OpenMetadata là một nền tảng mã nguồn mở hoạt động như một công cụ quản lý siêu dữ liệu (metadata), giúp người dùng có thể tìm kiếm, xuất và nhập dữ liệu cùng nhiều tác vụ khác.
Theo nhóm Threat Intelligence, các tin tặc đã khai thác các lỗ hổng tồn tại trong các bản cài đặt chưa được vá trên Internet kể từ đầu tháng 4/2024. Các lỗ hổng bị khai thác đều được phát hiện và ghi nhận bởi nhà nghiên cứu bảo mật Alvaro Muñoz, cụ thể như sau:
- CVE-2024-28847 (điểm CVSS: 8.8): Lỗ hổng Spring Expression Language (SpEL) trong PUT /api/v1/events/subscriptions (đã được vá với phiên bản 1.2.4).
- CVE-2024-28848 (điểm CVSS: 8.8): Lỗ hổng SpEL injection trong GET /api/v1/policies/validation/condition/<expr> (đã được vá với phiên bản 1.2.4).
- CVE-2024-28253 (điểm CVSS: 8.8): Lỗ hổng chèn SpEL injection trong PUT /api/v1/policies (đã được vá với phiên bản 1.3.1).
- CVE-2024-28254 (điểm CVSS: 8.8): Lỗ hổng SpEL injection trong GET /api/v1/events/subscriptions/validation/condition/<expr> (đã được vá với phiên bản 1.2.4).
- CVE-2024-28255 (điểm CVSS: 9.8): Lỗ hổng vượt qua xác thực - Bypass (đã được vá với phiên bản 1.2.4).
Việc khai thác thành công các lỗ hổng trên có thể cho phép kẻ tấn công bypass và thực thi mã từ xa.
Những kẻ tấn công đã nhắm mục tiêu vào các khối lượng workload OpenMetadata để thực thi mã trên container chạy OpenMetadata image. Sau khi xâm nhập thành công, tin tặc sẽ thực hiện các hoạt động trinh sát để xác định mức độ truy cập vào môi trường bị xâm nhập và thu thập thông tin chi tiết về cấu hình mạng và phần cứng, phiên bản hệ điều hành, số lượng người dùng đang hoạt động và các biến môi trường.
Hai nhà nghiên cứu bảo mật Hagai Ran Kestenberg và Yossi Weizman cho biết: “Bước thăm dò này thường liên quan đến việc liên hệ với một dịch vụ công khai. Trong cuộc tấn công cụ thể này, những kẻ tấn công gửi yêu cầu ping đến các tên miền kết thúc bằng oast[.]me và oast[.]pro, được liên kết với Interactsh - một công cụ mã nguồn mở để phát hiện các tương tác ngoài phạm vi”.
Ý tưởng là xác thực kết nối mạng từ hệ thống bị xâm nhập đến cơ sở hạ tầng do kẻ tấn công kiểm soát mà không bị gắn cờ là red flag, từ đó cho phép kẻ tấn công thiết lập liên lạc đến máy chủ điều khiển và ra lệnh (C2) đồng thời triển khai payload độc hại bổ sung.
Mục tiêu cuối cùng của các cuộc tấn công là truy xuất và triển khai một biến thể Windows hoặc Linux của phần mềm độc hại khai thác tiền điện tử từ một máy chủ từ xa đặt tại Trung Quốc, tùy thuộc vào hệ điều hành.
Sau khi công cụ khai thác được thực thi, payload ban đầu sẽ bị xóa khỏi workload và những kẻ tấn công khởi tạo một reverse shell cho máy chủ từ xa của chúng bằng công cụ Netcat, cho phép kẻ tấn công chiếm quyền điều khiển hệ thống. Tính bền vững đạt được bằng cách thiết lập các cron jobs định kỳ để chạy mã độc theo các khoảng thời gian được xác định trước.
Người dùng OpenMetadata nên chuyển sang các phương thức xác thực mạnh, tránh sử dụng thông tin xác thực mặc định và cập nhật image của họ lên phiên bản mới nhất.
Sự phát triển này diễn ra khi các máy chủ Redis có thể truy cập công khai bị vô hiệu hóa tính năng xác thực hoặc có các lỗ hổng chưa được vá đang được nhắm mục tiêu để cài đặt các payload Metasploit Meterpreter cho giai đoạn sau khai thác.
Các nhà nghiên cứu của Trung tâm tình báo bảo mật AhnLab (ASEC) cho biết: “Khi Metasploit được cài đặt, các tác nhân đe dọa có thể kiểm soát hệ thống bị lây nhiễm và điều khiển mạng nội bộ của một tổ chức bằng cách sử dụng các tính năng khác nhau do phần mềm độc hại cung cấp”.
Hữu Tài
(Tổng hợp)
09:00 | 17/04/2024
14:00 | 10/05/2024
15:00 | 16/04/2024
15:00 | 16/04/2024
07:00 | 12/04/2024
07:00 | 27/09/2024
Tổng cộng 6 triệu mã số định danh người nộp thuế Indonesia đã bị rò rỉ và rao bán công khai với giá 10.000 USD. Ngoài mã số định danh người nộp thuế, dữ liệu bị rò rỉ bao gồm mã số định danh quốc gia, email, địa chỉ, số điện thoại và thông tin cá nhân khác.
14:00 | 17/09/2024
Nhà nghiên cứu bảo mật Alon Leviev của SafeBreach Labs đã trình bày một cách tấn công vào kiến trúc Microsoft Windows Update biến các lỗ hổng đã được sửa thành lỗ hổng zero-day.
16:00 | 19/08/2024
Công ty sản xuất vàng Evolution Mining, một trong những nhà sản xuất vàng lớn nhất của Úc (cũng có mặt tại Canada) đã thông báo rằng, công ty bị tấn công bằng mã độc tống tiền vào ngày 08/8. Vụ tấn công đã gây ảnh hưởng nghiêm trọng đến hệ thống công nghệ thông tin của công ty.
13:00 | 17/06/2024
Các nhà nghiên cứu Công ty bảo mật đám mây Wiz (Mỹ) phát hiện ra một lỗ hổng bảo mật nghiêm trọng trong dịch vụ trí tuệ nhân tạo (AI) có thể cho phép các tác nhân đe dọa truy cập vào các mô hình AI độc quyền và lấy các thông tin nhạy cảm.
Thông qua diễn tập thực chiến vừa tổ chức, các cơ quan, đơn vị trong Ban Cơ yếu Chính phủ đã có cơ hội nhìn nhận, đánh giá năng lực ứng phó của đơn vị mình trước những mối nguy hại, cuộc tấn công trên không gian mạng.
10:00 | 04/10/2024