OpenMetadata là một nền tảng mã nguồn mở hoạt động như một công cụ quản lý siêu dữ liệu (metadata), giúp người dùng có thể tìm kiếm, xuất và nhập dữ liệu cùng nhiều tác vụ khác.
Theo nhóm Threat Intelligence, các tin tặc đã khai thác các lỗ hổng tồn tại trong các bản cài đặt chưa được vá trên Internet kể từ đầu tháng 4/2024. Các lỗ hổng bị khai thác đều được phát hiện và ghi nhận bởi nhà nghiên cứu bảo mật Alvaro Muñoz, cụ thể như sau:
- CVE-2024-28847 (điểm CVSS: 8.8): Lỗ hổng Spring Expression Language (SpEL) trong PUT /api/v1/events/subscriptions (đã được vá với phiên bản 1.2.4).
- CVE-2024-28848 (điểm CVSS: 8.8): Lỗ hổng SpEL injection trong GET /api/v1/policies/validation/condition/<expr> (đã được vá với phiên bản 1.2.4).
- CVE-2024-28253 (điểm CVSS: 8.8): Lỗ hổng chèn SpEL injection trong PUT /api/v1/policies (đã được vá với phiên bản 1.3.1).
- CVE-2024-28254 (điểm CVSS: 8.8): Lỗ hổng SpEL injection trong GET /api/v1/events/subscriptions/validation/condition/<expr> (đã được vá với phiên bản 1.2.4).
- CVE-2024-28255 (điểm CVSS: 9.8): Lỗ hổng vượt qua xác thực - Bypass (đã được vá với phiên bản 1.2.4).
Việc khai thác thành công các lỗ hổng trên có thể cho phép kẻ tấn công bypass và thực thi mã từ xa.
Những kẻ tấn công đã nhắm mục tiêu vào các khối lượng workload OpenMetadata để thực thi mã trên container chạy OpenMetadata image. Sau khi xâm nhập thành công, tin tặc sẽ thực hiện các hoạt động trinh sát để xác định mức độ truy cập vào môi trường bị xâm nhập và thu thập thông tin chi tiết về cấu hình mạng và phần cứng, phiên bản hệ điều hành, số lượng người dùng đang hoạt động và các biến môi trường.
Hai nhà nghiên cứu bảo mật Hagai Ran Kestenberg và Yossi Weizman cho biết: “Bước thăm dò này thường liên quan đến việc liên hệ với một dịch vụ công khai. Trong cuộc tấn công cụ thể này, những kẻ tấn công gửi yêu cầu ping đến các tên miền kết thúc bằng oast[.]me và oast[.]pro, được liên kết với Interactsh - một công cụ mã nguồn mở để phát hiện các tương tác ngoài phạm vi”.
Ý tưởng là xác thực kết nối mạng từ hệ thống bị xâm nhập đến cơ sở hạ tầng do kẻ tấn công kiểm soát mà không bị gắn cờ là red flag, từ đó cho phép kẻ tấn công thiết lập liên lạc đến máy chủ điều khiển và ra lệnh (C2) đồng thời triển khai payload độc hại bổ sung.
Mục tiêu cuối cùng của các cuộc tấn công là truy xuất và triển khai một biến thể Windows hoặc Linux của phần mềm độc hại khai thác tiền điện tử từ một máy chủ từ xa đặt tại Trung Quốc, tùy thuộc vào hệ điều hành.
Sau khi công cụ khai thác được thực thi, payload ban đầu sẽ bị xóa khỏi workload và những kẻ tấn công khởi tạo một reverse shell cho máy chủ từ xa của chúng bằng công cụ Netcat, cho phép kẻ tấn công chiếm quyền điều khiển hệ thống. Tính bền vững đạt được bằng cách thiết lập các cron jobs định kỳ để chạy mã độc theo các khoảng thời gian được xác định trước.
Người dùng OpenMetadata nên chuyển sang các phương thức xác thực mạnh, tránh sử dụng thông tin xác thực mặc định và cập nhật image của họ lên phiên bản mới nhất.
Sự phát triển này diễn ra khi các máy chủ Redis có thể truy cập công khai bị vô hiệu hóa tính năng xác thực hoặc có các lỗ hổng chưa được vá đang được nhắm mục tiêu để cài đặt các payload Metasploit Meterpreter cho giai đoạn sau khai thác.
Các nhà nghiên cứu của Trung tâm tình báo bảo mật AhnLab (ASEC) cho biết: “Khi Metasploit được cài đặt, các tác nhân đe dọa có thể kiểm soát hệ thống bị lây nhiễm và điều khiển mạng nội bộ của một tổ chức bằng cách sử dụng các tính năng khác nhau do phần mềm độc hại cung cấp”.
Hữu Tài
(Tổng hợp)
09:00 | 17/04/2024
15:00 | 16/04/2024
15:00 | 16/04/2024
07:00 | 12/04/2024
13:00 | 28/03/2024
Một chiến dịch tấn công tinh vi được cho là do nhóm tin tặc APT của Trung Quốc có tên Earth Krahang thực hiện, chúng đã xâm nhập 70 tổ chức tại 23 quốc gia và nhắm mục tiêu vào ít nhất 116 tổ chức của 45 quốc gia khác trên thế giới.
16:00 | 15/03/2024
Ngày 11/3, Văn phòng Thủ tướng Pháp thông báo một số cơ quan nhà nước của Pháp đã bị tấn công mạng với cường độ chưa từng có đồng thời nhấn mạnh rằng chính phủ đã có thể hạn chế tác động từ vụ việc này.
12:00 | 15/12/2023
Các nhà nghiên cứu của công ty an ninh mạng Cisco Talos gần đây đã phát hiện một chiến dịch độc hại có khả năng bắt đầu từ tháng 8/2023, phát tán một Trojan truy cập từ xa (RAT) mới có tên gọi là “SugarGh0st”. Cisco Talos cho biết các tin tặc nhắm mục tiêu vào Bộ Ngoại giao Uzbekistan và người dùng tại Hàn Quốc đồng thời quy kết hoạt động này cho tin tặc Trung Quốc.
07:00 | 11/12/2023
Hoạt động từ cuối năm 2021, Ducktail là họ phần mềm độc hại nhằm mục đích đánh cắp tài khoản doanh nghiệp trên Facebook. Theo báo cáo của 2 hãng bảo mật WithSecure (Phần Lan) và GridinSoft (Ukraine) cho biết các cuộc tấn công Ducktail được thực hiện bởi một nhóm tin tặc đến từ Việt Nam.
Mới đây, Cisco cảnh báo rằng một nhóm tin tặc được nhà nước bảo trợ đã khai thác hai lỗ hổng zero-day trong tường lửa Adaptive Security Appliance (ASA) và Firepower Threat Defense (FTD) kể từ tháng 11/2023 để cài đặt phần mềm độc hại trên các hệ thống mạng viễn thông và năng lượng bị ảnh hưởng tại nhiều quốc gia.
08:00 | 04/05/2024