Lỗ hổng zero-day bị khai thác
Chiến dịch tấn công mạng này có tên là ArcaneDoor, các tin tặc đã khai thác hai lỗ hổng bảo mật bao gồm CVE-2024-20353 (lỗ hổng từ chối dịch vụ) và CVE-2024-20359 (lỗ hổng thực thi mã), cho phép các tác nhân đe dọa triển khai phần mềm độc hại và duy trì sự tồn tại trên các thiết bị ASA và FTD bị xâm nhập.
Theo đó, những kẻ tấn công đang đã nhắm vào các lỗi phần mềm trong một số thiết bị chạy các sản phẩm ASA và FTD để phát tán phần mềm độc hại, từ đó để thực thi lệnh và có khả năng đánh cắp dữ liệu từ các thiết bị bị xâm nhập.
Cisco biết đến chiến dịch ArcaneDoor vào đầu tháng 01/2024 và tìm thấy bằng chứng cho thấy những kẻ tấn công đã thử nghiệm và phát triển các hoạt động khai thác nhằm nhắm vào hai lỗ hổng zero-day ít nhất kể từ tháng 7/2023.
Một trong những phần mềm độc hại được sử dụng là Line Dancer, đây là trình tải shellcode trong bộ nhớ giúp phân phối và thực thi các payload shellcode tùy ý để vô hiệu hóa tính năng ghi nhật ký, cung cấp quyền truy cập từ xa và lọc các gói tin đã thu thập được.
Phần mềm độc hại thứ hai là backdoor Line Runner với nhiều kỹ thuật che dấu để tránh bị phát hiện bởi các giải pháp bảo mật, đồng thời cho phép kẻ tấn công chạy mã Lua tùy ý trên các hệ thống bị tấn công.
Cisco cho biết: “Các tin tặc đã sử dụng các công cụ độc hại riêng biệt để tập trung vào hoạt động gián điệp, điều này có thể là dấu hiệu của một tác nhân tinh vi được nhà nước bảo trợ. Hai phần mềm độc hại bao gồm Line Runner và Line Dancer, được sử dụng chung để thực hiện các hành động độc hại nhằm vào mục tiêu, bao gồm sửa đổi cấu hình, trinh sát, thu thập/lọc thông tin lưu lượng truy cập mạng và có khả năng di chuyển ngang hàng trong hệ thống”.
Một khuyến cáo chung được công bố mới nhất bởi Trung tâm An ninh mạng quốc gia Vương quốc Anh (NCSC), Trung tâm An ninh mạng Canada và Trung tâm An ninh mạng Úc cho biết các tác nhân độc hại đã sử dụng quyền truy cập của họ để thực hiện các mục tiêu sau:
- Tạo phiên bản của tệp cấu hình trên thiết bị để có thể lọc tệp đó.
- Kiểm soát việc bật và tắt dịch vụ nhật ký hệ thống của thiết bị để làm xáo trộn các lệnh bổ sung.
- Sửa đổi cấu hình xác thực, ủy quyền và kiểm toán (AAA) để các thiết bị do các tin tặc kiểm soát phù hợp với định danh có thể được cấp quyền truy cập trên môi trường bị ảnh hưởng.
Khuyến nghị cập nhật bản vá
Cisco đã phát hành các bản cập nhật bảo mật để khắc phục hai lỗ hổng zero-day và khuyến cáo tất cả khách hàng nên nâng cấp thiết bị của họ lên phần mềm đã được vá để ngăn chặn các cuộc tấn công tiềm tàng.
Quản trị viên Cisco cũng được khuyến khích giám sát nhật ký hệ thống để phát hiện mọi dấu hiệu khởi động lại bất thường, thay đổi cấu hình trái phép hoặc các hoạt động xác thực đáng ngờ.
Đầu tháng 4/2024, Cisco đã cảnh báo về các cuộc tấn công Brute Force quy mô lớn nhắm vào các dịch vụ VPN và SSH trên các thiết bị Cisco, CheckPoint, Fortinet, SonicWall và Ubiquiti trên toàn thế giới.
Trước đó vào tháng 3/2024, công ty cũng chia sẻ hướng dẫn về cách giảm thiểu các cuộc tấn công Password Spray nhắm mục tiêu vào các dịch vụ VPN truy cập từ xa (RAVPN) được cấu hình trên các thiết bị tường lửa Cisco Secure Firewall.
Hải Yến
(Tổng hợp)
15:00 | 23/04/2024
15:00 | 28/05/2024
16:00 | 20/06/2024
07:00 | 24/05/2024
14:00 | 23/05/2024
16:00 | 15/04/2024
14:00 | 08/07/2024
10:00 | 13/05/2024
11:00 | 29/05/2024
09:00 | 04/03/2024
09:00 | 24/01/2025
Các nhà nghiên cứu bảo mật đã phát hiện một mã khai thác (Proof of Concept - PoC) lừa đảo đối với lỗ hổng CVE-2024-49113 (hay còn gọi là LDAPNightmare) trên GitHub lây nhiễm phần mềm độc hại đánh cắp thông tin cho người dùng, từ đó đánh cắp dữ liệu nhạy cảm sang máy chủ FTP bên ngoài.
15:00 | 27/12/2024
Mới đây, Công ty an ninh mạng Bitsight (Mỹ) đã phát hiện mạng lưới botnet BadBox bao gồm hơn 190.000 thiết bị Android, trong đó chủ yếu là các thiết bị TV thông minh Yandex và điện thoại thông minh Hisense.
08:00 | 20/12/2024
Các nhà nghiên cứu tại hãng bảo mật di động Lookout (Mỹ) mới đây đã phát hiện ba công cụ gián điệp mới trên thiết bị Android do các tổ chức được nhà nước bảo trợ có tên lần lượt là BoneSpy, PlainGnome và EagleMsgSpy để theo dõi và đánh cắp dữ liệu từ các thiết bị di động.
11:00 | 24/10/2024
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể cho phép kẻ tấn công cài phần mềm gián điệp vào bộ nhớ của công cụ trí tuệ nhân tạo (AI).
Các nhà nghiên cứu an ninh mạng đã phát hiện một chiến dịch tấn công mới nhắm vào các thiết bị tường lửa Fortinet FortiGate có giao diện quản lý công khai trên Internet.
14:00 | 04/02/2025