Công ty an ninh mạng Sygnia là đơn vị đã phát hiện và báo cáo lỗ hổng với Cisco. Ông Amnon Kushnir, Giám đốc Ứng phó sự cố tại Sygnia cho biết: “Công ty đã phát hiện hành vi khai thác này trong quá trình điều tra về nhóm gián điệp mạng có liên hệ với Trung Quốc mà chúng tôi đang theo dõi với tên gọi Velvet Ant. Những kẻ tấn công đã thu thập thông tin xác thực của người dùng quản trị để truy cập vào các thiết bị chuyển mạch Cisco Nexus và triển khai phần mềm độc hại tùy chỉnh chưa từng được biết đến trước đó, cho phép chúng kết nối từ xa đến các thiết bị bị xâm phạm, tải lên các tệp bổ sung và thực thi mã độc hại".
Trước đó, Sygnia cũng cho biết Velvet Ant đã nhắm mục tiêu vào các thiết bị F5 BIG-IP bằng phần mềm độc hại tùy chỉnh trong một chiến dịch gián điệp mạng. Chúng đã sử dụng quyền truy cập liên tục vào mạng của nạn nhân để lén lút đánh cắp thông tin tài chính và thông tin nhạy cảm của khách hàng trong ba năm.
Cisco giải thích lỗ hổng (được định danh CVE-2024-20399) có thể bị khai thác bởi những kẻ tấn công cục bộ có quyền quản trị viên để thực thi các lệnh tùy ý với quyền root trên hệ điều hành cơ bản của các thiết bị bị ảnh hưởng. "Lỗ hổng này do thiếu kiểm tra, sàng lọc tham số được truyền vào các lệnh CLI cấu hình cụ thể. Kẻ tấn công có thể khai thác lỗ hổng này bằng cách truyền vào dữ liệu độc hại làm đối số cho câu lệnh CLI cấu hình bị ảnh hưởng".
Danh sách các thiết bị bị ảnh hưởng bao gồm nhiều thiết bị chuyển mạch đang chạy hệ điều hành NX-OS dễ bị tấn công:
- MDS 9000 Series Multilayer Switches
- Nexus 3000 Series Switches
- Nexus 5500 Platform Switches
- Nexus 5600 Platform Switches
- Nexus 6000 Series Switches
- Nexus 7000 Series Switches
- Nexus 9000 Series Switches in standalone NX-OS mode
Lỗ hổng cũng cho phép kẻ tấn công thực thi lệnh mà không kích hoạt thông báo nhật ký hệ thống, do đó cho phép chúng che giấu hành vi xâm phạm trên các thiết bị NX-OS bị tấn công.
Cisco khuyến nghị khách hàng nên thường xuyên theo dõi và thay đổi thông tin đăng nhập của người dùng quản trị (network-admin và vdc-admin).
Quản trị viên có thể sử dụng trang Cisco Software Checker để xác định xem các thiết bị của họ có bị ảnh hưởng bởi CVE-2024-20399 hay không.
Vào tháng 4/2024, Cisco cũng cảnh báo rằng một nhóm tin tặc được nhà nước hậu thuẫn (được theo dõi là UAT4356 và STORM-1849) đã khai thác nhiều lỗ hổng zero-day (CVE-2024-20353 và CVE-2024-20359) trong Adaptive Security Appliance (ASA) và Firepower Threat Defense (FTD) kể từ tháng 11/2023 trong một chiến dịch có tên ArcaneDoor nhắm vào các tổ chức chính phủ trên toàn thế giới. Vào thời điểm đó, công ty cũng tìm thấy bằng chứng cho thấy tin tặc đã thử nghiệm và phát triển các khai thác để nhắm vào lỗ hổng zero-day ít nhất là kể từ tháng 7/2023. Tin tặc đã khai thác các lỗ hổng để cài đặt phần mềm độc hại chưa được biết trước đó, cho phép duy trì sự tồn tại trên các thiết bị ASA và FTD bị xâm nhập. Tuy nhiên, Cisco cho biết họ vẫn chưa xác định được vectơ tấn công ban đầu được những kẻ tấn công sử dụng để xâm nhập mạng của các thiết bị bị tấn công.
Hà Phương
10:00 | 15/07/2024
09:00 | 10/06/2024
13:00 | 13/09/2024
07:00 | 07/11/2024
10:00 | 09/12/2024
13:00 | 18/11/2024
15:00 | 23/04/2024
08:00 | 22/07/2024
14:00 | 06/08/2024
08:00 | 04/05/2024
09:00 | 14/11/2024
Trong thời đại công nghệ số, công nghệ trở thành một phần không thể thiếu trong ngành Y tế, các bệnh viện và cơ sở y tế toàn cầu ngày càng trở thành mục tiêu của những cuộc tấn công mạng phức tạp và tinh vi.
13:00 | 31/10/2024
Từ đầu năm 2023 đến tháng 9/2024, các chuyên gia của hãng bảo mật Kaspersky đã phát hiện hơn 500 tin quảng cáo về công cụ Exploit để khai thác các lỗ hổng zero-day trên web đen và các kênh Telegram ẩn dạnh.
14:00 | 24/10/2024
Trong tháng 9/2024, Trung tâm Giám sát an toàn không gian mạng quốc gia (Cục An toàn thông tin, Bộ TT&TT) đã ghi nhận 125.338 địa chỉ website giả mạo các cơ quan, tổ chức tăng hơn 100 địa chỉ so với tháng 8 trước đó.
11:00 | 24/10/2024
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể cho phép kẻ tấn công cài phần mềm gián điệp vào bộ nhớ của công cụ trí tuệ nhân tạo (AI).
Nhóm tin tặc liên kết với Triều Tiên có tên Kimsuky được cho là liên quan đến một loạt các cuộc tấn công lừa đảo bằng cách gửi các email từ địa chỉ người gửi ở Nga để thực hiện hành vi đánh cắp thông tin đăng nhập.
14:00 | 10/12/2024