“Chúng tôi vẫn đang chủ động theo dõi hoạt động của những kẻ đang tìm cách khai thác lỗ hổng bảo mật và tại thời điểm này chúng tôi chưa nhận thấy việc lợi dụng lỗ hổng Log4Shell trong các vụ xâm nhập lớn”, Jen Easterly (giám đốc CISA) cho biết tại một cuộc họp báo.
“Kẻ xấu có thể đang sử dụng lỗ hổng này để có được quyền truy cập liên tục mà chúng có thể sử dụng trong tương lai, đó là lý do tại sao chúng tôi rất tập trung vào việc khắc phục lỗ hổng trên toàn quốc và đảm bảo rằng chúng tôi có thể phát hiện bất kỳ hành vi xâm nhập nào phát sinh”. Tuy vậy, Eric Goldstein, trợ lý giám đốc điều hành về an ninh mạng của CISA cho biết thêm: “Chúng tôi đang quan sát thấy sự thịnh hành của các hoạt động có mức ảnh hưởng thấp, có thể kể đến như cài đặt phần mềm đào tiền ảo hay cài đặt các mã độc có thể sử dụng trong mạng lưới botnet”.
CISA đã đóng vai trò dẫn đầu trong việc giúp các cơ quan liên bang Mỹ và khu vực tư nhân quản lý mối đe dọa lan rộng của lỗ hổng Log4Shell, lỗ hổng đầu tiên trong bốn lỗ hổng nghiêm trọng được phát hiện trong phần mềm Log4j, vốn được triển khai trên hàng trăm triệu máy chủ trên toàn thế giới. Trong một phản ứng tức thời, CISA đã thêm lỗ hổng này vào danh mục các điểm yếu đã biết đang bị khai thác (known exploited vulnerabilities). Bằng cách đó, CISA đã kích hoạt chỉ thị hoạt động bắt buộc được ban hành vào tháng 11/2021, trong đó yêu cầu tất cả các cơ quan dân sự khẩn trương vá hệ thống của họ ngay khi có bản vá. Tuy nhiên, CISA nhanh chóng nhận ra rằng chỉ thị hoạt động cần được tiếp tục hoàn thiện và ưu tiên các bước giải quyết và khắc phục lỗ hổng cho các tài sản công nghệ trong trường hợp các bản vá không có sẵn.
CISA đã thiết lập một danh mục công khai để nhận các báo cáo miêu tả chi tiết các sản phẩm có chứa lỗ hổng Log4j tiềm ẩn, cho đến nay đã có hơn 2.800 báo cáo được gửi đến. Ngoài ra, thông qua Bugcrowd – một nền tảng chia sẻ thông tin các lỗ hổng bảo mật, các nhà nghiên cứu bảo mật đã tìm thấy 17 sản phẩm chưa được xác định trước đó có thể bị tấn công bằng lỗ hổng Log4Shell, tất cả đều đã được khắc phục trước khi xảy ra bất kỳ sự xâm nhập nào.
Mặc dù các khuyến nghị của CISA giới hạn với các cơ quan trong chính phủ liên bang Mỹ, nó cũng gửi một tín hiệu mạnh mẽ tới tất cả các tổ chức trong việc xử lý lỗ hổng Log4j. Điểm quan trọng nhất trong thông điệp này là làm các tổ chức hiểu và ưu tiên việc nắm bắt các thành phần và thư viện có chứa điểm yếu bảo mật nằm trong hệ thống của họ, thông qua việc sử dụng BoM phần mềm (software bill of metarials - SBOM). SBOM là thứ không thể thiếu của một tổ chức, nó giúp các tổ chức dễ dàng kiểm tra xem liệu họ có bị ảnh hưởng bởi một điểm yếu bảo mật cụ thể hay không để đưa ra quyết định khắc phục nhanh chóng.
Một sự hạn chế mà CISA gặp phải khi giúp đỡ các tổ chức phi chính phủ là không có bất cứ một quy tắc nào yêu cầu các tổ chức bắt buộc phải báo cáo các sự cố an ninh thông tin, khiến cho cơ quan có phần mông lung trong việc phát hiện các sự cố liên quan đến Log4j. Vào tháng 12/2021, các tiêu chuẩn về báo cáo sự cố ANTT đã được đưa vào phiên bản thỏa hiệp của Đạo luật Ủy quyền Quốc phòng Quốc gia nhưng đã bị rút lại vào phút cuối.
“Chúng tôi chưa tìm thấy vụ xâm nhập nào đáng kể, nhưng cũng không có vụ xâm nhập nào được báo cáo tới chúng tôi. Chúng tôi lo ngại rằng kẻ xấu sẽ sớm bắt đầu lợi dụng lỗ hổng này, đặc biệt khi nó có tác động đến cơ sở hạ tầng quan trọng. Do hiện tại không có luật nào bắt buộc việc báo cáo sự cố ANTT, chúng tôi có thể sẽ không biết về nó”, Jen Easterly cho biết.
Mặc dù có tin đồn về một cuộc tấn công ransomware đã khai thác lỗ hổng Log4j nhằm vào Bộ Quốc phòng Bỉ vào cuối tháng 12/2021, Goldstein cho biết “Chúng tôi không có xác nhận nào về các vụ xâm nhập ransomware mà Log4Shell đã được sử dụng làm lỗ hổng bắt nguồn cho vụ xâm nhập”. “Ngày nay, chúng ta biết rằng nhiều vụ xâm nhập ransomware không được báo cáo cho chính phủ Hoa Kỳ ngay từ ban đầu. Còn những vụ việc được báo cáo thì thường không được gửi kèm theo thông tin kỹ thuật hữu ích để hiểu được lỗ hổng bảo mật nào đã được kẻ xấu lợi dụng cho vụ xâm nhập. Tuy nhiên, một trong những điều tôi quan sát được và cảm thấy rất đáng lưu tâm là các cuộc tấn công ransomware hiện nay đang chọn mục tiêu là bệnh viện và các cơ sở y tế, chúng tôi đang theo dõi sát sao vấn đề này”.
Các hệ thống điều khiển công nghiệp là một mối quan tâm đặc biệt mà CISA đang tìm cách giải quyết trong cuộc khủng hoảng này. Goldstein cho biết: “Đối với CISA, ngoài các nhiệm vụ đối với US-CERT (The United States Computer Emergency Readiness Team), chúng tôi cũng đảm nhận nhiệm vụ của ICS-CERT (Industrial Control System Cyber Emergency Response Team). Chúng tôi sở hữu một lượng chuyên môn lớn trong lĩnh vực này. Chiếm một phần lớn trong công việc của chúng tôi bao gồm làm việc với hàng trăm nhà cung cấp các thành phần trong hệ thống điều khiển công nghiệp để xác định xem các sản phẩm của họ có chứa lỗ hổng bảo mật hay không và phối hợp giao tiếp với các khách hàng của họ để thực hiện các tác vụ cần thiết. Các vùng mạng vận hành các hạ tầng công nghệ quan trọng của các tổ chức nên được ngắt hoàn toàn khỏi Internet để được bảo vệ tốt nhất trước các cuộc xâm nhập sử dụng lỗ hổng Log4j. Các tài sản này không nên được public trên Internet nhằm mục đích quản trị các hệ thống ứng dụng trong hầu hết các trường hợp. Tập trung vào việc loại bỏ bề mặt tấn công của kẻ xấu sẽ giúp làm giảm đáng kể rủi ro mà lỗ hổng này đem lại”.
Ngày 24/11/2021, một nhà nghiên cứu làm việc tại công ty điện toán đám mây của Alibaba, Trung Quốc đã thông báo cho Apache Foundation (tổ chức quản lý nền tảng ghi log của Java) về sự tồn tại của lỗ hổng. Trước khi Apache có thể phát hành bản vá, nhà nghiên cứu đã cảnh báo cho họ rằng người dùng Trung Quốc hiện đang thảo luận về nó, điều đó cho thấy tin tặc có thể đang cố gắng khai thác nó trước khi nó được công khai.
Sau đó, chính phủ Trung Quốc đã đình chỉ hợp đồng với công ty điện toán đám mây của Alibaba, với lý do được cho là không báo cáo về lỗi của phần mềm Log4j cho Bắc Kinh kịp thời. Goldstein nói rằng, CISA không thể xác nhận độc lập các báo cáo này, cũng như không thể xác nhận độc lập bất kỳ tương tác nào giữa chính phủ Trung Quốc và nhà nghiên cứu nói trên.
Đăng Thứ
17:00 | 17/11/2021
16:00 | 16/12/2021
07:00 | 12/04/2022
18:00 | 22/07/2021
07:00 | 23/10/2024
Ivanti đã đưa ra cảnh báo rằng 03 lỗ hổng bảo mật mới ảnh hưởng đến Thiết bị dịch vụ đám mây (Cloud Service Appliance - CSA) của công ty đang bị tin tặc khai thác một cách tích cực.
10:00 | 18/10/2024
GitLab đã phát hành bản cập nhật bảo mật cho Community Edition (CE) và Enterprise Edition (EE) để giải quyết 08 lỗ hổng bảo mật, bao gồm một lỗ hổng nghiêm trọng có thể cho phép thực thi các CI/CD Pipeline tùy ý.
13:00 | 07/10/2024
Các nhà nghiên cứu cho biết một lỗ hổng bảo mật khiến hàng triệu chiếc xe Kia sản xuất từ năm 2023 có thể bị chiếm quyền điều khiển, cho phép kẻ tấn công kiểm soát từ xa.
21:00 | 29/08/2024
Cục Điều tra Liên bang Mỹ (FBI) mới đây đã đưa ra thông báo về sự cố gián đoạn cơ sở hạ tầng trực tuyến liên quan đến một nhóm tin tặc mã độc tống tiền mới nổi có tên là Dispossessor. Trong một nỗ lực nhằm giảm thiểu rủi ro do nhóm tội phạm này gây ra, FBI đã thu giữ 03 máy chủ tại Mỹ, 03 máy chủ tại Anh, 18 máy chủ tại Đức, 08 tên miền tại Mỹ và 01 tên miền tại Đức.
Một lỗ hổng zero-day mới được phát hiện ảnh hưởng đến mọi phiên bản Microsoft Windows, bao gồm cả các phiên bản cũ và đang được hỗ trợ, cho phép kẻ tấn công chiếm đoạt thông tin đăng nhập NTLM của người dùng chỉ bằng việc xem một tệp trong Windows Explorer.
10:00 | 11/12/2024