Lỗ hổng zero-day ngày càng trở nên nguy hiểm

Mới đây, các nhà nghiên cứu an ninh mạng đã phát hiện một chiến dịch tấn công mới nhắm vào các thiết bị tường lửa Fortinet FortiGate của công ty an ninh mạng Fortinet có giao diện quản lý công khai trên Internet.

Theo thông tin từ Fortinet, chiến dịch tấn công bắt đầu từ giữa tháng 11/2024. Tin tặc đã thực hiện các hành vi phức tạp, bao gồm truy cập trái phép vào giao diện quản lý, thay đổi cấu hình hệ thống, tạo tài khoản quản trị cấp cao và thu thập thông tin xác thực thông qua kỹ thuật DCSync. Để thực hiện các hành vi này, tin tặc đã lợi dụng giao diện jsconsole từ một số địa chỉ IP bất thường.

Ảnh minh họa

Các cuộc tấn công này khai thác lỗ hổng zero-day trong các phiên bản firmware từ 7.0.14 đến 7.0.16 của FortiOS. Quy trình tấn công bao gồm các bước rõ ràng: quét lỗ hổng, thu thập thông tin, thay đổi cấu hình và di chuyển ngang qua hệ thống. Tin tặc đã tạo các tài khoản mới, chiếm quyền các tài khoản hiện có và thiết lập cổng SSL VPN để tiếp tục xâm nhập sâu hơn.

Fortinet đã xác nhận lỗ hổng CVE-2024-55591 (điểm CVSS: 9.6) trong FortiOS và FortiProxy. Lỗ hổng này cho phép kẻ tấn công chiếm quyền quản trị thông qua các yêu cầu tùy chỉnh đến module Node.js websocket. Các hành vi tấn công bao gồm tạo tài khoản quản trị, thay đổi chính sách tường lửa và thêm tài khoản vào nhóm người dùng SSL VPN.

Để giảm thiểu rủi ro, Fortinet khuyến cáo các tổ chức: Tránh công khai giao diện quản lý tường lửa lên Internet. Chỉ cho phép người dùng đáng tin cậy truy cập vào hệ thống. Cập nhật lên phiên bản mới nhất của FortiOS (từ 7.0.17 trở lên) và FortiProxy (từ 7.0.20 hoặc 7.2.13 trở lên).

Nếu chưa thể cập nhật bản vá, các tổ chức có thể áp dụng các biện pháp thay thế như: Vô hiệu hóa giao diện quản trị HTTP/HTTPS. Giới hạn địa chỉ IP có thể truy cập vào giao diện quản trị thông qua chính sách cục bộ.

Chiến dịch tấn công này mang tính cơ hội, không giới hạn vào một ngành hay quy mô tổ chức cụ thể, với mục tiêu chính là khai thác lỗ hổng để xâm nhập và chiếm quyền kiểm soát hệ thống mạng.

Không chỉ Fortinet, một lỗ hổng zero-day mới cũng được phát hiện ảnh hưởng đến mọi phiên bản Microsoft Windows của Tập đoàn công nghệ Microsoft, bao gồm cả các phiên bản cũ và đang được hỗ trợ. Lỗ hổng này cho phép kẻ tấn công chiếm đoạt thông tin đăng nhập NTLM (bộ giao thức bảo mật của Microsoft) của người dùng chỉ bằng việc xem một tệp trong Windows Explorer.

Lỗ hổng chưa được gắn mã CVE, nhưng có tác động nghiêm trọng đến cả tổ chức và cá nhân. Cụ thể, kẻ tấn công có thể thu thập thông tin xác thực NTLM của người dùng chỉ bằng cách khiến nạn nhân xem một tệp độc hại trong Windows Explorer. Lỗ hổng này ảnh hưởng đến tất cả các phiên bản Windows Workstation và Server, từ Windows 7 và Server 2008 R2 đến Windows 11 v24H2 và Server 2022.

Để giải quyết lỗ hổng nghiêm trọng này, các bản vá lỗi nhỏ đã được cung cấp miễn phí cho nhiều phiên bản Windows, bao gồm cả các hệ thống đã ngừng được Microsoft hỗ trợ chính thức. Đây là giải pháp tạm thời trong khi chờ Microsoft phát hành bản vá chính thức.

Lỗ hổng zero-day đang trở thành mối đe dọa ngày càng lớn đối với an ninh mạng, đòi hỏi các tổ chức và cá nhân phải nhanh chóng triển khai các biện pháp bảo vệ. Việc cập nhật phần mềm, áp dụng các chính sách bảo mật nghiêm ngặt và theo dõi các cảnh báo an ninh là những bước quan trọng để giảm thiểu rủi ro từ các cuộc tấn công này.

Duy Trinh (t/h)