SA: 5 lỗ hổng hàng đầu bị hacker của chính phủ Nga lạm dụng.



Một lời khuyên chung từ Cơ quan An ninh Quốc gia Hoa Kỳ (NSA), Cơ quan An ninh Mạng và Cơ sở hạ tầng (CISA) và Cục Điều tra Liên bang (FBI) cảnh báo rằng Cơ quan Tình báo Nước ngoài của Nga (SVR) đang khai thác 5 lỗ hổng trong các cuộc tấn công chống lại Hoa Kỳ.

Trong một thông báo đưa ra ngày hôm nay, NSA cho biết họ biết được SVR của Nga đang sử dụng các lỗ hổng nhằm lấy thông tin xác thực nhằm xâm nhập sâu hơn vào hệ thống mạng của chính phủ và công ty Hoa Kỳ.

NSA đang khuyến cáo tất cả các tổ chức vá ngay các thiết bị dễ bị tấn công để bảo vệ khỏi các cuộc tấn công mạng dẫn đến đánh cắp dữ liệu, gian lận ngân hàng và ransomware attacks.

Rob Joyce, Giám đốc An ninh mạng của NSA, cho biết trong một tuyên bố với BleepingComputer: “Các lỗ hổng trong bản phát hành hôm nay là một phần trong SVR’s toolkit để nhắm mục tiêu đến các mạng lưới chính phủ và tư nhân”. “Chúng tôi cần làm gì đó để ngăn chặn SVR , bằng cách loại bỏ chúng.”

Các lỗ hổng được sử dụng trong các giai đoạn tấn công khác nhau.

Chính phủ Hoa Kỳ khuyến cáo mạnh mẽ rằng tất cả các quản trị viên “khẩn trương thực hiện các biện pháp giảm thiểu liên quan” đối với các lỗ hổng này để ngăn chặn các cuộc tấn công tiếp theo của SVR Nga và các hacker khác.

“Giảm thiểu các lỗ hổng này là cực kỳ quan trọng vì các mạng của Hoa Kỳ và đồng minh liên tục được quét, nhắm mục tiêu và khai thác bởi các tổ chức mạng do nhà nước Nga bảo trợ.”

“Ngoài việc ảnh hưởng đến SolarWinds Orion software supply chain, các hoạt động SVR gần đây bao gồm việc nhắm mục tiêu các cơ sở nghiên cứu COVID-19 thông qua phần mềm độc hại WellMess và nhắm mục tiêu các mạng thông qua lỗ hổng VMware do NSA tiết lộ”, cố vấn chung cảnh báo.

NSA advisory

Dưới đây là năm lỗ hổng hàng đầu mà NSA, CISA và FBI đã nhìn thấy là mục tiêu của SVR Nga.

CVE-2018-13379 nhắm mục tiêu Fortinet FortiOS 6.0.0 đến 6.0.4, 5.6.3 đến 5.6.7 và 5.4.6 đến 5.4.12:

Trong Fortinet Secure Sockets Layer (SSL) Virtual Private Network (VPN) web portals, Improper Limitation của Pathname đến Restricted Directory (“Path Traversal”) cho phép hacker tải xuống tệp hệ thống thông qua các yêu cầu tài nguyên của crafted HTTP.

Các hacker đã sử dụng rộng rãi lỗ hổng này trong nhiều năm trước để tấn công vào các cơ quan chính phủ và mạng công ty, bao gồm các hệ thống hỗ trợ bầu cử chính phủ Hoa Kỳ, các tổ chức nghiên cứu COVID-19 và gần đây là để triển khai Cring ransomware. thông tin đăng nhập cho gần 50.000 thiết bị Fortinet VPN trên diễn đàn hacker.

CVE-2019-9670 nhắm mục tiêu Synacor Zimbra Collaboration Suite 8.7.x trước 8.7.11p10

Trong Synacor Zimbra Collaboration Suite, mailboxd component có XML External Entity injection  (XXE).

CVE-2019-11510 nhắm mục tiêu Pulse Connect Secure (PCS) 8.2 trước 8.2R12.1, 8.3 trước 8.3R7.1 và 9.0 trước 9.0R3.4

Trong Pulse Secure VPN, hacker từ xa có thể gửi crafted Pulse Connect Secure (PCS) để thực arbitrary file read.

Pulse Secure VPN đã được các hacker ưa thích trong một thời gian, được sử dụng để truy cập vào các mạng của chính phủ Hoa Kỳ, tấn công bệnh viện và triển khai ransomware trên mạng lưới.

CVE-2019-19781 nhắm mục tiêu các phiên bản Citrix ADC và Gateway trước 13.0.47.24, 12.1.55.18, 12.0.63.13, 11.1.63.15 và 10.5.70.12 và SD-WAN WANOP 4000-WO, 4100-WO, 5000-WO và 5100 -WO phiên bản trước 10.2.6b và 11.0.3b.

Citrix Application Delivery Controller (ADC) và Gateway cho phép duyệt thư mục.

Lỗ hổng CVE-2019-19781  bị các hacker đang lợi dụng, bao gồm cả các băng đảng ransomware, để truy cập vào các mạng công ty và triển khai malware.

CVE-2020-4006 nhắm mục tiêu VMware One Access 20.01 và 20.10 trên Linux, VMware Identity Manager 3.3.1 – 3.3.3 trên Linux, VMware Identity Manager Connector 3.3.1 – 3.3.3 và 19.03, VMware Cloud Foundation 4.0 – 4.1, và VMware Vrealize Suite Lifecycle Manager 8.x.

VMware Workspace One Access, Access Connector, Identity Manager và Identity Manager Connector có lỗ hổng command injection.

Vào tháng 12 năm 2020, chính phủ Hoa Kỳ đã cảnh báo rằng các hacker do nhà nước Nga bảo trợ đang khai thác lỗ hổng này để triển khai web shell trên các máy chủ dễ bị tấn công và lấy đi dữ liệu.

Vì SVR của Nga đã sử dụng kết hợp các lỗ hổng này trong các cuộc tấn công của họ, nên tất cả các quản trị viên nên cài đặt các bản cập nhật bảo mật liên quan ngay lập tức.

Năm ngoái, NSA đã cảnh báo rằng hai trong số các lỗ hổng này, CVE-2019-11510 và CVE-2019-19781, cũng nằm trong 25 lỗ hổng hàng đầu được sử dụng bởi các hacker do nhà nước Trung Quốc bảo trợ.

Nguồn : bleepingcomputer.

 

 



Bài Viết liên quan

Mạng Xã Hội

55,084FansLike
471FollowersFollow
23,364SubscribersSubscribe

Bài Viết Nổi Bật