Cisco đã vá một lỗ hổng zero-day của NX-OS đã bị khai thác trong các cuộc tấn công vào tháng 4 để cài đặt phần mềm độc hại với quyền root trên các thiết bị chuyển mạch (switch) dễ bị tấn công.
Công ty an ninh mạng Sygnia, đơn vị đã báo cáo lỗ hổng với Cisco, đã quy kết các cuộc tấn công với một tác nhân đe dọa do nhà nước Trung Quốc hậu thuẫn mà họ đang theo dõi dưới tên Velvet Ant.
Sygnia cho biết họ "đã phát hiện hành vi khai thác này trong quá trình điều tra về nhóm gián điệp mạng có liên hệ với Trung Quốc mà chúng tôi đang theo dõi với tên gọi Velvet Ant".
"Những kẻ tấn công đã thu thập thông tin xác thực của người dùng quản trị để truy cập vào các thiết bị chuyển mạch Cisco Nexus và triển khai phần mềm độc hại tùy chỉnh chưa từng được biết đến trước đó, cho phép chúng kết nối từ xa đến các thiết bị bị xâm phạm, tải lên các tệp bổ sung và thực thi mã độc hại."
Cisco cho biết lỗ hổng (được định danh CVE-2024-20399) có thể bị kẻ tấn công cục bộ có quyền Quản trị viên khai thác để thực thi các lệnh tùy ý với quyền root trên các thiết bị bị ảnh hưởng.
Cisco giải thích rằng: "Lỗ hổng này do thiếu kiểm tra, sàng lọc tham số được truyền vào các lệnh CLI cấu hình cụ thể. Kẻ tấn công có thể khai thác lỗ hổng này bằng cách truyền vào dữ liệu độc hại làm đối số cho câu lệnh CLI cấu hình bị ảnh hưởng".
Danh sách các thiết bị bị ảnh hưởng bao gồm nhiều thiết bị chuyển mạch đang chạy phần mềm NX-OS dễ bị tấn công:
- MDS 9000 Series Multilayer Switches
- Nexus 3000 Series Switches
- Nexus 5500 Platform Switches
- Nexus 5600 Platform Switches
- Nexus 6000 Series Switches
- Nexus 7000 Series Switches
- Nexus 9000 Series Switches in standalone NX-OS mode
Lỗ hổng này cũng cho phép kẻ tấn công thực thi lệnh mà không kích hoạt thông báo syslog của hệ thống, do đó cho phép chúng che giấu hành vi xâm phạm trên các thiết bị NX-OS bị tấn công.
Cisco khuyến nghị khách hàng nên thường xuyên theo dõi và thay đổi thông tin đăng nhập của người dùng quản trị network-admin và vdc-admin.
Quản trị viên có thể sử dụng trang Cisco Software Checker để xác định xem các thiết bị của họ có bị ảnh hưởng bởi CVE-2024-20399 hay không.
Vào tháng 4, Cisco cũng cảnh báo rằng một nhóm tin tặc được nhà nước hậu thuẫn (được theo dõi với tên UAT4356 và STORM-1849) đã khai thác nhiều lỗ hổng zero-day (CVE-2024-20353 và CVE-2024-20359) trong tường lửa (firewall) Adaptive Security Appliance (ASA) và Firepower Threat Defense (FTD) kể từ tháng 11 năm 2023 trong một chiến dịch có tên ArcaneDoor nhắm vào các tổ chức chính phủ trên toàn thế giới.
Tháng trước, Sygnia cho biết Velvet Ant đã nhắm mục tiêu vào các thiết bị F5 BIG-IP bằng phần mềm độc hại tùy chỉnh trong một chiến dịch gián điệp mạng. Chúng đã sử dụng quyền truy cập liên tục vào mạng của nạn nhân để lén lút đánh cắp thông tin tài chính và thông tin nhạy cảm của khách hàng trong ba năm.
Nguồn: bleepingcomputer.com.
Mới đây, nhà hàng Gotham Bar & Grill đã bị buộc phải đóng cửa tạm thời sau khi trải qua một vụ lừa đảo qua không gian mạng. Được biết, các đối tượng đã mạo danh Paychex (công ty cung cấp dịch vụ tính lương hộ) nhằm chiếm đoạt khoản tiền lương của các nhân viên trong nhà hàng.
Bước vào khoảng thời gian người dân lập báo cáo tài chính cho năm trước và nộp tờ khai thuế, nhiều hình thức lừa đảo liên quan tới việc đóng và hoàn trả thuế bắt đầu xuất hiện tại Úc. Các đối tượng lừa đảo lợi dụng việc người dân cung cấp hồ sơ, giấy tờ cho Sở Thuế Vụ để đánh cắp các dữ liệu quan trọng.
Gần đây, Công ty Giao hàng tiết kiệm (GHTK) đã ghi nhận một số phản ánh về việc các đối tượng mạo danh, đăng tải các thông tin tuyển dụng sai lệch trên Fanpage giả mạo, liên hệ ứng viên yêu cầu nộp phí, chuyển tiền vào các ứng dụng (App) để được tuyển dụng hoặc tham gia vào hội nhóm hỗ trợ tuyển dụng,…
Công ty cổ phần TV HUB - nhà sản xuất của chương trình Shark Tank Việt Nam vừa cảnh báo về việc một số đối tượng có hành vi giả mạo TV HUB, chương trình Shark Tank, sử dụng hình ảnh các nhà đầu tư của chương trình để thực hiện hành vi lừa đảo chiếm đoạt tài sản của nhiều cá nhân.
Theo ghi nhận, thời gian gần đây trên không gian mạng liên tiếp xuất hiện các nạn nhân sập bẫy chiêu trò lừa đảo giả danh công an, hướng dẫn hoặc báo lỗi tài khoản VNeID dẫn đến bị chiếm đoạt tài sản.
Công an TP Thủ Đức, TPHCM vừa phát đi cảnh báo về phương thức, thủ đoạn lừa đảo mới liên quan đến hoạt động xuất nhập cảnh. Đây được xem là hình thức thuộc nhóm đối tượng giả danh cán bộ công an thông qua mạng xã hội, mạng viễn thông để thực hiện hành vi lừa đảo nhưng cách thức tinh vi hơn.