Cơ quan an ninh cơ sở hạ tầng và an ninh mạng Hoa Kỳ (CISA) hôm qua đã ban hành một tư vấn mới cảnh báo các tổ chức thay đổi tất cả thông tin đăng nhập Active Directory của họ để bảo vệ chống lại các cuộc tấn công mạng đang cố gắng tận dụng lỗ hổng thực thi mã từ xa (RCE) đã biết trong các máy chủ Pulse Secure VPN ngay cả khi họ đã vá nó.
Cảnh báo đến ba tháng sau một cảnh báo khác Cảnh báo CISA kêu gọi người dùng và quản trị viên bản vá VPN bảo mật xung môi trường để ngăn chặn các cuộc tấn công khai thác lỗ hổng.
“Các tác nhân đe dọa đã khai thác thành công CVE-2019-11510 và đánh cắp thông tin đăng nhập của tổ chức nạn nhân vẫn có thể truy cập – và di chuyển qua – mạng của tổ chức đó sau khi tổ chức đã vá lỗ hổng này nếu tổ chức không thay đổi các thông tin bị đánh cắp đó”, CISA nói.
CISA cũng có phát hành một công cụ để giúp đỡ quản trị viên mạng tìm kiếm bất kỳ chỉ số thỏa hiệp liên quan đến lỗ hổng.
Một lỗ hổng thực thi mã từ xa
Theo dõi như CVE-2019-11510, lỗ hổng đọc tệp tùy chỉnh xác thực trước có thể cho phép kẻ tấn công không được xác thực từ xa thỏa hiệp các máy chủ VPN dễ bị tổn thương và có quyền truy cập vào tất cả người dùng đang hoạt động và thông tin văn bản đơn giản của chúng và thực thi các lệnh tùy ý.
Lỗ hổng bắt nguồn từ thực tế rằng thư mục truyền tải được mã hóa cứng để được phép nếu một đường dẫn chứa “dana / html5 / acc”, do đó cho phép kẻ tấn công gửi các URL được tạo đặc biệt để đọc các tệp nhạy cảm, chẳng hạn như “/ etc / passwd” chứa thông tin về từng người dùng trên hệ thống .
Để giải quyết vấn đề này, Pulse Secure đã phát hành một bản vá ngoài băng vào ngày 24 tháng 4 năm 2019.
Trong khi vào ngày 24 tháng 8 năm 2019, công ty tình báo bảo mật Bad Packets đã có thể khám phá 14,528 chưa từng có Máy chủ Pulse Secure, lần quét tiếp theo vào tháng trước đã mang lại 2.099 điểm cuối dễ bị tổn thương, chỉ ra rằng phần lớn các tổ chức đã vá các cổng VPN của họ.
Máy chủ VPN chưa được chỉnh sửa trở thành mục tiêu hấp dẫn
Thực tế là vẫn còn hơn hàng ngàn máy chủ Pulse Secure VPN chưa được vá lỗi đã khiến chúng trở thành mục tiêu sinh lợi cho các tác nhân xấu để phân phối phần mềm độc hại.
Một báo cáo từ ClearSky cho thấy nhà nước Iran tài trợ tin tặc sử dụng CVE-2019-11510, trong số những người khác, để xâm nhập và đánh cắp thông tin từ các công ty CNTT và viễn thông mục tiêu trên toàn thế giới.
Theo một Tư vấn NSA từ tháng 10 năm 2019, “mã khai thác được cung cấp miễn phí trực tuyến thông qua khung Metasploit, cũng như GitHub. Các tác nhân mạng độc hại đang tích cực sử dụng mã khai thác này.”
Trong một cảnh báo tương tự được đưa ra vào năm ngoái, Trung tâm an ninh mạng quốc gia của Vương quốc Anh (NCSC) cảnh báo rằng các nhóm mối đe dọa tiên tiến đang khai thác lỗ hổng để nhắm mục tiêu vào các tổ chức chính phủ, quân sự, học thuật, kinh doanh và chăm sóc sức khỏe.
Gần đây hơn, Travelex, công ty bảo hiểm du lịch và trao đổi ngoại tệ, trở thành nạn nhân sau khi tội phạm mạng trồng Sodinokibi (REvil) ransomware trên các mạng của công ty thông qua lỗ hổng Pulse Secure. Mặc dù các nhà khai thác ransomware yêu cầu khoản tiền chuộc 6 triệu đô la (4,6 triệu bảng Anh), một Tạp chí phố Wall báo cáo tuần trước cho biết họ đã trả 2,3 triệu đô la dưới dạng 285 Bitcoin để giải quyết vấn đề của mình.
Trước các cuộc tấn công đang diễn ra, các tổ chức nên nâng cấp Pulse Secure VPN, đặt lại thông tin đăng nhập và quét các yêu cầu nhật ký không được xác thực và các nỗ lực khai thác.
CISA cũng đã đề nghị loại bỏ bất kỳ chương trình truy cập từ xa nào không được phê duyệt và kiểm tra các tác vụ theo lịch trình cho các tập lệnh hoặc các tệp thực thi có thể cho phép kẻ tấn công kết nối với môi trường.
Để biết thêm các bước để giảm thiểu lỗ hổng, hãy đến Tư vấn của NSA tại đây.
