🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Trường Đại học An ninh nhân dân đã đăng ký tín nhiệm. 🔥                    🔥 Cục Thống kê Thái Nguyên đã đăng ký tín nhiệm. 🔥                    🔥 Cục Thống kê Hà Nam đã đăng ký tín nhiệm. 🔥                   

CISA cảnh báo: Tin tặc tiếp tục khai thác các lỗ hổng Fortinet và Zoho

08/09/2023

Mới đây, Cơ quan An ninh mạng của Mỹ (CISA) đã cảnh báo rằng nhiều tác nhân đe dọa đang khai thác các lỗ hổng bảo mật trong Fortinet FortiOS SSL-VPN và Zoho ManagedEngine ServiceDesk Plus để giành được quyền truy cập trái phép vào các hệ thống bị ảnh hưởng.

Theo một cảnh báo chung được xuất bản bởi CISA cùng với Cục Điều tra Liên bang (FBI) và Lực lượng đặc nhiệm mạng quốc gia (CNMF), “các tác nhân đe dọa nâng cao (APT) đã khai thác CVE-2022-47966 để có quyền truy cập trái phép vào một ứng dụng công khai (Zoho ManagedEngine ServiceDesk Plus), thiết lập quyền truy cập lâu dài và mở rộng phạm vi xâm phạm trong mạng”.

Thông tin các nhóm đe dọa đằng sau các cuộc tấn công vẫn chưa được tiết lộ, mặc dù Bộ Tư lệnh mạng Mỹ (USCYBERCOM) ám chỉ sự tham gia của các nhóm đe dọa liên kết với nhà nước Iran.

Các phát hiện này dựa trên hoạt động ứng cứu sự cố do CISA thực hiện tại một tổ chức ngành hàng không dấu tên từ tháng 2 đến tháng 4 năm 2023.

CVE-2022-47966 liên quan đến một lỗ hổng thực thi mã từ xa nghiêm trọng cho phép kẻ tấn công không cần xác thực giành toàn quyền kiểm soát các hệ thống chưa được vá.

Sau khi khai thác thành công, kẻ tấn công đã giành được quyền truy cập cấp ban đầu vào máy chủ web và tải xuống phần mềm độc hại, thu thập thông tin mạng (network), thông tin xác thực của người dùng quản trị và tấn công sang các máy khác trong mạng. Hiện chưa rõ liệu có thông tin độc quyền nào bị đánh cắp hay không.

Tổ chức được đề cập cũng được cho là đã bị xâm phạm bằng một khai thác khác, lạm dụng CVE-2022-42475, một lỗ hổng nghiêm trọng trong Fortinet FortiOS SSL-VPN, để truy cập tường lửa.

CISA cho biết: “các tác nhân đe dọa đã xâm phạm và sử dụng thông tin đăng nhập tài khoản quản trị hợp pháp. Tổ chức này xác nhận rằng người dùng đã bị vô hiệu hóa trước khi hoạt động được phát hiện”.

Người ta cũng nhận thấy những kẻ tấn công đã khởi tạo nhiều phiên được mã hóa Transport Layer Security (TLS) tới nhiều địa chỉ IP, cho thấy việc truyền dữ liệu từ thiết bị tường lửa, ngoài việc tận dụng thông tin xác thực hợp lệ để chuyển từ tường lửa đến máy chủ web và triển khai backdoor.

Trong cả hai trường hợp, kẻ tấn công được cho là đã vô hiệu hóa thông tin xác thực tài khoản quản trị và xóa nhật ký (log) khỏi một số máy chủ quan trọng trong môi trường nhằm cố gắng xóa dấu vết về các hoạt động của chúng.

CISA lưu ý rằng: “Từ đầu tháng 2 đến giữa tháng 3 năm 2023, tệp Anydesk.exe đã được tìm thấy trên ba máy chủ”. “Các tác nhân APT đã xâm phạm một máy chủ rồi lây lan sang các máy bên để cài đặt tệp thực thi trên hai máy chủ còn lại”.

Hiện vẫn chưa rõ AnyDesk được cài đặt trên mỗi máy bằng cách nào. Một kỹ thuật khác được sử dụng trong các cuộc tấn công liên quan đến việc sử dụng ứng dụng ConnectWise ScreenConnect hợp pháp để tải xuống và chạy công cụ thu thập thông tin xác thực Mimikatz.

Ngoài ra, tin tặc cũng đã cố khai thác lỗ hổng Apache Log4j đã biết (CVE-2021-44228 hoặc Log4Shell) trong hệ thống ServiceDesk để giành quyền truy cập ban đầu nhưng không thành công.

Trước hiện trạng các lỗ hổng bảo mật tiếp tục bị khai thác, các tổ chức nên áp dụng các bản cập nhật mới nhất, giám sát việc sử dụng trái phép phần mềm truy cập từ xa và xóa các tài khoản và nhóm không cần thiết để ngăn chặn hành vi lạm dụng.

Nguồn: thehackernews.com.

scrolltop