Tuần trước, Cơ quan An ninh mạng (CISA) cùng với Bộ tư lệnh Không gian mạng (CGCYBER) của Mỹ đã cảnh báo về những nỗ lực khai thác lỗ hổng Log4Shell của các tác nhân đe dọa nhằm vào máy chủ VMware để xâm phạm hệ thống mục tiêu.
Các cơ quan cho biết: "Kể từ tháng 12 năm 2021, nhiều nhóm tin tặc đã khai thác Log4Shell trên các máy chủ VMware Horizon chưa được vá". "Trong số các hoạt động khai thác, các nhóm tấn công APT bị nghi ngờ là đã cài cắm loader malware trên các máy bị xâm phạm".
Trong một trường hợp, kẻ tấn công được cho là đã có thể xâm nhập sâu hơn trong mạng nạn nhân và thu thập, lấy cắp dữ liệu nhạy cảm.
Log4Shell, có định danh CVE-2021-44228 (điểm CVSS: 10.0, lỗ hổng đặc biệt nghiêm trọng), cho phép thực thi mã từ xa, ảnh hưởng đến thư viện Apache Log4j được sử dụng rộng rãi trong các trang web, dịch vụ, ứng dụng,… của các cá nhân và doanh nghiệp.
Khai thác thành công lỗ hổng này có thể cho phép kẻ tấn công [từ xa] thực thi mã độc và chiếm quyền kiểm soát hệ thống mục tiêu.
Dựa trên thông tin điều tra được trong hai cuộc ứng cứu sự cố, các cơ quan cho biết những kẻ tấn công đã lạm dụng lỗ hổng để tải các payload độc hại, bao gồm các tập lệnh PowerShell và một công cụ truy cập từ xa có tên "hmsvc.exe" có khả năng key-logging và triển khai các mã độc khác. Ngoài ra, nó còn cung cấp "quyền truy cập vào giao diện người dùng (GUI) trên hệ thống Windows mục tiêu".
Các tập lệnh PowerShell, được phát hiện trong môi trường sản xuất của một tổ chức thứ hai, cho phép các nhóm APT triển khai phần mềm độc hại có khả năng giám sát hệ thống từ xa, giành quyền truy cập reverse shell, trích xuất dữ liệu, tải lên và thực thi các đoạn mã độc hại.
Những kẻ tấn công cũng lạm dụng CVE-2022-22954, một lỗ hổng thực thi mã từ xa trong VMware Workspace ONE Access and Identity Manager được phát hiện vào tháng 4 năm 2022, để triển khai web shell Dingo J-spy.
Phát hiện này cho thấy lỗ hổng Log4Shell vẫn rất được những kẻ tấn công quan tâm để nhắm vào các máy chủ có khả năng chưa được vá.
Theo công ty bảo mật ExtraHop, các lĩnh vực như tài chính và chăm sóc sức khỏe đang là môi trường rộng lớn tiềm ẩn các nguy cơ bị khai thác tấn công.
Trong một báo cáo tháng 4 năm 2022, Randori thuộc sở hữu của IBM cho biết "Log4j nằm sâu trong nhiều lớp mã nguồn được chia sẻ của bên thứ ba, dẫn đến các ứng dụng, dịch vụ sử dụng nhiều mã nguồn mở có nguy cơ cao bị khai thác".
Nguồn: thehackernews.com
Tín nhiệm mạng | NSO Group đã thừa nhận với các nhà lập pháp Liên minh châu Âu rằng công cụ Pegasus của họ đã được ít nhất 5 quốc gia trong khu vực sử dụng.
Tín nhiệm mạng | Một nghiên cứu mới của các học giả tại ETH Zurich đã xác định một số vấn đề bảo mật nghiêm trọng trong dịch vụ lưu trữ cloud MEGA có thể bị lợi dụng để phá vỡ tính bảo mật và tính toàn vẹn của dữ liệu người dùng.
Tín nhiệm mạng | Hơn năm mươi lỗ hổng bảo mật đã được phát hiện trong các thiết bị của 10 nhà cung cấp OT do "các phương pháp thiết kế không an toàn".
Tín nhiệm mạng | Một lỗ hổng bảo mật trong Apple Safari đã bị khai thác vào đầu năm nay, ban đầu đã được vá vào năm 2013 và xuất hiện lại vào tháng 12 năm 2016. Lỗ hổng có thể bị khai thác để thực thi mã tùy ý.
Tín nhiệm mạng | Lỗ hổng nghiêm trọng được vá gần đây trong các sản phẩm Atlassian Confluence Server và Data Center đang bị khai thác trong các cuộc tấn công để phát tán phần mềm độc hại.
Tín nhiệm mạng | Trong khi làm việc từ xa đang trở thành tiêu chuẩn ở hầu hết mọi nơi làm việc, có vẻ như scan Agent-based là một điều bắt buộc, và scan Network-based là một tùy chọn bổ sung.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
