Google đã công bố báo cáo lỗ hổng zero-day hàng năm, trình bày số liệu thống kê về các hoạt động khai thác trong thực tế từ năm 2022 và nêu bật một vấn đề tồn tại đã lâu trong nền tảng Android gây rủi ro cho các sản phẩm, thiết bị của người dùng.
Cụ thể hơn, báo cáo của Google nhấn mạnh các lỗ hổng n-day trong Android đã bị các tác nhân đe dọa lạm dụng như những lỗ hổng 0-day.
Vấn đề bắt nguồn từ sự phức tạp của hệ sinh thái Android, bao gồm một số bước giữa nhà cung cấp (Google) và nhà sản xuất thiết bị cuối (như điện thoại), sự chênh lệch đáng kể về khoảng thời gian cập nhật bảo mật giữa các mẫu thiết bị khác nhau, thời gian hỗ trợ ngắn,...
Zero-day là một lỗ hổng phần mềm đã biết trước khi nhà cung cấp phát hiện ra hoặc sửa lỗi đó, có thể bị khai thác trong các cuộc tấn công trước khi có bản vá; lỗ hổng n-day là lỗ hổng được biết đến công khai dù có hay không có bản vá.
Ví dụ: nếu một lỗi được biết đến trong Android trước Google, thì đó được gọi là zero-day. Tuy nhiên, sau khi Google biết về điều đó, nó sẽ trở thành n-day, với n phản ánh số ngày kể từ khi nó được biết đến rộng rãi.
Google cảnh báo rằng những kẻ tấn công có thể sử dụng lỗ hổng n-day để tấn công các thiết bị chưa được vá trong nhiều tháng bằng các phương pháp khai thác đã biết hoặc mới, mặc dù Google hoặc nhà cung cấp khác đã phát hành bản vá lỗi.
Điều này xảy ra do bản vá lỗ hổng, do Google hoặc nhà cung cấp khác đã giải quyết, phải mất vài tháng để nhà sản xuất thiết bị áp dụng bản vá đó trong các phiên bản Android của họ.
Báo cáo của Google giải thích rằng: "Những khoảng cách giữa các nhà cung cấp và nhà sản xuất cho phép n-day hoạt động như 0-day vì không có bản vá nào có sẵn cho người dùng và biện pháp hạn chế duy nhất của họ là ngừng sử dụng thiết bị". "Những khoảng cách này tồn tại trong hầu hết các mối quan hệ giữa nhà cung cấp và nhà sản xuất, nhưng chúng phổ biến và kéo dài hơn trong Android."
N-day có hiệu lực như 0 ngày
Vào năm 2022, nhiều sự cố kiểu này đã ảnh hưởng đến Android, đáng chú ý nhất là CVE-2022-38181, một lỗ hổng trong GPU ARM Mali. Lỗ hổng này đã được báo cáo cho nhóm Bảo mật Android vào tháng 7 năm 2022, ban đầu được cho là "không khắc phục được", sau đó được ARM vá vào tháng 10 năm 2022 và cuối cùng được đưa vào bản cập nhật bảo mật Android tháng 4 năm 2023.
Lỗ hổng này được phát hiện bị khai thác trong thực tế vào tháng 11 năm 2022, một tháng sau khi ARM phát hành bản sửa lỗi.
Việc khai thác vẫn tiếp tục không suy giảm cho đến tháng 4 năm 2023, khi bản cập nhật bảo mật Android cung cấp bản sửa lỗi, tức là sáu tháng sau khi ARM giải quyết lỗ hổng.
- CVE-2022-3038: Lỗ hổng cho phép thoát khỏi sandbox trong Chrome 105, đã được vá vào tháng 6 năm 2022, nhưng vẫn chưa được giải quyết trên các trình duyệt của nhà cung cấp dựa trên các phiên bản Chrome cũ hơn, như 'Trình duyệt Internet' của Samsung.
- CVE-2022-22706: Lỗ hổng trong kernel driver GPU ARM Mali được nhà cung cấp vá vào tháng 1 năm 2022.
Hai lỗ hổng này đã bị khai thác vào tháng 12 năm 2022 trong một chuỗi tấn công nhằm vào các thiết bị Android của Samsung để lây nhiễm phần mềm gián điệp.
Samsung đã phát hành bản cập nhật bảo mật cho CVE-2022-22706 vào tháng 5 năm 2023 với sự chậm trễ đáng kinh ngạc là 17 tháng, trong khi Android áp dụng bản sửa lỗi của ARM trong bản cập nhật bảo mật tháng 6 năm 2023.
Ngay cả sau khi Google phát hành bản cập nhật bảo mật Android, các nhà cung cấp thiết bị phải mất tới ba tháng để cung cấp các bản sửa lỗi cho các kiểu máy được hỗ trợ, tạo cơ hội khai thác cho kẻ tấn công trên các thiết bị cụ thể.
Vấn đề triển khai bản vá này làm cho n-day trở nên có giá trị như zero-day đối với những kẻ đe dọa có thể khai thác nó trên các thiết bị chưa được vá, nó có thể còn hữu ích hơn so với zero-day vì các chi tiết kỹ thuật đã được công khai, có khả năng bao gồm thông tin mã khai thác (PoC), giúp các tác nhân đe dọa dễ dàng lạm dụng chúng hơn.
Một điểm đáng chú ý khác là hơn 40% lỗ hổng zero-day được phát hiện vào năm 2022 là các biến thể của các lỗ hổng đã được báo cáo trước đó, vì việc tìm cách vượt qua các bản vá cho các lỗ hổng đã biết thường dễ dàng hơn so với việc tìm kiếm một lỗ hổng 0-day mới.
Nguồn: bleepingcomputer.com.
Lỗ hổng nghiêm trọng trên thiết bị MikroTik RouterOS
Tín nhiệm mạng | Hai lỗ hổng Linux được phát hiện gần đây trong Ubuntu kernel có thể cho phép người dùng cục bộ không có đặc quyền giành được các đặc quyền nâng cao trên một số lượng lớn thiết bị.
Tín nhiệm mạng | Theo sau xự xuất hiện của WormGPT, các tác nhân đe dọa đang quảng cáo một công cụ trí tuệ nhân tạo (AI) khác dành cho tội phạm mạng có tên là FraudGPT trên nhiều thị trường dark web và các kênh Telegram.
Tín nhiệm mạng | VMware đã vá một lỗ hổng dẫn đến lộ lọt thông tin trong VMware Tanzu Application Service dành cho máy ảo (TAS for VMs) và Isolation Segment do thông tin xác thực được ghi lại và bị lộ thông qua nhật ký kiểm tra hệ thống
Tín nhiệm mạng | Atlassian đã phát hành các bản cập nhật để giải quyết ba lỗ hổng bảo mật ảnh hưởng đến các sản phẩm Confluence Server, Data Center và Bamboo Data Center của họ. Nếu khai thác thành công, có thể dẫn đến thực thi mã từ xa trên các hệ thống bị ảnh hưởng.
Tín nhiệm mạng | Apple đã phát hành các bản cập nhật bảo mật mới cho các thiết bị iOS, iPadOS, macOS, tvOS, watchOS và Safari để giải quyết một số lỗ hổng bảo mật, bao gồm một lỗi zero-day đang bị khai thác trong thực tế.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
