Lỗ hổng zero-day là điểm yếu bảo mật trong các sản phẩm, phần mềm chưa được xác định hoặc chưa được khắc phục tại thời điểm phát hiện. Các tiết lộ về zero-day được tin tặc đặc biệt quan tâm vì chúng có thể được khai thác trên diện rộng, cho đến khi các nhà cung cấp phát hành bản vá và người dùng tiến hành cập nhật.
Thông thường, khoảng thời gian cơ hội này kéo dài ít nhất vài ngày và vì không phải tất cả quản trị viên đều áp dụng các bản cập nhật bảo mật ngay lập tức, nên số lượng mục tiêu dễ bị tấn công trong khoảng thời gian này là tương đối cao.
Số lần khai thác Zero-day được ghi lại qua các năm
Toàn cảnh về Zero-day 2021
Theo phân tích từ Công ty an ninh mạng Mandiant (Mỹ), năm 2021 có 80 trường hợp khai thác zero-day, nhiều hơn 18 trường hợp so với cả năm 2020 và 2019 cộng lại. Hầu hết chúng được cho là do hoạt động gián điệp mạng từ các tổ chức được nhà nước hậu thuẫn.
Tuy nhiên, các nhà nghiên cứu đã phát hiện ra phần lớn các tác nhân khai thác lỗ hổng zero-day đều nhắm mục tiêu vào tài chính.
Xét về các tác nhân đe dọa, Trung Quốc đứng đầu danh sách với 8 zero-day được sử dụng trong các cuộc tấn công mạng vào năm 2021. Tiếp theo là Nga sử dụng 2 zero-day và Triều Tiên với 1 zero-day.
Trường hợp đáng chú ý nhất là vụ tấn công của Hafnium, một nhóm tấn công do nhà nước Trung Quốc tài trợ đã sử dụng 4 lỗ hổng zero-day trên máy chủ Microsoft Exchange để truy cập liên lạc email của các tổ chức phương Tây.
Mandiant cũng ghi nhận sự gia tăng trong các hoạt động ransomware khai thác lỗ hổng zero-day để tấn công mạng và triển khai trọng tải mã hóa tệp của họ. Một ví dụ nổi bật của hoạt động này là của các nhà khai thác ransomware HelloKitty - những kẻ đã khai thác lỗi zero-day trong các thiết bị SonicWall SMA 100 VPN.
Các nhà cung cấp bị nhắm mục tiêu nhiều nhất trong các cuộc tấn công zero-day năm 2021 là Microsoft, Apple và Google, chiếm hơn 75% tổng số cuộc tấn công.
Theo BleepingComputer, số lượng hệ điều hành di động zero-day nhắm mục tiêu đến Android và iOS cũng đang có xu hướng tăng dần, từ dưới 5 vào năm 2019 và 2020, lên 17 vào năm 2021.
Danh sách các nhà cung cấp bị nhắm zero-day trong năm 2021
Điều gì sẽ xảy ra vào năm 2022
Năm 2021 đã chứng kiến kỷ lục về việc khai thác zero-day và bằng chứng hiện tại cho thấy nó sẽ còn tồi tệ hơn trong năm 2022.
“Chúng tôi cho rằng các chiến dịch quan trọng dựa trên khai thác zero-day ngày càng có thể tiếp cận với nhiều đối tượng được nhà nước tài trợ và có động cơ tài chính hơn, bao gồm cả kết quả của sự gia tăng các nhà cung cấp bán hàng khai thác và các hoạt động ransomware tinh vi có khả năng phát triển khai thác tùy chỉnh”, Mandiant chia sẻ.
Nhóm Project Zero của Google cũng nhấn mạnh rằng sự gia tăng khai thác zero-day một phần là kết quả của khả năng phát hiện nhiều hơn và không nhất thiết là sự gia tăng hoạt động hoặc sự phức tạp của các cuộc tấn công.
Báo cáo của Google cũng nêu chi tiết, chỉ có 2 trong số 58 Zero-days mới được Project Zero tiết lộ vào năm 2021 có sự phức tạp kỹ thuật và tính độc đáo. Điều này phần nào phản ánh sự hiệu quả của các phần mềm bảo mật.
Hồng Vân
11:00 | 07/05/2021
09:00 | 22/02/2022
10:00 | 26/04/2021
20:00 | 13/03/2022
08:00 | 05/07/2022
14:00 | 14/12/2021
10:00 | 12/07/2021
10:00 | 22/04/2024
Trong một xu hướng đáng lo ngại được Bitdefender Labs (Hoa Kỳ) phát hiện gần đây, tin tặc đang tận dụng sự quan tâm ngày càng tăng đối với AI để phát tán các phần mềm độc hại tinh vi. Những kẻ tấn công này đang tung ra các chiến dịch quảng cáo độc hại trên mạng xã hội, giả dạng các dịch vụ AI phổ biến như Midjourney, DALL-E và ChatGPT để đánh lừa người dùng.
08:00 | 04/04/2024
Các nhà nghiên cứu bảo mật phát hiện ra plugin của bên thứ ba hiện có dành cho ChatGPT có thể hoạt động như một bề mặt tấn công mới để truy cập trái phép vào dữ liệu nhạy cảm.
10:00 | 28/03/2024
Các nhà nghiên cứu phát hiện nhóm ransomware ShadowSyndicate đang quét các máy chủ tồn tại lỗ hổng directory traversal định danh CVE-2024-23334, hay còn gọi là lỗ hổng path traversal trong thư viện Aiohttp của Python.
08:00 | 21/03/2024
Phần mềm độc hại mới trên Linux có tên là GTPDOOR được thiết kế để nhắm mục tiêu vào các mạng viễn thông dựa trên khai thác giao thức đường hầm trên GPRS (GPRS Tunneling Protocol-GTP) để thực thi câu lệnh và điều khiển (C2).
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024