Cảnh báo cho biết, những kẻ tấn công đang quét các thiết bị trên các cổng 4443, 8443 và 10443 để tìm kiếm các lỗ hổng bảo mật đã công bố nhưng chưa được vá. Cụ thể, các nhóm APT đang khai thác các lỗ hổng CVE-2018-13379, CVE-2019-5591 và CVE-2020-12812.
Các nhóm APT đang quét các lỗ hổng này để chiếm quyền truy cập vào các mạng dịch vụ của chính phủ, thương mại và công nghệ. Tin tặc trước đó từng khai thác các lỗ hổng nghiêm trọng để tấn công DDoS, lây nhiễm ransomware, tấn công SQL injection, thực hiện các chiến dịch lừa đảo trực tuyến, thay đổi giao diện trang web và tung tin giả.
CVE-2018-13379 là lỗ hổng path traversal, trong đó cổng web SSL VPN cho phép tin tặc tải xuống các tệp hệ thống thông qua các truy vấn tài nguyên HTTP đặc biệt. Lỗ hổng CVE-2019-5591 là lỗ hổng cấu hình mặc định của thiết bị có thể bị kẻ tấn công trong cùng một mạng con chặn thông tin bằng cách mạo danh máy chủ LDAP. CVE-2020-12812 là lỗ hổng xác thực trong SSL VPN, có thể cho phép người dùng đăng nhập thành công mà không cần bước xác thực thứ hai nếu người dùng thay đổi username.
Chuyên gia Zach Hanley tại Horizon3.AI, cho biết: “Tin tặc đang nhắm vào các ứng dụng bên ngoài quan trọng và trong năm 2020, VPN thường xuyên là mục tiêu bị tấn công. Ba lỗ hổng nói trên cho phép kẻ tấn công có được thông tin xác thực hợp lệ, bỏ qua xác thực đa yếu tố (MFA) và tấn công man-in-the-middle (MITM) để chặn thông tin xác thực”.
Các nhà nghiên cứu nhấn mạnh các lỗ hổng này thường xuyên bị khai thác trong các cuộc tấn công mạng.
FBI và CISA không cung cấp thêm chi tiết về các nhóm APT đã tấn công gần đây. Sau khi khai thác thành công, tin tặc sẽ theo dõi các mục tiêu. Theo cảnh báo, các nhóm APT có thể đang sử dụng bất kỳ CVE nào hoặc tất cả các CVE trên để truy cập vào các mạng quan trọng, hỗ trợ việc định vị cho các cuộc tấn công xâm nhập dữ liệu hoặc mã hóa dữ liệu tiếp theo.
Cùng với đó, Satnam Narang, kỹ sư tại công ty Tenable, cho biết: “Trong vài năm qua, các lỗ hổng SSL VPN đã là mục tiêu hấp dẫn đối với các nhóm APT và tội phạm mạng. Việc thay đổi sang phương thức làm việc từ xa và nhu cầu ngày càng tăng đối với các SSL VPN đã mở rộng phạm vi tấn công và đối tượng tấn công cho các tin tặc. Các tổ chức cần cập nhật bản vá các thiết bị để tránh rủi ro mất an toàn thông tin”.
M.H
16:00 | 11/12/2020
16:00 | 12/06/2020
15:00 | 09/05/2022
10:00 | 25/07/2021
15:00 | 04/05/2020
17:00 | 03/05/2021
12:00 | 14/01/2025
Hiệp hội thời tiết Nhật Bản (JWA) ngày 09/1 thông báo, tổ chức này đã bị tấn công mạng và tạm thời khiến website thông tin mà tổ chức này vận hành không thể truy cập được.
15:00 | 19/12/2024
Các nhà nghiên cứu an ninh mạng đã cảnh báo về một chiến dịch lừa đảo mới sử dụng các ứng dụng hội nghị truyền hình giả mạo để phát tán phần mềm đánh cắp thông tin có tên Realst, nhắm vào những người làm việc tại Web3 dưới hình thức các cuộc họp kinh doanh giả mạo.
13:00 | 18/11/2024
Cisco đã xử lý lỗ hổng nghiêm trọng định danh CVE-2024-20418 cho phép kẻ tấn công thực thi lệnh với quyền root trên các điểm truy cập Ultra-Reliable Wireless Backhaul (URWB) dễ bị tấn công.
10:00 | 04/11/2024
Tại Hội nghị thượng đỉnh phân tích bảo mật 2024, nhóm nghiên cứu và phân tích toàn cầu của Kaspersky (GReAT) tiết lộ, các vụ tấn công do mã độc Grandoreiro gây ra nhắm tới hơn 1.700 ngân hàng, chiếm 5% tổng số vụ tấn công bằng trojan vào các ngân hàng trong năm nay.
Apache NiFi - hệ thống xử lý và phân phối dữ liệu đang đối mặt với một lỗ hổng định danh CVE-2024-56512, có thể cho phép truy cập trái phép vào thông tin nhạy cảm. Lỗ hổng này ảnh hưởng đến tất cả các phiên bản NiFi từ 1.10.0 đến 2.0.0.
09:00 | 08/01/2025