Hàng tháng, Chúng tôi – NCS tổng hợp lại các thông tin về bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài tổng hợp.
1 Các mối đe dọa nâng cao – Advanced Threats
1.1 Nhóm APT InkySquid của Triều Tiên tấn công nạn nhân bằng cách khai thác lỗ hổng trên trình duyệt MS IE & Edge
Các nhà nghiên cứu Volexity mới đây đã phát hiện một số cuộc tấn công strategic web compromise (SWC) từ một nhóm APT của Triều Tiên được biết với tên gọi InkySquid (hay ScarCruft, APT37). Cụ thể, nhóm này đã tấn công www.dailynk [.]com, một trang web của Hàn Quốc chuyên tập trung vào các vấn đề của Triều Tiên. Code độc hại trên trang web Daily NK đã được quan sát ít nhất từ cuối tháng 3 năm 2021 cho đến đầu tháng 6 năm 2021.
Hoạt động SWC
Qua quá trình giám sát mạng, Volexity đã xác định được code đáng ngờ được tải qua www.dailynk[.]com tới các subdomain độc hại của jquery[.]services. Ví dụ các URL được quan sát thấy đang tải code độc hại bao gồm:
hxxps://www.dailynk[.]com/wp-includes/js/jquery/jquery.min.js?ver=3.5.1
hxxps://www.dailynk[.]com/wp-includes/js/jquery/jquery-migrate.min.js?ver=3.3.2
Những URL này dẫn đến các tệp hợp pháp được sử dụng cho chức năng bình thường của trang web Daily NK. Tuy nhiên, nội dung của chúng đã bị sửa đổi để chứa code chuyển hướng người dùng tải JavaScript độc hại từ domain jquery[.]services do kẻ tấn công sở hữu. Code của kẻ tấn công chỉ được thêm vào trong một thời gian ngắn và nhanh chóng bị xóa, khiến cho việc xác định trở nên khó khăn.
Cách thức khai thác
Các tác nhân đã lợi dụng hai lỗ hổng trên Internet Explorer và Microsoft Edge là CVE-2020-1380 và CVE-2021-26411.
Để lợi dụng lỗ hổng CVE-2020-1380, kẻ tấn công đã thêm một dòng code vào tệp hợp pháp sau đây trên Daily NK:
hxxps://www.dailynk[.]com/wp-includes/js/jquery/jquery.min.js?ver=3.5.1
Sau khi thêm thành công, kẻ tấn công sẽ chèn một dòng mã bị xáo trộn (obfuscated code) đã được thêm vào DailyNK. Điều này dẫn đến nếu người dùng truy cập Daily NK bằng Internet Explorer, sẽ tải một tệp JavaScript bổ sung từ URL sau:
hxxps://ui.jquery[.]services/responsive-extend.min.js
Khi được yêu cầu với Internet Explorer User-Agent chính xác, host này sẽ cung cấp obfuscated JavaScript code bổ sung. Như được định hướng ban đầu, kẻ tấn công chọn chèn code độc hại của mình trong các code hợp pháp.
Điểm đáng chú ý là code khai thác của cuộc tấn công bao gồm nhiều chuỗi bị xáo trộn trong các biến được thiết kế để trông giống như nội dung SVG hợp pháp.
Sau khi khai thác thành công, biến SVG cuối cùng sẽ được giải mã với sự trợ giúp của JavaScript và kết quả thu được mã hóa hex của Cobalt Strike stager, đồng thời cũng tải xuống shell code bổ sung.
Mặt khác, kẻ tấn công cũng sử dụng CVE-2021-26411, một lỗ hổng Edge khác trong cuộc tấn công này. Sự khác biệt chủ yếu so với CVE-2020-1380 là code khai thác như hình ảnh sau đây.
Song song đó, kẻ tấn công sử dụng subdomain khác của jquery[.]services để lưu trữ một nhóm malware mới và sử dụng BLUELIGHT làm payload phụ sau khi triển khai thành công Cobalt Strike.
Để liên lạc, malware BLUELIGHT sử dụng các nhà cung cấp đám mây khác nhau để hỗ trợ C2, đồng thời thực hiện xác thực token oauth2 bằng cách sử dụng các thông số được mã hóa cứng (hard-coded parameter).
Ngoài ra kẻ tấn công còn sử dụng một số kỹ thuật khác để tránh bị phát hiện như sau:
- Ngụy trang khéo léo code khai thác giữa các code hợp pháp, làm cho nó khó xác định hơn
- Chỉ cho phép tác nhân người dùng nhắm mục tiêu truy cập vào code khai thác, gây khó khăn cho việc xác định trên quy mô lớn (chẳng hạn như thông qua quét tự động các trang web)
- Sử dụng malware tùy chỉnh linh hoạt (chẳng hạn BLUELIGHT) sau khi khai thác thành công bằng cơ chế C2 rất khó phát hiện
IoCs
value | type | notes |
94b71ee0861cc7cfbbae53ad2e411a76f296fd5684edf6b25ebe79bf6a2a600a | sha256 | BLUELIGHT sample from VirusTotal |
67c27e2817d83786d95221ea4a02842847515f25 | sha1 | BLUELIGHT sample from VirusTotal |
bfbe94391dc7e0eaa1e59ae6d6029393 | md5 | BLUELIGHT sample from VirusTotal |
jquery.services | hostname | Domain serving exploit code via DailyNK |
5c430e2770b59cceba1f1587b34e686d586d2c8ba1908bb5d066a616466d2cc6 | sha256 | BLUELIGHT sample from Volexity investigation |
558ce5e8c0b1b0a76b88db087f0c92f7a62716fe | sha1 | BLUELIGHT sample from Volexity investigation |
9b86888a83dd0dd1c3a0929f1ea53b82 | md5 | BLUELIGHT sample from Volexity investigation |
7c40019c1d4cef2ffdd1dd8f388aaba537440b1bffee41789c900122d075a86d | sha256 | BLUELIGHT sample from VirusTotal |
c644e8d446bb6bbcd4696d6a19d009b522258c9e | sha1 | BLUELIGHT sample from VirusTotal |
0b649bc5dbbf21801c21aaa5e5f79fc6 | md5 | BLUELIGHT sample from VirusTotal |
1.2 Nhóm APT mới nổi SparklingGoblin nhắm mục tiêu vào các cơ quan truyền thông, giáo dục, bán lẻ Hoa Kỳ.
SparklingGoblin, một nhóm APT mới nổi được phát hiện và đặt tên bởi ESET đang mở rộng mục tiêu tấn công của mình, bao gồm các công ty truyền thông, các trường đại học và hãng bán lẻ thuộc khu vực Bắc Mỹ. ESET cũng đã phát hiện một backdoor mới mà nhóm này sử dụng, có tên là SideWalk, để thâm nhập vào các hệ thống phòng thủ an ninh mạng.
Sự ra đời của APT
ESET cho biết lần đầu tiên họ biết đến SparklingGoblin vào tháng 5 năm 2020 khi theo dõi Winnti APT. Các nhà nghiên cứu đã tình cờ phát hiện một malware packer bất thường được sử dụng để phát tán payload độc hại đến nạn nhân.
SparklingGoblin là một nhánh của Winnti APT. Ngoài ra, backdoor SideWalk cũng tương tự như một backdoor đã được Winnti sử dụng là Crosswalk.
Theo ESET, Crosswalk và SideWalk đều là các module backdoor được sử dụng để lấy thông tin hệ thống và có thể chạy shellcode do C&C server gửi.
SideWalk – một module backdoor mới
SideWalk là một module backdoor có thể tự động tải các module bổ sung được gửi từ C&C server của nó, sử dụng Google Tài liệu làm dead drop resolver và Cloudflare worker làm C&C server. Nó cũng có thể xử lý liên lạc đằng sau proxy một cách chính xác.
Backdoor SideWalk là shellcode được mã hóa ChaCha20, được tải từ đĩa bởi InstallUtil-based .NET loader. Loader chịu trách nhiệm đọc shell code đã mã hóa từ đĩa, giải mã nó và inject nó vào một tiến trình hợp pháp bằng cách sử dụng kỹ thuật process hollowing. Kết quả, cuộc tấn công cho phép tác nhân chạy code độc hại trong bối cảnh của một tiến trình hợp pháp.
Chân trời mới cho SparklingGoblin
Nhóm này trước đây tập trung tấn công vào các khu vực Macao, Hồng Kông và Đài Loan. Hiện tại họ vẫn tích cực hoạt động tại những khu vực này và sử dụng các chiến dịch spear phishing bao gồm payload độc hại chứa PDFs (với LNK files), Adobe Flash Players giả mạo và các file JavaScript bẫy. Ngoài ra, nhóm này chủ yếu vẫn nhắm mục tiêu vào các cơ sở giáo dục ở Đông Á và Đông Nam Á.
Trong các chiến dịch gần đây, SparklingGoblin được cho là đứng sau các truy cập đến một nhà bán lẻ máy tính Hoa Kỳ và các trường học ở Canada.
Dữ liệu được SparklingGoblin nhắm tới bao gồm: IP configuration, OS version, Username, Computer name, Filenames,Current process ID, Current time.
IOC
ESET detection names
- MSIL/ShellcodeRunner.L.gen
- Win64/Agent.AQD
- MSIL/ShellcodeRunner.O
SHA-1 hashes
Loaders
InstallUtil-based .NET loader used to decrypt and load SideWalk:
1077A3DC0D9CCFBB73BD9F2E6B72BC67ADDCF2AB
ChaCha20-based shellcode loader used to decrypt and load the SideWalk shellcode:
153B8E46458BD65A68A89D258997E314FEF72181
InstallUtil-based .NET loader used to decrypt and load Cobalt Strike:
EA44E9FBDBE5906A7FC469A988D83587E8E4B20D
Payloads
Cobalt Strike encrypted shellcode:
AA5B5F24BDFB049EF51BBB6246CB56CEC89752BF
SideWalk ChaCha20-encrypted shellcode:
829AADBDE42DF14CE8ED06AC02AD697A6C9798FE
SideWalk decrypted shellcode:
9762BC1C4CB04FE8EAEEF50A4378A8D188D85360
IP addresses
- 104.21.49[.]220
- 80.85.155[.]80
- 193.38.54[.]110
Domain names
- update.facebookint.workers[.]dev
- cdn.cloudfiare.workers[.]dev
File names
- C:\Windows\System32\Tasks\Microsoft\Windows\WindowsUpdate\WebService
- C:\windows\system32\tasks\Microsoft\Windows\Ras\RasTaskStart
- iislog.tmp
- mscorsecimpl.tlb
- C_25749.NLS
- Microsoft.WebService.targets
1.3 APT41 tái diện trong chiến dịch Cyberespionage mới nhắm mục tiêu các tổ chức, cá nhân thuộc khu vực Ấn Độ – Thái Bình Dương
Mới đây, TrendMicro đã phát hiện một chiến dịch gián điệp mạng được thực hiện bởi Earth Baku, một nhóm APT có lịch sử thực hiện các cuộc tấn công mạng dưới bí danh APT41. Đây không phải là lần đầu tiên nhóm này tiến hành các hoạt động gián điệp mạng mà trong quá khứ, Earth Baku cũng đã có nhiều cuộc tấn công khai thác tiền mã hóa (cryptocurrency mining) và ransomware.
Earth Baku có thể bắt đầu triển khai chiến dịch hiện tại của mình từ tháng 7 năm 2020, thông qua nhiều vectơ tấn công được thiết kế dựa trên các mục tiêu khai thác khác nhau và cơ sở hạ tầng của nạn nhân được nhắm mục tiêu:
- SQL injection để tải lên một tệp độc hại
- Installment thông qua InstallUtil.exe trong một scheduled task
- Sử dụng tệp link (LNK) độc hại được gửi dưới dạng tệp đính kèm email
- Khai thác lỗ hổng ProxyLogon CVE-2021-26855 để tải lên shell web China Chopper
Chiến dịch này sử dụng các shellcode loader chưa được xác định trước đây, mà TrendMicro đặt tên là StealthVector và StealthMutant, và một backdoor được đặt tên là ScrambleCross. Earth Baku đã phát triển các công cụ malware mới này để tạo điều kiện cho các cuộc tấn công có chủ đích vào các thực thể công cộng và tư nhân trong các ngành cụ thể thuộc khu vực Ấn Độ – Thái Bình Dương. Đến thời điểm hiện tại, các quốc gia bị ảnh hưởng bao gồm Ấn Độ, Indonesia, Malaysia, Philippines, Đài Loan và Việt Nam.
StealthVector
Ban đầu, các nhà nghiên cứu đã quan sát StealthVector, một shellcode loader được viết bằng C/C ++ vào tháng 10 năm 2020. StealthVector được thiết kế với nhiều tính năng có thể cấu hình khác nhau giúp các tác nhân dễ dàng sửa đổi và điều chỉnh theo nhu cầu của mình, bao gồm cả tính năng vô hiệu hóa Event Tracing for Windows (ETW) cho phép malware chạy ở chế độ ẩn. Loader này có thể lén lút chạy payload của nó theo nhiều cách khác nhau, chẳng hạn sử dụng chức năng CreateThread, bỏ qua Control Flow Guard (CFG) của Microsoft, làm chậm mô-đun (module stomping) và làm rỗng thư viện liên kết động ảo (phantom DLL hollowing).
StealthMutant
Giống như StealthVector, StealthMutant hỗ trợ cả hệ điều hành 32 bit và 64 bit, có thể vô hiệu hóa ETW. Loader này được viết bằng C#, đã được các tác nhân sử dụng từ tháng 7 năm 2020. Nhiều mẫu StealthMutant mà các nhà nghiên cứu đã phân tích sử dụng AES-256-ECB để giải mã. Sau khi payload của nó được giải mã, StealthMutant thực hiện process hollowing để thực thi payload của nó trong một remote process.
ScrambleCross
Cả StealthMutant và StealthVector đều chứa payload của Cobalt Strike beacon hoặc ScrambleCross, một backdoor mới được phát hiện. ScrambleCross nhận hướng dẫn từ máy chủ C&C cho phép nó nhận và sử dụng các plug-in. Tuy nhiên, TrendMicro vẫn chưa truy xuất và nghiên cứu được các plug-in này. Nó có nhiều khả năng tương tự như một backdoor khác là Crosswalk, cũng đã được Earth Baku sử dụng.
Mối quan hệ với các chiến dịch khác
Các hoạt động gần đây của Earth Baku có liên quan đến một chiến dịch khác đã hoạt động ít nhất từ tháng 11 năm 2018, theo báo cáo của FireEye và Positive Technologies . Mặc dù chiến dịch trước đó sử dụng một shellcode loader khác được đặt tên là LavagokLdr, TrendMicro đã quan sát thấy mã và quy trình của LavagokLdr và StealthVector có nhiều điểm tương tự nhau. Đồng thời, nhóm nghiên cứu đã quan sát thấy payload của LavagokLdr là Crosswalk và một trong những payload của StealthVector là ScrambleCross, thực hiện các kỹ thuật tương tự để giải mã và kiểm tra chữ ký.
1.4 APT-C-36 mở rộng chiến dịch Spam nhắm đến các mục tiêu ở khu vực Nam Mỹ bằng công cụ RAT
APT-C-36 hay Blind Eagle là một nhóm APT có nguồn gốc ở Colombia chuyên nhắm mục tiêu người dùng Colombia và các nước Nam Mỹ khác. Mới đây, TrendMicro đã công bố chiến dịch spam đang được nhóm này thực hiện.
APT-C-36 được biết đến với hoạt động gửi phishing email đến người dùng ở Nam Mỹ bằng các công cụ truy cập từ xa (RAT) công khai. Theo thời gian, nhóm này liên tục chuyển đổi từ công cụ RAT này sang RAT khác. Các RAT đã được quan sát thấy như:
- njRAT
- Imminent Monitor
- ProyectoRAT
- Warzone RAT
- Async RAT
- Lime RAT
- Remcos RAT
- BitRAT
Email phát tán
APT-C-36 sử dụng nhiều chiêu trò khác nhau để nhắm đến mục tiêu như:
– Tạo email mạo danh Cục Thuế và Hải quan quốc gia Colombia (DIAN). Những email này có nội dung như “lệnh thu giữ tài khoản ngân hàng đã được ban hành” với tệp đính kèm được bảo vệ bằng mật khẩu.
– Tạo email giả mạo chứa một bức ảnh có thể chứng minh đối tác của người nhận đang ngoại tình. Theo cách tương tự, người nhận được yêu cầu mở tệp đính kèm với mật khẩu.
Tài liệu phát tán
Tài liệu gửi trong các email lừa đảo này là tệp .PDF hoặc .DOCX có chứa một liên kết.
Khi di chuột qua liên kết sẽ thấy liên kết được tạo ra từ các trình rút gọn URL như cort.as, acortaurl.com và gtly.to. Các trình rút ngắn URL này có khả năng nhắm mục tiêu theo địa lý, vì vậy nếu người dùng từ một quốc gia không bị các tác nhân đe dọa nhắm mục tiêu nhấp vào liên kết, họ sẽ được chuyển hướng đến một trang web hợp pháp. Các trình rút gọn URL cũng có khả năng phát hiện các dịch vụ VPN chính (major VPN service), trong trường hợp đó, liên kết rút gọn dẫn người dùng đến một trang web hợp pháp thay vì chuyển hướng họ đến liên kết độc hại.
Nếu các tiêu chí về vị trí được đáp ứng, thì người dùng sẽ được chuyển hướng đến máy chủ lưu trữ tệp và tệp sẽ tự động được tải xuống.
Payload
Sau khi giải nén tệp thực thi bằng mật khẩu, sẽ thấy một RAT được gọi là BitRAT. Phần thú vị nhất của RAT này là cài đặt cấu hình của nó giống như một khối dữ liệu được mã hóa. Có hai chuỗi hex trong tệp thực thi chính của BitRAT: chuỗi dài hơn là cấu hình được mã hóa, chuỗi ngắn hơn là phần đầu tiên của khóa.
Không giống như hầu hết các malware khác, BitRAT sử dụng mật mã Camellia với một vectơ khởi tạo là 0000000000000000. Sau đó, một số bước tính toán được thực hiện để tạo ra khóa cuối cùng.
Kết quả, cấu hình được giải mã thành chuỗi như sau, bao gồm một máy chủ C&C và một cổng.
Các khu vực và lĩnh vực bị ảnh hưởng
Phần lớn các mục tiêu được phát hiện nằm ở Colombia, bên cạnh đó có một số quốc gia khác như Ecuador, Tây Ban Nha và Panama. Điều này phù hợp với việc sử dụng tiếng Tây Ban Nha trong các email lừa đảo của nhóm.
Mặc dù mục tiêu của APT-C-36 vẫn chưa rõ ràng, các chuyên gia cho rằng kẻ tấn công thực hiện chiến dịch này vì mục đích tài chính. Chiến dịch đã ảnh hưởng đến nhiều ngành, chủ yếu là các tổ chức chính phủ, tài chính và y tế.
IOCs
Danh sách đầy đủ các IOCs có thể xem tại:
https://www.trendmicro.com/content/dam/trendmicro/global/en/research/21/i/apt-c-36-updates-its-long-term-spam-campaign-against-south-american-entities-with-commodity-rats/BlindEagleIOCList.txt
2 Malware
2.1 Các chiến dịch tấn công sử dụng mã độc thông qua việc khai thác lỗ hổng CVE-2021-40444
Cuối tháng 8, đầu tháng 9, Microsoft Threat Intelligence Center (MSTIC) đã xác định được một số cuộc tấn công lợi dụng lỗ hổng CVE-2021-440444 bằng cách tạo các đoạn code độc hại trong tài liệu Microsoft Office. Những cuộc tấn công này liên quan đến nhiều nhóm tội phạm, bao gồm cả ransomeware nhắm vào các công công ty trong lĩnh vực nghiên cứu và phát triển, ngân hàng, y tế cũng như viễn thông và công nghệ thông tin trên khắp thế giới.
Các tài liệu độc hại (maldoc) được nhúng các đoạn mã JavaScript khai thác MIMEHTML, khi người dùng mở các tài liệu độc hại này, các file CAB chứa các DLL sẽ được tải xuống. Các file CAB này sẽ được giải nén và thực thi những chức năng bên trong của DLL độc hại. DLL này sẽ download các shellcode (theo như MSTIC phát hiện thì các shellcode này là Cobalt Strike Beacon loader) và load chúng vào tiến trình wabmig.exe
IoCs về các file mã độc và C&C tại đây: https://bazaar.abuse.ch/browse/tag/CVE-2021-40444/
2.2 Mẫu mã độc mới liên quan tới nhóm APT của Nga – Turla
Gần đây, Cisco Talos đã phát hiện một sample mới là backdoor được nhóm Turla APT sử dụng trong một số cuộc tấn công, sử dụng để có quyền truy cập vào hệ thống của nạn nhân, cho phép download, upload hoặc thực thi các tệp độc hại khác
Backdoor là một dll có tên w64time.dll. Tên file và thông tin mô tả trông giống như một DLL hợp lệ của Microsoft
Nhóm tấn công sử dụng file .bat để cài đặt backdoor thông qua registry, malware sẽ được thực thi như một dịch vụ trong hệ thống, ẩn dưới tiến trình svchost.exe.
Hàm ServiceMan của DLL độc hại sẽ gọi tới hàm “main_malware” để thực thi các đoạn code backdoor
Ban đầu, malware sẽ đọc các cấu hình trong registry, lưu vào cấu trúc có tên result sau đó sẽ được gán vào cấu trúc mới có tên sConfig
Sau vòng lặp white đầu tiên, backdoor sẽ duyệt qua các C2 được lưu trữ trong tham số của registry có đến khi có phản hồi từ C2. Các hosts được lưu trữ trong registry theo format <IP Address Host1> <TcpPort> <IP Address Host2> <TcpPort> <IP Address Host3> <TcpPort>
Sau khi có thể thiết lập kết nối tới một trong số các C2, hàm bên trong vòng lặp while sẽ được gọi tới. Malware sử dụng API WinHttp để nhận lệnh từ C2. Các lưu lượng C2 được mã hóa bằng SSL/TLS
Hàm C2_ProcessCommand sẽ xử lý các command đã nhận từ C2. Malware sử dụng switch case để thực hiện các chức năng của backdoor, với các code như sau:
ID | Code |
0x0 | Authentication |
0x1 | Execute process’ |
0x2 | Execute with output collection’ |
0x3 | Download file’ |
0x4 | Upload file |
0x5 | Create Subprocess |
0x6 | Close Subprocess |
0x7 | Subprocess pipe in/ou |
0x8 | Set TimeLong |
0x9 | Set TimeShort |
0xA | Set new ‘Security’ password |
0XB | Set new ‘Security’ password |
3 CVE và các khuyến nghị bảo mật
3.1 Microsoft Patch Tuesday – Sept 2021
Vừa qua, Microsoft đã phát hành các bản vá cho 66 CVE liên quan đến Microsoft Windows, Microsoft Edge (Chromium, iOS, Android), Azure, Office, SharePoint Server, Microsoft Windows DNS và Windows Subsystem. Trong số 66 CVE lần này, 3 CVE được xếp hạng Nghiêm trọng (Critical), 62 CVE được xếp hạng Quan trọng (Important) và 1 CVE được xếp hạng Trung bình (Moderate) về mức độ nghiêm trọng. Dưới đây là một số bản vá nổi bật:
3.1.1 CVE-2021-40444 – Lỗ hổng thực thi mã từ xa (RCE) trên Microsoft MSHTML
CVSS v3.0: 8.8
Mô tả: Bản vá này sửa một lỗ hổng hiện đang được khai thác thông qua tài liệu Office. Một ActiveX control được chế tạo đặc biệt được nhúng trong tài liệu Office, sau đó gửi đến mục tiêu. Nếu tài liệu được mở trên một hệ thống bị ảnh hưởng, code sẽ thực thi ở cấp độ của người dùng đã đăng nhập (logged-on user). Microsoft cho biết việc vô hiệu hóa ActiveX là một biện pháp giải quyết, tuy nhiên một số báo cáo khác chỉ ra điều này có thể không hiệu quả.
Khuyến nghị: Hiện tại, biện pháp bảo vệ hiệu quả nhất là áp dụng các bản vá từ trang chủ của Microsoft và tránh mở các tài liệu Office nghi vấn.
3.1.2 CVE-2021-36965 – Lỗ hổng thực thi mã từ xa (RCE) trên dịch vụ Windows WLAN AutoConfig
CVSS v3.0: 8.8
Mô tả: Bản vá này sửa một lỗ hổng cho phép kẻ tấn công trong mạng liền kề (network adjacent attacker) chạy code trên các hệ thống bị ảnh hưởng ở cấp độ HỆ THỐNG. Điều này có nghĩa là kẻ tấn công hoàn toàn có thể chiếm lấy mục tiêu, miễn là ở trong một mạng liền kề, ví dụ như trường hợp một quán cà phê có nhiều người đang sử dụng mạng WiFi không an toàn. Ngoài ra, lỗ hổng không yêu cầu đặc quyền hoặc tương tác của người dùng càng khiến độ nghiêm trọng tăng lên.
Khuyến nghị: Áp dụng các bản vá từ trang chủ của Microsoft.
3.1.3 CVE-2021-38647 – Lỗ hổng thực thi mã từ xa (RCE) trên Open Management Infrastructure (OMI)
CVSS v3.0: 9.8
Mô tả: Đây là lỗ hổng có điểm CVSS cao nhất trong tháng này. OMI là một dự án mã nguồn mở cho phép phát triển giải pháp triển khai chất lượng sản xuất theo các tiêu chuẩn DMTF CIM/WBEM. Lỗ hổng này không yêu cầu sự tương tác hoặc đặc quyền của người dùng, vì vậy kẻ tấn công có thể chạy mã trên một hệ thống bị ảnh hưởng chỉ bằng cách gửi một thông điệp được chế tạo đặc biệt tới một hệ thống bị ảnh hưởng.
Khuyến nghị: Áp dụng các bản vá từ trang chủ của Microsoft.
3.1.4 Các lỗ hổng khác
Danh sách đầy đủ các CVE có thể xem tại đây: https://msrc.microsoft.com/update-guide/releaseNote/2021-Sep
3.2 Ứng dụng web và các sản phẩm khác
3.2.1 CVE-2021-40346 Lỗ hổng tràn số nguyên cho phép gửi yêu cầu Http bất hợp pháp trên HAProxy (Integer Overflow Enables HTTP Smuggling)
CVSS v3.0: 8.6
Mô tả: Đây là một lỗ hổng Tràn số nguyên (Integer Overflow) cho phép thực hiện các cuộc tấn công HTTP Request Smuggling. Cuộc tấn công này cho phép tác nhân “chuyển lậu” (smuggle) các yêu cầu HTTP đến máy chủ phụ trợ (backend server) mà máy chủ proxy (proxy server) không hề hay biết. Các yêu cầu “chuyển lậu” này có nhiều tác động khác nhau, tùy thuộc vào cấu hình của HAProxy và cấu hình máy chủ web phụ trợ:
- Bỏ qua các kiểm soát bảo mật, bao gồm ACL được xác định trong HAProxy
- Có được quyền truy cập trái phép vào dữ liệu nhạy cảm
- Thực hiện các lệnh trái phép hoặc sửa đổi dữ liệu
- Đánh cắp phiên người dùng
Khuyến nghị: Theo khuyến nghị của HAProxy, giải pháp tốt nhất là nâng cấp lên phiên bản HAProxy 2.0.25, 2.2.17, 2.3.14 hoặc 2.4.4, sẽ khắc phục được hoàn toàn sự cố.
3.2.2 CVE-2021-39115 Lỗ hổng Template Injection trong Email Template cho phép thực thi mã trên Jira Service Management Server.
CVSS v3.0: 7.2
Mô tả: Các phiên bản bị ảnh hưởng của Atlassian Jira Service Management Server and Data Center cho phép kẻ tấn công từ xa có quyền truy cập “Jira Administrators” để thực thi mã Java tùy ý hoặc chạy các lệnh hệ thống tùy ý thông qua lỗ hổng Server_Side Template Injection trong tính năng Email Template.
Các phiên bản bị ảnh hưởng:
- version < 4.13.9
- 4.14.0 ≤ version < 4.18.0
Khuyến nghị: Cập nhật các bản vá từ trang chủ của nhà cung cấp
3.2.3 CVE-2021-26084 Lỗ hổng code injection trên Confluence Server and Data Center
CVSS v3.0: 9.8
Mô tả: Đây là một lỗ hổng trên Confluence. Nó bắt nguồn từ việc sử dụng ngôn ngữ Object-Graph Navigation Language (OGNL) trong hệ thống tag của Confluence. Lỗ hổng cho phép chèn mã OGNL và sau đó thực thi mã tùy ý trên máy tính có cài đặt Confluence Server hoặc Confluence Data Center. Trong một số trường hợp, ngay cả người dùng không được xác thực cũng có thể khai thác lỗ hổng (nếu tùy chọn Allow people to sign up to create their account được kích hoạt).
Hệ thống bị ảnh hưởng:
Các phiên bản Confluence Server trước 6.13.23, từ 6.14.0 đến 7.4.11, từ 7.5.0 đến 7.11.6 và từ 7.12.0 đến 7.12.5. Lỗ hổng này không ảnh hưởng với người dùng Confluence Cloud.
Khuyến nghị: Atlassian khuyến nghị người dùng nên sử dụng phiên bản Confluence mới nhất, là 7.13.0, được tải xuống từ trang chủ của nhà cung cấp. Ngoài ra, cũng cần hạn chế quyền truy cập vào Confluence để người bên ngoài không thể truy cập các dịch vụ nội bộ của công ty.