Hàng tháng, Chúng tôi – NCS tổng hợp lại các thông tin về bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài tổng hợp.
1 Các mối đe dọa nâng cao – Advanced Threats
1.1 Nhóm APT mới ChamelGang nhắm mục tiêu vào các tổ chức hàng không, năng lượng của Nga
Từ tháng 3 năm nay, các nhà nghiên cứu của hãng bảo mật Positive Technologies đã theo dõi nhóm APT mới có tên là ChamelGang nhắm mục tiêu chủ yếu vào các khu phức hợp nhiên liệu – năng lượng và hàng không của Nga. Được biết phạm vi mục tiêu đã mở rộng sang 9 quốc gia khác bao gồm Mỹ, Nhật Bản, Thổ Nhĩ Kỳ, Đài Loan, Việt Nam, Ấn Độ, Afghanistan, Lithuania và Nepal.
Nhóm này khai thác các lỗ hổng đã biết như ProxyShell của Microsoft Exchange Server và sử dụng mã độc để xâm chiếm mạng. Để tránh bị phát hiện, ChamelGang giấu mã độc và cơ sở hạ tầng mạng của mình dưới các dịch vụ hợp pháp của các công ty uy tín như Microsoft, TrendMicro, McAfee, IBM và Google theo nhiều cách thức độc đáo.
Đầu tiên, nhóm này mua lại các tên miền bắt chước các công ty hợp pháp như newtrendmicro.com, centralgoogle.com, microsoft-support.net, cdn-chrome.com, mcafee-upgrade.com. Bên cạnh đó, đặt các chứng chỉ SSL bắt chước các chứng chỉ hợp pháp trên các máy chủ như github.com, www.ibm.com, jquery.com, update.microsoft-support.net.
Giống như Nobelium và REvil trước đây, ChamelGang trước tiên tấn công chuỗi cung ứng (supply chain) để đạt được quyền truy cập vào mục tiêu cuối cùng. Theo như Positive Technologies phân tích, “nhóm này đã xâm nhập vào một công ty con và từ đó thâm nhập vào mạng lưới của công ty mục tiêu”.
Ngoài ra, những kẻ tấn công cũng sử dụng nhiều mã độc bao gồm các mã độc đã biết như FRP, Cobalt Strike Beacon và Tiny Shell, cũng như các mã độc chưa biết trước đây là ProxyT, BeaconLoader và DoorMe backdoor.
Các nhà nghiên cứu đã phân tích hai cuộc tấn công của ChamelGang bao gồm một cuộc tấn công vào tháng Ba và một vào tháng Tám.
Cuộc tấn công đầu tiên
Cuộc điều tra đầu tiên được tiến hành sau khi trình bảo vệ chống vi-rút của một công ty năng lượng có trụ sở tại Nga liên tục báo cáo sự hiện diện của Cobalt Strike Beacon trong RAM.
Những kẻ tấn công đã giành được quyền truy cập vào mạng của công ty năng lượng thông qua chuỗi cung ứng. Nhóm này đã xâm phạm phiên bản dễ bị tấn công của ứng dụng web trên JBoss Application Server của một công ty con. Qua điều tra, các nhà nghiên cứu phát hiện những kẻ tấn công đã khai thác một lỗ hổng nghiêm trọng là CVE-2017-12149 để thực hiện các lệnh từ xa trên máy chủ.
Khi đã vào được mạng lưới của công ty năng lượng, ChamelGang đã mở rộng phạm vi hoạt động, triển khai các mã độc khác trong quá trình tấn công. Những mã độc này bao gồm
+ Tiny Shell với một UNIX backdoor có thể nhận lệnh từ một máy chủ bị nhiễm, để thực hiện lệnh và chuyển tệp;
+ Kỹ thuật DLL hijacking được liên kết với dịch vụ Microsoft Distributed Transaction Control (MSDTC) của Windows nhằm persistence và leo thang đặc quyền;
+ Cobalt Strike Beacon để callback tới kẻ tấn công để thực hiện lệnh bổ sung.
Cuộc tấn công thứ hai
Các nhà nghiên cứu cho biết cuộc tấn công thứ hai nhằm vào một tổ chức thuộc lĩnh vực sản xuất hàng không của Nga.
Trong trường hợp này, ChamelGang đã sử dụng một chuỗi lỗ hổng đã biết trên Microsoft Exchange có tên là ProxyShell bao gồm CVE-2021-34473, CVE-2021-34523, CVE-2021-31207 để xâm phạm các nút mạng.
Sau khi vào mạng, kẻ tấn công cài đặt phiên bản được chỉnh sửa của DoorMe backdoor v2 trên hai Microsoft Exchange mail server trong mạng của nạn nhân. Kẻ tấn công cũng sử dụng Cobalt Strike Beacon và BeaconLoader trong quá trình tấn công lây nhiễm sang các máy chủ khác.
1.2 Nhóm APT FamousSparrow phát động chiến dịch tấn công trên toàn thế giới
Các nhà nghiên cứu của ESET đã xác định được một nhóm gián điệp mạng mới đang nhắm mục tiêu vào các tổ chức chính phủ, tổ chức tư nhân trên toàn cầu. Được đặt tên là FamousSparrow, nhóm này được cho là đã hoạt động từ năm 2019. Đây là một trong những kẻ tấn công đầu tiên lợi dụng lỗ hổng Microsoft Exchange ProxyLogon để tấn công.
Các chuyên gia phỏng đoán nhóm APT này độc lập với tất cả các nhóm APT đang hoạt động khác. Các nạn nhân bị nhóm nhắm tới cho thấy mục đích chính của nhóm là hoạt động gián điệp.
Báo cáo cho biết nhóm này đã lợi dụng các lỗ hổng trên Microsoft Exchange (bao gồm ProxyLogon), Microsoft SharePoint và Oracle Opera.
Nhóm chủ yếu nhắm mục tiêu vào các khách sạn, ngoài ra các mục tiêu khác được quan sát thấy gồm các tổ chức chính phủ, công ty kỹ thuật và công ty pháp lý.
Nạn nhân nằm ở một số quốc gia, bao gồm Ả Rập Xê Út, Anh, Canada, Brazil, Pháp, Đài Loan, Thái Lan và một số quốc gia khác.
Các công cụ và chiến thuật của Backdoor
Theo ESET, FamousSparrow đã sử dụng một backdoor tùy chỉnh có tên gọi là “SparrowDoor”. Backdoor này bao gồm các nhiệm vụ sau: đổi tên hoặc xóa tệp; tạo thư mục; tắt các tiến trình; gửi thông tin như thuộc tính tệp, kích thước tệp và thời gian ghi tệp; lọc nội dung của một tệp cụ thể; ghi dữ liệu vào một tệp được chỉ định. Ngoài ra còn có một switch cho phép tin tặc gỡ cài đặt hoặc khởi động lại SparrowDoor.
– Backdoor SparrowDoor ban đầu được tải lên máy chủ bị xâm phạm thông qua các kỹ thuật DLL search order hijacking.
– Sau đó, nó thiết lập một kết nối với máy chủ C&C của tin tặc để xâm nhập dữ liệu.
– Ngoài ra, FamousSparrow sử dụng một số công cụ để nhắm mục tiêu nạn nhân, bao gồm hai phiên bản tùy chỉnh của Mimikatz, ProcDump, Nbtscan (một NetBIOS scanner) và một backdoor tùy chỉnh có tên SparrowDoor.
1.3 McAfee phát hiện chiến dịch APT mới của Trung Quốc ‘Operation Harvest’
McAfee Enterprise đã tìm thấy một nhóm tác nhân đe dọa có thể đã nằm trong mạng của nạn nhân nhiều năm qua mà không bị phát hiện.
Các chuyên gia đã đặt tên cho chiến dịch APT mới được phát hiện này là “Operation Harvest”. Các tác nhân đe dọa sử dụng tổng hợp các loại mã độc mới và đã biết để tấn công trong chiến dịch. McAfee Enterprise cho biết đây là nhóm tấn công có kinh nghiệm và trình độ cao.
McAfee nhận thấy các tác nhân đe dọa đã chiếm quyền truy cập ban đầu vào mạng nạn nhân bằng cách khai thác lỗ hổng trên máy chủ truy cập web. Từ vị trí đó, chiến dịch APT đã tiến hành các khai thác leo thang đặc quyền cao hơn để lấy cắp thông tin đăng nhập và chuyển sang các hệ thống khác.
Các công cụ được sử dụng bao gồm một số công cụ quản lý hệ thống và tấn công có sẵn; các công cụ được tùy chỉnh khác như backdoor để cung cấp cho kẻ tấn công quyền truy cập liên tục.
Như tên gọi của mình, Operation Harvest chỉ quan tâm đến việc lấy dữ liệu từ nạn nhân. Những kẻ tấn công đã giữ im lặng và che giấu sự hiện diện của mình trong nhiều năm khi âm thầm thu thập dữ liệu có giá trị từ mạng. Dữ liệu này có thể là tài sản trí tuệ trong lĩnh vực kinh tế hoặc thông tin bí mật trong lĩnh vực quân sự.
Kẻ tấn công đã sử dụng các kỹ thuật rất thường được quan sát thấy trong kiểu tấn công này, bên cạnh đó còn sử dụng các backdoor mới hoặc biến thể của các mã độc hiện có.
Các cuộc tấn công kéo dài và đánh cắp bí mật IP cũng như thông tin chính phủ là hai đặc điểm từ lâu đã gắn liền với các cuộc tấn công được bảo trợ bởi nhà nước Trung Quốc. Vì vậy, McAfee cho rằng nhóm đứng sau vụ tấn công này có mối liên hệ với Bắc Kinh.
1.4 Nhóm APT của Iran tấn công các công ty hàng không và viễn thông bằng Trojan ShellClient
Các nhà nghiên cứu bảo mật đã phát hiện các hoạt động gián điệp mạng của một nhóm tin tặc có nguồn gốc ở Iran nhắm mục tiêu vào các công ty viễn thông và hàng không vũ trụ với một chương trình Trojan chưa được biết đến trước đây, đã được sử dụng từ năm 2018. Công ty bảo mật Cybereason đã đặt tên cho chiến dịch là Operation GhostShell và cho biết nhóm nhắm mục tiêu chủ yếu vào các công ty ở Trung Đông, bên cạnh đó là Mỹ, Châu Âu và Nga. Mục tiêu của các cuộc tấn công là đánh cắp thông tin về cơ sở hạ tầng, công nghệ và tài sản quan trọng của nạn nhân.
Trong khi các nhà nghiên cứu tin rằng nhóm gián điệp mạng này, với tên gọi MalKamak, là một nhóm mới và khác biệt với các nhóm đã được ghi nhận trước đó. Có bằng chứng chỉ ra mối liên hệ giữa nhóm này với các nhóm được chính phủ Iran bảo trợ như Chafer APT (APT39) và Agrius APT.
RAT ShellClient
Công cụ mã độc chính của nhóm là Trojan truy cập từ xa (RAT) có tên ShellClient đã được phát triển và có khả năng được sử dụng tích cực từ năm 2018. Nhóm nghiên cứu cho biết tác giả của ShellClient đã đầu tư rất nhiều công sức vào việc ngụy trang nó để tránh bị phát hiện bởi phần mềm diệt vi-rút và các công cụ bảo mật khác, bằng cách tận dụng nhiều kỹ thuật gây nhiễu và gần đây là triển khai một Dropbox client làm command and control (C2), khiến nó rất khó bị phát hiện.
Trojan được tạo ra bằng một công cụ mã nguồn mở là Costura cho phép tạo các tệp thực thi tự nén độc lập mà không phụ thuộc vào bên ngoài. Điều này có thể góp phần vào tính ẩn danh của chương trình và khiến nó vẫn chưa bị phát hiện cho đến nay sau ba năm hoạt động. Một lý do khác là nhóm chỉ sử dụng nó để chống lại một nhóm mục tiêu nhỏ và được lựa chọn cẩn thận, ngay cả khi quy mô địa lý lớn.
ShellClient thực hiện nhiều chức năng và lệnh bao gồm các thao tác tệp – thư mục, mở CMD và PowerShell shell, thực hiện shell command, khởi động máy khách TCP, FTP và Telnet, tải xuống và thực thi tệp trên máy và thực hiện các hành vi mở rộng khác thông qua công cụ Windows Management Instrumentation (WMI).
Mở rộng phạm vi khai thác và mối liên hệ với các nhóm APT khác của Iran
Nhóm nghiên cứu Cybereason đã quan sát thấy những kẻ tấn công sử dụng các công cụ phổ biến như PAExec (một phiên bản của PsExec) và “net use” để thực thi các tệp trên hệ thống từ xa. Họ cũng thấy credential dump từ tiến trình lsass.exe bằng một công cụ có tên lsa.exe mà họ nghi ngờ là một phiên bản của SafetyKatz – biến thể mã nguồn mở của Mimikatz đã được các nhóm APT khác của Iran sử dụng trong quá khứ. Một phiên bản độc lập của WinRAR cũng được sử dụng để lưu trữ tệp trước khi exfiltration.
Việc sử dụng Costura packer và Dropbox để ra lệnh và điều khiển (command-and-control) chỉ được thêm vào trong phiên bản mới nhất, phiên bản này cũng đã chứng kiến những thay đổi kiến trúc đáng kể khác. Tuy nhiên, một số code structure, quy trình và kỹ thuật được sử dụng trong các phiên bản trước tương tự như trong mã độc từ các nhóm APT khác của Iran.
2 Malware
2.1 FoggyWeb – mã độc mới được nhóm APT Nobelium sử dụng nhằm lấy cắp thông tin nhạy cảm từ máy chủ ADFS
Microsoft Threat Intelligence Center (MSTIC) phát hiện backdoor mới được đặt tên là FoggyWeb liên quan tới nhóm tấn công có tên NOBELIUM, nhóm tấn công này sử dụng các kỹ thuật liên quan nhằm truy xuất thông tin xác thực từ máy chủ bị chiếm quyền điều khiển AD FS (Active Directory Federation Services)
Sau khi chiếm quyền điều khiển máy chủ AD FS, nhóm tấn công drop xuống 2 files bao gồm DLL độc hại và file cấu hình đã được mã hóa trên hệ thống tại đường dẫn:
v %WinDir%\ADFS\version.dll
v %WinDir%\SystemResources\Windows.Data.TimeZones\pris\Windows.Data.TimeZones.zh-PH.pri
Khi service AD FS (adfssrv) chạy, tiến trình có tên Microsoft.IdentityServer.ServiceHost.exe sẽ được thi. Khi tiến trình thực thi, nó sẽ load một DLL có tên mscoree.dll. mscoree.dll sẽ tự động loads một dll khác có tên mscoreei.dll. Như hình sau, mscoreei.dll sẽ load một DLL hợp pháp có tên version.dll nằm tại %WinDir%\System32\.
Do kẻ tấn công đã drop được DLL độc hại cùng tên tại đường dẫn %WinDir%\ADFS\, bằng kỹ thuật DLL search order hijacking, DLL độc hại sẽ được thực thi
DLL độc hại thực hiện các nhiệm vụ sau:
– Gọi hàm LoadDecryptExcuteBackdoor() để load payload từ một file trong hệ thống, giải mã và thực thi trong bộ nhớ
– Chuyển việc thực thi sang DLL hợp lệ (version.dll tại thư mục System32)
Hàm LoadDecryptExcuteBackdoor() sẽ kiểm tra file tại đường dẫn sau có tồn tại hay không C:\Windows\SystemResources\Windows.Data.TimeZones\pri\ Windows.Data.TimeZones.zh-PH.pri. Đọc nội dung của file encrypt Windows.Data.TimeZones.zh-PH.pri vào trong bộ nhớ, giải mã bằng mã hóa LEA và XOR. Sau khi giải mã, các data được lưu vào Safe Array và gọi hàm Load để thực thi.
FoggyWeb backdoor được cấu hình cho phép lắng nghe các request URIs. Các URIs này bắt chước cấu trúc của các URIs hợp lệ. Nó sẽ lắng nghe các HTTP GET và POST request gửi đến máy chủ AD FS từ mạng nội bộ hoặc bên ngoài internet.
v HTTP GET URI pattern:
– /adfs/portal/images/theme/light01/profile.webp. Khi máy chủ nhận được request này, backdoor sẽ truy xuất token signing certificate của máy chủ AD FS, và gửi lại certificate đã obfuscates cho attacker
– /adfs/portal/images/theme/light01/background.webp. Tương tự, khi máy chủ nhận được request này, backdoor sẽ truy xuất token decryption certificate của máy chủ AD FS, và gửi lại certificate đã obfuscates cho attacker
– /adfs/portal/images/theme/light01/logo.webp. Khi máy chủ nhận được request này, backdoor sẽ truy xuất cấu hình của máy chủ AD FS, và gửi lại dữ liệu đã obfuscates cho attacker
v HTTP POST URI pattern:
– /adfs/services/trust/2005/samlmixed/upload. Khi máy chủ nhận được request này, backdoor sẽ xử lý POST request. Request này đi kèm các data đã obfuscated và compressed dưới dạng .NET assembly hoặc source code. Nếu là .NET assembly, backdoor sẽ thực thi bằng tiến trình của hệ thống. Nếu là source code, backdoor sẽ biên dịch source code và thực thi bằng tiến trình của AD FS
IoCs:
https://github.com/Azure/Azure-Sentinel/blob/master/Sample%20Data/Feeds/FoggyWebIOC.csv
2.2 Giả mạo ứng dụng tiền điện tử SafeMoon nhằm cài cắm mã độc hại
Gần đây được nhóm nghiên cứu của ESET phát hiện chiến dịch giả mạo ứng dụng tiền điện tử SafeMoon thông qua việc lừa người dùng tải xuống và cài đặt các bản cập nhật độc hại
Bắt đầu từ các tin nhắn lừa đảo gửi tới người dùng trên Discord, giả mạo tài khoản của SafeMoon để quảng cáo phiên bản mới nhất của ứng dụng đính kèm với URL .URL này được thiết kế giống với trang chủ chính thức của SafeMoon
Tất cả các đường dẫn trên trang đều hợp pháp, ngoại trừ đường dẫn tải xuống ứng dụng SafeMoon “official” từ GooglePlay. Thay vì tải xuống ứng dụng cho thiết bị Android, nó sẽ tải xuống installer có tên Safemoon-App-v2.0.6.exe và RAT có tên Remcos, cung cấp cho kẻ tấn công thu thập thông tin nhạy cảm của người dùng cũng như tải xuống và thực thi thêm các phần mềm độc hại khác trên máy nạn nhân
IoCs:
ESET detection name | SHA-256 hash |
A Variant of MSIL/Injector.VQB | 035041983ADCFB47BBA63E81D2B98FA928FB7E022F51ED4A897366542D784E5B |
2.3 Các nhóm tấn công sử dụng mã độc lợi dụng lỗ hổng zero-day CVE-2021-40449
Gần đây, bên cạnh việc nhóm nghiên cứu từ Kaspersky đã phát hiện các nhóm tấn công lợi dụng lỗ hổng zero-day trong các cuộc tấn công nhắm tới các công ty CNTT, quân sự. Kaspersky gọi các hoạt động liên quan trong chiến dịch tấn công lần này là MysterySnail. Do những tương đồng về code và việc sử dụng lại cơ sở hạ tầng C2 có liên quan tới các cuộc tấn công trước đó của IronHusky từ năm 2012.
Mẫu mã độc liên quan được tải lên Virustotal với kích thước khá lớn 8.29MB. 2 C&C được hardcoded sẵn trong binary lần lượt là “www[.]disktest[.]com” và “www[.]runblerx[.]com”. Tuy nhiên hai 2 C&C này không được sử dụng. Địa chỉ C2 thực sự được sử dụng là “http[.]ddspadus[.]com” sau khi giải mã bằng XOR
Mã độc thu thập các giá trị registry key tại đường dẫn “Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer”, nhằm tạo tunneling thông qua proxy server trong trường hợp không thể kết nối trực tiếp tới C2. Giao tiếp với C2 đều được mã hóa với SSL, format các command giao tiếp như sau:
Offset | Mô tả |
0 | Size of additional data |
4 | Session ID |
8 | Command ID |
0xC | Additional data |
Trước khi nhận các lệnh, mã độc sẽ thu thập thông tin của nạn nhân. Các thông tin bao gồm tên máy, OEM code-page hiện tại, tên Windows product, Địa chỉ IP local, thông tin người dùng đăng nhập và tên chiến dịch. RAT triển khai tổng cộng 20 commands. Command IDs và mô tả thể hiện ở bảng sau:
Command ID | Mô tả |
1F4h | Khởi chạy cmd.exe shell |
1F5h | Tạo process mới |
1F6h | Tạo process mới (console) |
1F7h | Kiểm tra các ổ đĩa mới hoặc các ổ đĩa đã tồn tại |
1F8h | Tạo file mới. Nếu file tồn tại thì bổ sung thêm dữ liệu |
1FAh | Lấy danh sách thư mục |
1FBh | Kill tiến trình |
1FFh | Xóa file |
202h | Đọc file |
205h | Kết nối lại |
208h | Đặt chế độ sleep |
209h | Shutdown và thoát |
20Ah | Thoát |
20Bh | Kill shell (cmd) |
20Ch | Ngừng đọc file |
217h | No operation |
21Bh | Mở kết nối proxy tới host cung cấp. Hỗ đồng thời tối đa tới 50 kết nối |
21Ch | Gửi dữ liệu |
21Eh | Đóng các kết nối |
21Fh | Đóng request proxy |
IoCs:
FileName | Hash (SHA1) |
73f520223a2e01c036a4b620c7188e733c113a429e25c5c3de7fbbc1c3d16ccc.bin | 8583918d0fe71c2b20fb9ab545a19167565aea91 |
e84be291efadd53a8bb965bfb589590ffe870da9187e6752cc7a9f028053ff5d | f99695999b119a3b82dc4bc742086c9a4fb0d2e0 |
b7fb3623e31fb36fc3d3a4d99829e42910cad4da4fa7429a2d99a838e004366e | ecdec44d3ce31532d9831b139ea04bf48cde9090 |
C&C:
www[.]disktest[.]com
www[.]runblerx[.]com
http[.]ddspadus[.]com
3 CVE và các khuyến nghị bảo mật
3.1 Microsoft Patch Tuesday – Oct 2021
Trong tháng 10, Microsoft đã phát hành các bản vá cho 71 CVE trên Microsoft Windows, Microsoft Edge, Exchange Server, .NET Core, Visual Studio, Microsoft Office, SharePoint Server, Microsoft Dynamics, InTune và System Center Operations Manager. Trong số này, 2 CVE được đánh giá là Nghiêm trọng, 68 CVE được đánh giá là Quan trọng và 1 CVE được đánh giá có Mức độ nghiêm trọng thấp.
Dưới đây là một số CVE nổi bật:
3.1.1 CVE-2021-40449 – Lỗ hổng nâng cao đặc quyền trên Win32k
CVSS v3.0: 7.8
Mô tả: Đây là một kernel bug có thể được sử dụng để nâng cao đặc quyền từ người dùng lên quản trị viên trên hệ thống bị xâm phạm. Kẻ tấn công thường sử dụng kết hợp lỗi này với lỗi thực thi mã để chiếm lấy hệ thống. Được biết, lỗi này đang được khai thác tích cực và có thể được sử dụng trong một cuộc tấn công gần đây liên quan đến nhóm APT IronHusky.
Hệ thống bị ảnh hưởng:
Windows: 7, 8.1, 10, 10 20H2, 10 21H1, 10 1507, 10 1511, 10 1607, 10 1703, 10 1709, 10 1803, 10 1809, 10 1903, 10 1909, 10 2004, 10 Gold, 10 Mobile, 10 S, 11 21H2, RT 8.1
Windows Server: 2008, 2008 R2, 2012, 2012 R2, 2016, 2019, 2019 20H2, 2019 1709, 2019 1803, 2019 1903, 2019 1909, 2019 2004
Khuyến nghị: Cài đặt các bản vá từ trang chủ của nhà cung cấp.
3.1.2 CVE-2021-26427 – Lỗ hổng thực thi mã từ xa trên Microsoft Exchange Server
CVSS v3.0: 9.0
Mô tả: Mặc dù có điểm CVSS cao, nhưng lỗ hổng được Microsoft đánh giá là có khả năng khai thác thấp, bởi vì kẻ tấn công cần quyền truy cập vào mạng để khai thác lỗ hổng này mà không thể khai thác trực tiếp qua Internet công cộng.
Hệ thống bị ảnh hưởng:
Microsoft Exchange Server: 2013, 2013 Cumulative Update 1 – 23, 2013 Service Pack 1, 2016, 2016 Cumulative Update 1 – 22, 2019, 2019 Cumulative Update 1 -11
Khuyến nghị: Cài đặt các bản vá từ trang chủ của nhà cung cấp.
3.1.3 CVE-2021-40486 – Lỗ hổng thực thi mã từ xa của Microsoft Word
CVSS v3.0: 7.8
Mô tả: Đây là một lỗ hổng RCE nghiêm trọng ảnh hưởng đến Microsoft Word, Microsoft Office và một số phiên bản của SharePoint Server, có thể bị khai thác thông qua Preview Pane. Đây không phải là lỗ hổng mới với Microsoft, khi có nhiều CVE tương tự đã được công bố trong năm.
Với mức độ phức tạp của cuộc tấn công thấp, lỗ hổng yêu cầu người dùng mở một tệp được chế tạo đặc biệt bằng cách thủ công thông qua email hoặc qua một trang web do kẻ tấn công sở hữu trang web bị xâm nhập có lưu trữ nội dung do kẻ tấn công cung cấp.
Kẻ tấn công khai thác thành công lỗ hổng này có thể sử dụng tệp này để thực hiện các hành động trong bối cảnh của người dùng hiện tại. Ví dụ: tệp có thể thực hiện các hành động thay mặt người dùng đã đăng nhập với các quyền tương tự như người dùng này.
Hệ thống bị ảnh hưởng:
Microsoft SharePoint Server: 2013, 2016, 2019
Microsoft Office: 2019
Office Online Server: 2016
Microsoft Word: 2013 RT Service Pack 1, 2013 Service Pack 1, 2016
Microsoft Office Web Apps Server: 2013 Service Pack 1
Khuyến nghị: Cài đặt các bản vá từ trang chủ của nhà cung cấp.
3.1.4 CVE-2021-40487, CVE-2021-41344 – Lỗ hổng thực thi mã từ xa trên Microsoft SharePoint Server
CVSS v3.0: 8.1
Mô tả: Lỗ hổng cho phép kẻ tấn công từ xa thực thi mã tùy ý trên hệ thống mục tiêu. Lỗ hổng tồn tại do xác thực đầu vào không đúng trong Microsoft SharePoint Server. Kẻ tấn công được xác thực từ xa có thể gửi request được thiết kế nhằm thực thi mã tùy ý trên hệ thống mục tiêu. Việc khai thác thành công lỗ hổng này có thể dẫn đến xâm phạm hoàn toàn hệ thống bị tấn công.
Hệ thống bị ảnh hưởng:
Microsoft SharePoint Foundation 2013 Service Pack 1
Microsoft SharePoint Enterprise Server 2016
Microsoft SharePoint Server 2019
Khuyến nghị: Cài đặt các bản vá từ trang chủ của nhà cung cấp.
3.2 Ứng dụng web và các sản phẩm khác
3.2.1 CVE-2021-33193 Request splitting via HTTP/2 method injection and mod_proxy
CVSS v3.0: 7.5
Mô tả: Một phương thức thủ công được gửi qua HTTP/2 sẽ bỏ qua xác thực và được chuyển tiếp bởi mod_proxy, điều này có thể dẫn đến yêu cầu tách (splitting) hoặc nhiễm độc bộ nhớ cache (cache poisoning).
Hệ thống bị ảnh hưởng: Apache HTTP Server 2.4.17 – 2.4.48.
Khuyến nghị: Cài đặt các bản vá từ trang chủ của nhà cung cấp.
3.2.2 CVE-2021-26920 Apache Druid SSRF/LFI
CVSS v3.0: 6.5
Mô tả: Trong hệ thống đầu vào Druid, InputSource được sử dụng để đọc dữ liệu từ một nguồn dữ liệu nhất định. Tuy nhiên, HTTP InputSource cho phép người dùng đã xác thực đọc dữ liệu từ các nguồn khác ngoài dự định, chẳng hạn như hệ thống tệp cục bộ, với các đặc quyền của Druid server process. Đây không phải là sự nâng cao đặc quyền khi người dùng truy cập trực tiếp vào Druid, vì Druid cũng cung cấp Local InputSource, cho phép cấp độ truy cập tương tự.
Vấn đề xảy ra khi người dùng tương tác gián tiếp với Druid thông qua một ứng dụng cho phép người dùng chỉ định HTTP InputSource, thay vì Local InputSource. Trong trường hợp này, người dùng có thể bỏ qua hạn chế cấp ứng dụng (application-level) bằng cách truyền một đường dẫn URL tệp đến HTTP InputSource.
Hệ thống bị ảnh hưởng: Apache Druid 0.1.x – 0.20.x
Khuyến nghị: Cài đặt các bản vá từ trang chủ của nhà cung cấp.
3.2.3 CVE-2021-42013 – Lỗ hổng tiết lộ tệp trên Apache HTTP Server
CVSS v3.0: 9.8
Mô tả: Kẻ tấn công có thể sử dụng một cuộc tấn công qua đường dẫn (path traversal attack) để ánh xạ URL tới các tệp bên ngoài những thư mục được định cấu hình bởi Alias-like directives. Nếu các tệp bên ngoài các thư mục này không được bảo vệ bằng cấu hình mặc định thông thường “require all denied”, thì các yêu cầu này có thể thành công. Nếu các tập lệnh CGI cũng được kích hoạt cho các aliased path này, điều này có thể cho phép thực thi mã từ xa.
Hệ thống bị ảnh hưởng: Apache 2.4.49 và Apache 2.4.50.
Khuyến nghị: Cài đặt các bản vá từ trang chủ của nhà cung cấp.