Mới đây, tập đoàn MITER đã tiết lộ rằng họ là mục tiêu của một cuộc tấn công mạng khai thác hai lỗ hổng zero-day trong các thiết bị Ivanti Connect Secure từ tháng 1 năm 2024.
Cuộc tấn công đã dẫn đến sự xâm phạm Môi trường thử nghiệm, nghiên cứu và ảo hóa mạng (NERVE).
Kẻ tấn công, chưa rõ danh tính, “đã tiến hành do thám các mạng của chúng tôi, xâm nhập một trong các Mạng riêng ảo (VPN) thông qua hai lỗ hổng zero-day của Ivanti Connect Secure và vượt qua xác thực đa yếu tố bằng cách chiếm quyền điều khiển phiên (session hijacking)”, nhà nghiên cứu bảo mật Lex Crumpton của công ty cho biết vào tuần trước.
Hai lỗ hổng được đề cập là CVE-2023-46805 (điểm CVSS: 8.2) và CVE-2024-21887 (điểm CVSS: 9.1), có thể bị các tác nhân đe dọa lợi dụng để vượt qua kiểm tra xác thực và thực thi các lệnh tùy ý trên hệ thống bị xâm phạm.
Sau khi giành được quyền truy cập ban đầu, tác nhân đe dọa đã truy cập vào các hệ thống khác và xâm nhập cơ sở hạ tầng VMware của công ty bằng một tài khoản quản trị viên bị xâm phạm, sau đó triển khai các backdoor và web shell để thu thập thông tin xác thực và duy trì quyền truy cập lâu dài trong mạng.
MITER cho biết: “NERVE là một mạng cộng tác cung cấp tài nguyên lưu trữ, tính toán và kết nối mạng. Dựa trên điều tra của chúng tôi, cho đến nay, không có dấu hiệu nào cho thấy mạng doanh nghiệp chính của MITER hoặc hệ thống của đối tác bị ảnh hưởng bởi sự cố này.”
Công ty cho biết kể từ đó họ đã thực hiện các bước để ngăn chặn sự cố, đồng thời tiến hành các nỗ lực ứng phó và phục hồi cũng như phân tích, điều tra số để xác định mức độ tổn hại.
Jason Providakes, chủ tịch và giám đốc điều hành của MITER, cho biết: “Không tổ chức nào tránh khỏi kiểu tấn công mạng này”.
“Chúng tôi tiết lộ vụ việc này một cách kịp thời vì cam kết hoạt động vì lợi ích chung và ủng hộ các biện pháp tốt nhất nhằm nâng cao bảo mật cho doanh nghiệp cũng như các biện pháp cần thiết để cải thiện tình hình phòng thủ mạng hiện tại của ngành”.
Để giảm thiểu các rủi ro tiềm ẩn, các tổ chức cần đảm bảo các phần mềm, ứng dụng đang sử dụng được cập nhật bản vá đầy đủ và nhanh chóng, triển khai xác thực mạnh cho toàn bộ tài khoản trên hệ thống, áp dụng nguyên tắc đặc quyền tối thiểu và thực hiện phân vùng mạng chặt chẽ, hạn chế việc sử dụng dịch vụ điều khiển máy tính từ xa cũng như chuẩn bị sẵn sàng các phương án ứng phó khi có tấn công xảy ra.
Nguồn: thehackernews.com.
Tín nhiệm mạng | Synlab Italia đã tạm dừng tất cả các dịch vụ xét nghiệm và chẩn đoán y tế của họ sau khi một cuộc tấn công bằng ransomware khiến hệ thống CNTT của họ phải ngừng hoạt động.
Tín nhiệm mạng | CERT của Nhật Bản (JPCERT) đã cảnh báo về lỗ hổng nghiêm trọng (CVE-2024-28890, CVSS v3: 9.8) trong Forminator có thể cho phép tin tặc từ xa tải phần mềm độc hại lên các trang web bằng cách sử dụng plugin.
Một lỗ hổng GitHub hoặc có thể là một tính năng theo thiết kế đang bị các tác nhân đe dọa lợi dụng để phát tán phần mềm độc hại bằng cách sử dụng các URL được liên kết với kho lưu trữ của Microsoft.
Tín nhiệm mạng | CrushFTP đã cảnh báo các khách hàng về một lỗ hổng zero-day đã bị khai thác trong thực tế, hiện đã được vá, kêu gọi họ vá máy chủ của mình ngay lập tức
Tín nhiệm mạng | Thời gian gần đây, mạng xã hội Facebook xuất hiện tài khoản giả mạo Học viện An ninh nhân dân hỗ trợ giúp đỡ các nạn nhân bị lừa đảo qua mạng.
Tín nhiệm mạng | Những kẻ đứng sau ransomware Akira đã xâm nhập vào mạng của hơn 250 tổ chức và thu về khoảng 42 triệu USD tiền chuộc.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
