Kiểm thử xâm nhập góp phần phát hiện các cuộc tấn công mạng

Lỗ hổng bảo mật là một điểm yếu có thể bị khai thác bởi một đối tượng xấu để thực hiện các cuộc tấn công mạng nhằm mục đích thực hiện các hành động phi pháp lên hệ thống mục tiêu.

Các lỗ hổng có thể cho phép kẻ tấn công chạy mã, truy cập bộ nhớ của hệ thống, cài đặt phần mềm độc hại và đánh cắp, phá hủy hoặc sửa đổi những dữ liệu quan trọng. Đây là một trong những nguyên nhân hàng đầu gây ra các cuộc tấn công mạng nhắm vào tổ chức, doanh nghiệp và gây ra thiệt hại lên tới hàng ngàn tỉ USD trên toàn cầu.

Lỗ hổng bảo mật có thể tồn tại ở bất cứ đâu, từ phần cứng đến phần mềm và lỗ hổng có thể tồn tại ở một số nơi như: Trên website hoặc các ứng dụng trên wesite; Trong các thiết bị Iot; Trong các API và mã nguồn; Trong các giao thức mã hóa hay truyền tải; Trong các thiết bị mạng: router; Trong các hệ điều hành phổ biến...

Một trong những cách hiệu quả nhất để các chuyên gia công nghệ thông tin (CNTT) phát hiện ra điểm yếu của công ty trước khi tin tặc tấn công là kiểm thử xâm nhập. Bằng cách mô phỏng các cuộc tấn công mạng trong thế giới thực, kiểm thử xâm nhập, đôi khi được gọi là pentest, cung cấp những hiểu biết vô giá về tình hình bảo mật của tổ chức, phát hiện ra những điểm yếu có khả năng dẫn đến vi phạm dữ liệu hoặc các sự cố bảo mật khác.

Thực tế các chuyên gia bảo mật đã tiến hành hơn 10.000 cuộc kiểm thử xâm nhập mạng tự động, phát hiện ra 10 phát hiện thâm nhập mạng nội bộ hàng đầu tại hơn 1.200 tổ chức. Theo đó các lỗ hổng khai thác phổ biến mà các tổ chức phải đối mặt và cách giải quyết chúng một cách hiệu quả đã được các chuyên gia bảo mật chỉ ra, cụ thể:

Giả mạo DNS đa hướng

Giả mạo DNS đa hướng (MDNS) là một giao thức được sử dụng trong các mạng nhỏ để phân giải tên DNS mà không cần máy chủ DNS cục bộ. Giao thức này gửi các truy vấn đến mạng con cục bộ, cho phép bất kỳ hệ thống nào phản hồi bằng địa chỉ IP được yêu cầu. Điều này có thể bị khai thác bởi những kẻ tấn công có thể phản hồi bằng địa chỉ IP của hệ thống của chúng.

Phương pháp hiệu quả nhất để ngăn chặn khai thác là vô hiệu hóa MDNS hoàn toàn nếu không sử dụng. Tùy thuộc vào cách triển khai, điều này có thể đạt được bằng cách vô hiệu hóa dịch vụ Apple Bonjour hoặc dịch vụ avahi-daemon.

Có rất nhiều lỗ hổng tiềm ẩn nhiều rủi ro cho tổ chức, doanh nghiệp. Ảnh minh họa

Giả mạo dịch vụ tên miền NetBIOS

Giả mạo dịch vụ tên miền NetBIOS (NetBIOS Name Service - NBNS) là một giao thức được sử dụng trong các mạng nội bộ để phân giải tên DNS khi máy chủ DNS không khả dụng. Giao thức này phát các truy vấn trên toàn mạng và bất kỳ hệ thống nào cũng có thể phản hồi bằng địa chỉ IP được yêu cầu. Điều này có thể bị khai thác bởi những kẻ tấn công có thể phản hồi bằng địa chỉ IP chính hệ thống của chúng.

Theo các chuyên gia, một số chiến lược để ngăn chặn việc sử dụng NBNS trong môi trường Windows hoặc giảm tác động của các cuộc tấn công giả mạo NBNS bao gồm: Cấu hình registry key UseDnsOnlyForNameResolutions để ngăn hệ thống sử dụng các truy vấn NBNS (NetBIOS qua các tham số cấu hình TCP/IP). Cùng với đó, tổ chức doanh nghiệp đặt registry DWORD thành vô hiệu hóa dịch vụ NetBIOS cho tất cả các máy chủ Windows trong mạng nội bộ. Có thể thực hiện điều này thông qua các tùy chọn DHCP, cài đặt bộ điều hợp mạng hoặc khóa sổ đăng ký.

Giả mạo phân giải tên miền đa hướng cục bộ liên kết

Giả mạo phân giải tên miền đa hướng cục bộ liên kết (Link-Local Multicast Name Resolution - LLMNR) là một giao thức được sử dụng trong các mạng nội bộ để phân giải tên DNS khi máy chủ DNS không khả dụng. Giao thức này phát các truy vấn trên toàn mạng, cho phép bất kỳ hệ thống nào phản hồi bằng địa chỉ IP được yêu cầu. Điều này có thể bị khai thác bởi những kẻ tấn công có thể phản hồi bằng địa chỉ IP của chính hệ thống của chúng.

Giả mạo DNS IPV6

Việc giả mạo DNS IPv6 xảy ra khi một máy chủ DHCPv6 giả mạo được triển khai trên mạng. Vì hệ thống Windows ưu tiên IPv6 hơn IPv4, nên các máy khách hỗ trợ IPv6 sẽ sử dụng máy chủ DHCPv6 nếu có. Trong quá trình tấn công, một máy chủ DNS IPv6 được chỉ định cho các máy khách này, trong khi chúng vẫn giữ nguyên cấu hình IPv4 của mình. Điều này cho phép kẻ tấn công chặn các yêu cầu DNS bằng cách cấu hình lại máy khách để sử dụng hệ thống của kẻ tấn công làm máy chủ DNS.

Người dùng nên tắt IPv6, trừ khi cần cho hoạt động kinh doanh. Vì việc tắt IPv6 có khả năng gây gián đoạn dịch vụ mạng, người dùng nên kiểm tra cấu hình này trước khi triển khai hàng loạt. Một giải pháp thay thế là triển khai DHCPv6 guard trên các bộ chuyển mạch mạng. Về cơ bản, DHCPv6 guard đảm bảo rằng chỉ danh sách máy chủ DHCP được ủy quyền mới được phép chỉ định hợp đồng cho thuê cho máy khách.

Hệ thống Microsoft Windows lỗi thời

Hệ thống Microsoft Windows lỗi thời dễ bị tấn công vì không còn nhận được bản cập nhật bảo mật. Điều này khiến hệ thống trở thành mục tiêu dễ dàng cho những kẻ tấn công có thể khai thác điểm yếu của hệ thống và có khả năng chuyển sang các hệ thống và tài nguyên khác trong mạng. Người dùng nên thay thế các phiên bản Microsoft Windows lỗi thời bằng các hệ điều hành được cập nhật và được nhà sản xuất hỗ trợ.

Bỏ qua xác thực IPMI

Giao diện quản lý nền tảng thông minh (IPMI) cho phép quản trị viên quản lý máy chủ tập trung. Tuy nhiên, một số máy chủ có lỗ hổng cho phép kẻ tấn công bỏ qua xác thực và trích xuất băm mật khẩu. Nếu mật khẩu mặc định hoặc yếu, kẻ tấn công có thể lấy được mật khẩu văn bản rõ và truy cập từ xa.

Vì không có bản vá nào cho lỗ hổng này, tổ chức nên thực hiện một hoặc nhiều hành động sau: Hạn chế quyền truy cập IPMI cho một số lượng hệ thống yêu cầu quyền truy cập cho mục đích quản trị; Vô hiệu hóa dịch vụ IPMI nếu không cần thiết cho hoạt động kinh doanh; Đổi mật khẩu quản trị viên mặc định thành mật khẩu mạnh và phức tạp; Chỉ sử dụng các giao thức bảo mật, chẳng hạn như HTTPS và SSH, trên dịch vụ để hạn chế khả năng kẻ tấn công lấy được mật khẩu này thành công trong cuộc tấn công trung gian.

Microsoft Windows RCE (BlueKeep)

Các hệ thống dễ bị tấn công bởi lỗ hổng CVE-2019-0708 (BlueKeep) đã được xác định trong quá trình kiểm thử. Lỗ hổng Microsoft Windows này có khả năng khai thác cao do có sẵn các công cụ và mã, cho phép kẻ tấn công giành toàn quyền kiểm soát các hệ thống bị ảnh hưởng.

Các tổ chức nên áp dụng các bản cập nhật bảo mật trên hệ thống bị ảnh hưởng. Ngoài ra, nên đánh giá chương trình quản lý bản vá của mình để xác định lý do thiếu các bản cập nhật bảo mật vì lỗ hổng này là lỗ hổng thường bị khai thác và có thể dẫn đến truy cập đáng kể, nên cần khắc phục ngay lập tức.

Sử dụng lại mật khẩu quản trị viên cục bộ

Trong quá trình kiểm tra xâm nhập nội bộ, nhiều hệ thống được phát hiện chia sẻ cùng một mật khẩu quản trị viên cục bộ. Việc xâm phạm một tài khoản quản trị viên cục bộ sẽ cung cấp quyền truy cập vào nhiều hệ thống, làm tăng đáng kể nguy cơ xâm phạm rộng rãi trong tổ chức. Sử dụng giải pháp như Microsoft Local Administrator Password Solution (LDAPS) để đảm bảo rằng mật khẩu quản trị viên cục bộ trên nhiều hệ thống không nhất quán.

Microsoft Windows RCE (EternalBlue)

Các hệ thống dễ bị lỗ hổng MS17-010 (EternalBlue) đã được xác định trong quá trình thử nghiệm. Lỗ hổng Windows này có khả năng khai thác cao do có sẵn các công cụ và mã, cho phép kẻ tấn công giành toàn quyền kiểm soát các hệ thống bị ảnh hưởng.

Nên áp dụng các bản cập nhật bảo mật trên hệ thống bị ảnh hưởng. Ngoài ra, các tổ chức nên đánh giá chương trình quản lý bản vá của mình để xác định lý do thiếu các bản cập nhật bảo mật. Vì lỗ hổng này thường bị khai thác và có thể dẫn đến truy cập đáng kể, nên cần khắc phục ngay lập tức.

Tiêm CGI Dell EMC IDRAC 7/8 (CVE-2018-1207)

Các phiên bản Dell EMC iDRAC7/iDRAC8 trước 2.52.52.52 dễ bị tấn công bởi lỗ hổng CVE-2018-1207, một sự cố tiêm lệnh. Điều này cho phép những kẻ tấn công chưa xác thực thực thi các lệnh với quyền root, giúp chúng kiểm soát hoàn toàn thiết bị iDRAC. Người dùng nên nâng cấp firmware lên phiên bản mới nhất có thể. Mặc dù mỗi phát hiện này xuất phát từ một khai thác khác nhau, nhưng có một số điểm chung giữa nhiều phát hiện trong số chúng. Nguyên nhân gốc rễ của nhiều phát hiện kiểm thử xâm nhập quan trọng hàng đầu vẫn là điểm yếu về cấu hình và thiếu sót trong bản vá.

Điểm yếu về cấu hình

Điểm yếu về cấu hình thường là do các dịch vụ được tăng cường không đúng cách trong các hệ thống do quản trị viên triển khai và chứa các vấn đề như thông tin xác thực yếu/mặc định, dịch vụ bị lộ không cần thiết hoặc quyền của người dùng quá mức. Mặc dù một số điểm yếu về cấu hình có thể bị khai thác trong một số trường hợp hạn chế, nhưng tác động tiềm ẩn của một cuộc tấn công thành công sẽ tương đối cao.

Thiếu sót trong bản vá

Các thiếu sót trong bản vá cho thấy một vấn đề lớn đối với các tổ chức và thường là do các lý do như khả năng tương thích và thường là các vấn đề về cấu hình trong giải pháp quản lý bản vá.

Chỉ riêng hai vấn đề này đã chứng minh được nhu cầu kiểm thử xâm nhập thường xuyên. Kiểm tra một năm một lần là cách tiếp cận thông thường đối với kiểm thử xâm nhập, thì việc kiểm tra liên tục mang lại giá trị đáng kể trong việc xác định các lỗ hổng đáng kể gần với bối cảnh thời gian thực về cách rủi ro bảo mật có thể dẫn đến các thỏa hiệp đáng kể. Ví dụ, Nessus Scan của Tenable có thể xác định LLMNR nhưng chỉ mang tính thông tin. Kiểm thử xâm nhập mạng hàng quý hoặc hàng tháng với vPenTest của Vonahi không chỉ làm nổi bật những vấn đề này mà còn giải thích tác động tiềm ẩn của chúng.

An Dương (T/h)