Hiện tại, FireEye chưa tìm thấy mối liên hệ giữa nhóm tin tặc này với bất kỳ nhóm tin tặc nào đã biết trước đó. Công ty này cũng nhấn mạnh các tin tặc dường như hiểu rất rõ về cách thức hoạt động của sản phẩm thuộc SonicWall.
Một trong những lỗ hổng nghiêm trọng đang bị khai thác có định danh CVE-2021-20021, cho phép tin tặc tấn công từ xa, không cần xác thực tạo tài khoản quản trị bằng cách gửi các truy vấn HTTP đặc biệt tới hệ thống mục tiêu.
Hai lỗ hổng khác gồm CVE-2021-20022 và CVE-2021-20023, có thể đã bị tin tặc lợi dụng để tải lên các tệp và đọc các tệp tùy ý tương ứng từ máy chủ. Hai lỗ hổng này được đánh giá có mức độ trung bình dựa trên điểm CVSS. Tuy nhiên, sẽ rất nguy hiểm khi chúng được kết hợp với CVE-2021-20021.
SonicWall cho biết, các lỗ hổng ảnh hưởng đến Email Security trên Windows, cũng như phần cứng và thiết bị ảo ESXi. Hosted Email Security cũng bị ảnh hưởng nhưng đã được vá tự động. Ngoài các bản vá, nhà cung cấp đã phát hành chữ ký trên IPS để phát hiện và chặn các cuộc tấn công.
Ngày 13/4, nhà nghiên cứu Kevin Beaumont đã cảnh báo các tổ chức về mức độ nghiêm trọng của các lỗ hổng bảo mật. Sau đó, vào ngày 16/4, ông cho biết có thể SonicWall đã không liên hệ và cảnh báo khách hàng cập nhật bản vá trước khi thông tin các lỗ hổng bị khai thác được công bố.
Trong một bài đăng mô tả các lỗ hổng và các cuộc tấn công, FireEye cho biết tin tặc đã nhắm mục tiêu vào phiên bản mới nhất của ứng dụng Email Security trên Windows Server 2012. Bằng việc khai thác thành công lỗ hổng CVE-2021-20021 chiếm quyền truy cập quản trị vào hệ thống SonicWall, tin tặc tiếp tục khai thác lỗ hổng CVE -2021-20023 để lấy các tệp chứa thông tin về tài khoản hiện có, thông tin đăng nhập Active Directory. Cuối cùng, tin tặc thông qua lỗ hổng CVE-2021-20022 để triển khai web shell có tên BEHINDER.
BEHINDER tương tự như web shell khét tiếng của nhóm China Chopper, giúp kẻ tấn công truy cập không hạn chế vào máy chủ bị xâm nhập.
Các nhà nghiên cứu của FireEye giải thích: “Dựa vào các kỹ thuật “living off the land” mà tin tặc sử dụng các công cụ hoặc tính năng đã có sẵn trong môi trường mục tiêu, hơn là đưa các công cụ riêng của mình vào môi trường nạn nhân. Điều này giúp kẻ tấn công có thể tránh bị các sản phẩm bảo mật phát hiện.
Đây là lần thứ hai SonicWall vá các lỗ hổng bị khai thác trong năm 2021. Vào tháng 01/2021, công ty tiết lộ các hệ thống nội bộ của hãng đã bị tin tặc trình độ cao khai thác các lỗ hổng zero-day trong các sản phẩm Truy cập Di động Bảo mật (SMA).
SonicWall cho biết, hãng đã xác minh một số lỗ hổng zero-day cụ thể, trong đó có ít nhất một lỗ hổng đang bị khai thác trong thực tế. SonicWall đã thiết kế, thử nghiệm và công bố các bản vá để khắc phục sự cố và thông báo những biện pháp giảm thiểu nguy cơ bị tấn công tới các khách hàng và đối tác. Cùng với đó, SonicWall đặc biệt khuyến nghị khách hàng cũng như các tổ chức trên toàn thế giới thường xuyên cập nhật bản vá để tránh các rủi ro không mong muốn.
Mai Hương
09:00 | 11/03/2021
09:00 | 03/06/2021
13:00 | 27/04/2022
09:00 | 15/10/2021
08:00 | 30/03/2020
14:00 | 24/03/2021
09:00 | 03/04/2024
Mới đây, công ty Synology (Đài Loan) đã giải quyết các lỗ hổng nghiêm trọng trong các phiên bản phần mềm Surveillance Station DSM 7.2, DSM 7.1 và DSM 6.2. Các lỗ hổng này có thể gây ra việc mất dữ liệu, mất kiểm soát hệ thống và gián đoạn dịch vụ quan trọng.
14:00 | 26/03/2024
Công ty sản xuất phần mềm Atlassian (Úc) phát hành các bản vá bảo mật để giải quyết hơn 20 lỗ hổng, bao gồm một lỗ hổng nghiêm trọng ảnh hưởng đến Data Center và máy chủ Bamboo, có thể bị khai thác mà không cần sự tương tác của người dùng.
09:00 | 19/03/2024
Vừa qua, nhà phân phối giải pháp và dịch vụ an toàn, an ninh mạng Mi2 JSC đã chính thức trở thành hội viên của Hiệp hội An ninh mạng quốc gia. Đây là bước tiến quan trọng đánh dấu cam kết của Mi2 trong việc góp phần bảo vệ an ninh mạng quốc gia và nâng cao vị thế của Công ty trên thị trường.
16:00 | 04/12/2023
Với mong muốn được góp sức vào sự phát triển cộng đồng, mang lại giá trị cho các tổ chức/doanh nghiệp trong ngành An toàn, an ninh thông tin, sáng ngày 30/11 vừa qua, Công ty Cổ phần Tin học Mi Mi (Mi2 JSC) đã đồng hành và tham dự Hội thảo - Triển lãm Ngày An toàn thông tin Việt Nam 2023. Sự kiện do Hiệp hội An toàn thông tin Việt Nam (VNISA) tổ chức với chủ đề “An toàn dữ liệu trong thời đại điện toán đám mây và trí tuệ nhân tạo”.
Oracle dự kiến sẽ đầu tư 1.200 tỷ Yen (khoảng 8 tỷ USD) trong 10 năm, bắt đầu từ năm nay, để mở rộng các trung tâm dữ liệu của mình tại Nhật Bản. Thông báo này được hãng đưa ra vào ngày 18/4 vừa qua, cơ sở chủ yếu ở hai khu vực mà Oracle hiện đang vận hành các trung tâm dữ liệu là Tokyo và Osaka.
10:00 | 26/04/2024