Các quản trị viên hệ thống không có nhiều thời gian để vá các lỗ hổng bảo mật đã bị tiết lộ nữa. Một báo cáo mới cho thấy các tác nhân đe dọa đang dò quét (scan) các endpoint dễ bị tấn công trong vòng 15 phút sau khi một CVE mới được tiết lộ công khai.
Theo Báo cáo ứng cứu sự cố Unit 42 năm 2022 của Palo Alto, tin tặc liên tục theo dõi thông báo của các nhà cung cấp phần mềm để tìm thông tin về các lỗ hổng bảo mật mới mà chúng có thể lạm dụng khai thác để giành quyền truy cập ban đầu vào mạng công ty hoặc tấn công thực thi mã từ xa.
Hành động scan các lỗ hổng của các tác nhân đe dọa khiến các quản trị viên hệ thống phải chạy đua với những kẻ tấn công để vá các lỗ hổng trước khi chúng bị khai thác.
Một Báo cáo về mối de dọa tấn công năm 2022 cho thấy những kẻ tấn công thường bắt đầu quét các lỗ hổng trong vòng 15 phút sau khi CVE được công khai.
Quá trình quét không đòi hỏi nhiều kỹ thuật, ngay cả những kẻ có kỹ năng thấp cũng có thể quét internet để tìm các endpoint dễ bị tấn công và bán phát hiện này trên thị trường tội phạm mạng cho các tin tặc khác muốn khai thác chúng. Vài giờ sau đó, các nỗ lực khai thác tấn công đầu tiên sẽ được phát hiện.
Unit 42 lấy CVE-2022-1388 [lỗ hổng nghiêm trọng cho phép thực thi lệnh từ xa mà không cần xác thực ảnh hưởng đến các sản phẩm F5 BIG-IP] làm ví dụ: Lỗ hổng được tiết lộ vào ngày 4 tháng 5 năm 2022, sau mười giờ kể từ khi được công bố, Unit 42 đã phát hiện 2.552 lần quét và khai thác.
Đây là cuộc đua giữa những người bảo vệ và các tác nhân độc hại, và khoảng cách của hai bên đang giảm dần qua mỗi năm.
Các lỗ hổng được khai thác nhiều nhất năm 2022
Dựa trên dữ liệu do Palo Alto thu thập, lỗ hổng được khai thác nhiều nhất trong nửa đầu năm 2022 là chuỗi khai thác “ProxyShell” [ khai thác bằng cách kết hợp ba lỗ hổng có định danh CVE-2021-34473, CVE-2021-34523 và CVE-2021-31207], chiếm 55% tổng số sự cố khai thác được ghi nhận. ProxyShell là một cuộc tấn công được.
Đứng ở vị trí thứ hai là Log4Shell với 14% khai thác, các CVE SonicWall khác nhau chiếm 7%, ProxyLogon chiếm 5%, và khai thác RCE trong Zoho ManageEngine ADSelfService Plus chiếm 3%.
Các lỗ hổng được khai thác nhiều nhất trong nửa đầu năm 2022
Tuy nhiên, theo các số liệu thống kê, phần lớn khai thác lạm dụng các lỗ hổng cũ hơn chứ không phải những lỗ hổng được phát hiện gần đây nhất. Điều này xảy ra vì nhiều lý do, bao gồm kích thước bề mặt tấn công, độ phức tạp của việc khai thác và tác động thực tế của lỗ hổng.
Các hệ thống quan trọng được bảo vệ nghiêm ngặt thường nhanh chóng được áp dụng các bản cập nhật bảo mật sẽ bị nhắm mục tiêu trong các khai thác zero-day hoặc các cuộc tấn công diễn ra ngay sau khi lỗ hổng được tiết lộ.
Theo Unit 42, việc khai thác lỗ hổng phần mềm để xâm nhập vào mạng chiếm khoảng một phần ba trong tổng số các trường hợp.
37% trường hợp tin tặc sử dụng tấn công lừa đảo để có được quyền truy cập ban đầu, brute-force (dò đoán) hoặc sử dụng thông tin đăng nhập bị xâm phạm chiếm 15%.
Sử dụng các thủ đoạn social engineering hoặc hối lộ nhân viên để có được quyền truy cập mạng chiếm 10% các sự cố.
Khuyến nghị
Tốc độ mà các tác nhân đe dọa nhắm mục tiêu vào các thiết bị của một tổ chức gây thêm áp lực cho các quản trị viên và các chuyên gia bảo mật đang cố gắng ngăn chặn các mối đe dọa bảo mật và các vấn đề về hệ điều hành mới.
Do đó, điều cực kỳ quan trọng là giữ các thiết bị không kết nối Internet nếu có thể; nếu không, chỉ cho phép kết nối thông qua VPN hoặc các cổng (gateway) bảo mật khác. Bằng cách hạn chế quyền truy cập vào máy chủ, quản trị viên không chỉ giảm nguy cơ bị khai thác mà còn có thêm thời gian để áp dụng các bản cập nhật bảo mật trước khi các lỗ hổng có thể bị nhắm mục tiêu.
Đối với các máy chủ bắt buộc để công khai, các quản trị viên cần thắt chặt bảo mật thông qua danh sách truy cập, chỉ hiển thị các cổng (port) và dịch vụ cần thiết, đồng thời áp dụng các bản cập nhật càng nhanh càng tốt.
Mặc dù nhanh chóng áp dụng một bản cập nhật quan trọng có thể gây ra gián đoạn hoạt động của hệ thống, nhưng điều này tốt hơn nhiều so với việc phải đối mặt với một cuộc tấn công mạng toàn diện.
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | 30 ứng dụng Android độc hại với gần 10 triệu lượt tải xuống đã được phát hiện trên Cửa hàng Google Play có chứa phần mềm quảng cáo.
Tín nhiệm mạng | Microsoft đang thực hiện các bước để ngăn chặn các cuộc tấn công brute-force vào Giao thức truy cập máy tính từ xa (RDP) nhằm nâng cao bảo mật cho hệ điều hành Windows 11.
Tín nhiệm mạng | Twitter đã bị vi phạm dữ liệu sau khi tin tặc sử dụng một lỗ hổng bảo mật để đắnh cắp cơ sở dữ liệu chứa số điện thoại và địa chỉ email của 5,4 triệu tài khoản người dùng. Dữ liệu hiện đang được rao bán trên một diễn đàn tội phạm mạng với giá 30.000 đô.
Tín nhiệm mạng | SonicWall đã phát hành các bản vá để khắc phục lỗ hổng SQL injection nghiêm trọng ảnh hưởng đến các sản phẩm Analytics On-Prem và Global Management System.
Tín nhiệm mạng | Trang web nuôi thú ảo Neopets đã bị xâm phạm dẫn đến việc lộ mã nguồn và cơ sở dữ liệu chứa thông tin cá nhân của hơn 69 triệu thành viên.
Tín nhiệm mạng | Atlassian đã phát hành các bản vá bảo mật để khắc phục lỗ hổng nghiêm trọng ảnh hưởng đến ứng dụng Questions For Confluence trong Confluence Server và Confluence Data Center.