, Satnam Narang, kỹ sư tại công ty Tenable, cho biết: “Trong vài năm qua, các lỗ hổng SSL VPN đã là mục tiêu hấp dẫn đối với các nhóm APT và tội phạm mạng. Việc thay đổi sang phương thức làm việc từ xa và nhu cầu ngày càng tăng đối với các SSL VPN đã mở rộng phạm vi tấn công và đối tượng tấn công cho các tin tặc. Các tổ chức cần cập nhật bản vá các thiết bị để tránh rủi ro mất an toàn thông tin”.
M.H
16:00 | 11/12/2020
16:00 | 12/06/2020
15:00 | 09/05/2022
10:00 | 25/07/2021
15:00 | 04/05/2020
17:00 | 03/05/2021
14:00 | 24/04/2024
Europol đưa ra thông báo, nền tảng cung cấp dịch vụ lừa đảo (PhaaS) LabHost vừa bị triệt phá trong chiến dịch kéo dài 1 năm của các nhà hành pháp toàn cầu, 37 nghi phạm bị bắt giữ.
10:00 | 22/04/2024
Trong một xu hướng đáng lo ngại được Bitdefender Labs (Hoa Kỳ) phát hiện gần đây, tin tặc đang tận dụng sự quan tâm ngày càng tăng đối với AI để phát tán các phần mềm độc hại tinh vi. Những kẻ tấn công này đang tung ra các chiến dịch quảng cáo độc hại trên mạng xã hội, giả dạng các dịch vụ AI phổ biến như Midjourney, DALL-E và ChatGPT để đánh lừa người dùng.
09:00 | 25/12/2023
Các nhà nghiên cứu tại công ty an ninh mạng Elastic Security Labs (Singapore) cho biết đã phát hiện các kỹ thuật mới được sử dụng bởi phần mềm độc hại GuLoader để khiến việc phân tích trở nên khó khăn hơn. Một trong những thay đổi này là việc bổ sung các ngoại lệ vào tính năng VEH (Vectored Exception Handler) trong một chiến dịch tấn công mạng mới đây.
17:00 | 21/12/2023
Mới đây, nhóm Nghiên cứu và Phân tích Toàn cầu của Kaspersky phát hiện một chiến dịch gián điệp mạng đang nhắm mục tiêu đánh cắp dữ liệu lưu trữ trên các thiết bị USB an toàn sử dụng trong các cơ quan, tổ chức chính phủ các nước Châu Á - Thái Bình dương (APAC).
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024