Một lỗ hổng nghiêm trọng trong VPN Connect Secure của Ivanti tiếp tục ảnh hưởng đến khách hàng và doanh nghiệp, với gã khổng lồ tên miền của Anh, Nominet, xác nhận một cuộc tấn công mạng có liên quan đến vụ hack Ivanti.
Nominet, đơn vị duy trì tên miền .co.uk, đã cảnh báo khách hàng về "sự cố bảo mật đang diễn ra" đang được điều tra. CRN đưa tin rằng Nominet tin rằng "điểm xâm nhập là thông qua phần mềm VPN của bên thứ ba do Ivanti cung cấp cho phép nhân viên của chúng tôi truy cập hệ thống từ xa". Tuy nhiên, ở giai đoạn này, chưa có dữ liệu khách hàng nào bị rò rỉ hoặc vi phạm.
Connect Secure của Ivanti là VPN truy cập từ xa được thiết kế cho những người làm việc từ xa trong các tổ chức có mọi quy mô. Các VPN doanh nghiệp tốt nhất không có lỗ hổng có thể khai thác và Ivanti đã phát hành các bản cập nhật để cố gắng giải quyết vấn đề, đồng thời hạn chế việc sử dụng VPN của mình.
Lỗ hổng đầu tiên cho phép tin tặc thực thi mã từ xa mà không cần xác thực và nhận được xếp hạng mức độ nghiêm trọng là 9.0/10.0. Ivanti cho biết thêm rằng "một số lượng hạn chế" thiết bị của khách hàng đã bị khai thác. Lỗ hổng thứ hai không bị khai thác và nhận được điểm nghiêm trọng là 7.0/10.0.
Bản vá đã nhanh chóng được cung cấp cho Connect Secure, đồng thời khách hàng được khuyên nên quét bằng Công cụ kiểm tra tính toàn vẹn (ICT) của Ivanti để xem họ có bị xâm phạm hay không. Nếu họ nhận được thông báo "quét ICT bên trong và bên ngoài sạch", thì họ có thể cập nhật phần mềm của mình.
Bất kỳ ai nhận được thông báo "có dấu hiệu xâm phạm" đều là khuyến cáo nên khôi phục cài đặt gốc cho thiết bị bị ảnh hưởng trước khi đưa thiết bị trở lại trực tuyến với bản cập nhật mới. Ivanti khuyên bạn nên sao lưu cấu hình của các thiết bị trước khi khôi phục cài đặt gốc và nâng cấp thiết bị.
Các tính năng Policy Secure và ZTA Gateways của công ty cũng bị ảnh hưởng bởi vụ tấn công, nhưng không có sản phẩm nào bị khai thác tại thời điểm viết bài. Ivanti tuyên bố các bản vá cho những sản phẩm này đang được thực hiện và dự kiến sẽ ra mắt vào ngày 21 tháng 1 năm 2025.
Đây không phải là lần đầu tiên Ivanti bị khai thác lỗ hổng, trước đó công ty này đã phải chịu một loạt các cuộc tấn công trong suốt năm 2023 và 2024.
Các thiết bị đã bị nhiễm phần mềm độc hại từ họ "SPAWN", có liên quan đến một nhóm tin tặc có trụ sở tại Trung Quốc được gọi là UNC5337. Nhóm này cũng có thể là một phần của cùng một hoạt động đã tấn công Ivanti vào năm ngoái. Những cuộc tấn công này được thực hiện bởi một nhóm có tên là UNC5221 và Mandiant nói với "mức độ tin cậy vừa phải" rằng UNC5337 là một phần của UNC5221.
Các doanh nghiệp ở mọi quy mô đều có thể bị tin tặc đe dọa, nhưng các doanh nghiệp vừa và nhỏ là hấp dẫn nhất. Do đó, bạn cần một VPN doanh nghiệp có thể bảo mật toàn bộ dữ liệu của mình và có mã hóa cực kỳ mạnh mẽ.
Về địa chỉ IP, bạn sẽ muốn có một IP tĩnh để mọi người cần truy cập vào dữ liệu được bảo vệ đều có thể truy cập được. Nhiều người sử dụng máy chủ dựa trên đám mây, mã hóa toàn bộ tệp và dữ liệu của bạn ở một nơi để dễ dàng truy cập.
Bạn cũng nên tìm một VPN doanh nghiệp có các tính năng bảo mật bổ sung. Điều này có thể giúp giảm đáng kể lượng phần cứng và phần mềm bổ sung mà bạn cần mua - giúp VPN doanh nghiệp tiết kiệm chi phí hơn.
Nominet, đơn vị duy trì tên miền .co.uk, đã cảnh báo khách hàng về "sự cố bảo mật đang diễn ra" đang được điều tra. CRN đưa tin rằng Nominet tin rằng "điểm xâm nhập là thông qua phần mềm VPN của bên thứ ba do Ivanti cung cấp cho phép nhân viên của chúng tôi truy cập hệ thống từ xa". Tuy nhiên, ở giai đoạn này, chưa có dữ liệu khách hàng nào bị rò rỉ hoặc vi phạm.
Connect Secure của Ivanti là VPN truy cập từ xa được thiết kế cho những người làm việc từ xa trong các tổ chức có mọi quy mô. Các VPN doanh nghiệp tốt nhất không có lỗ hổng có thể khai thác và Ivanti đã phát hành các bản cập nhật để cố gắng giải quyết vấn đề, đồng thời hạn chế việc sử dụng VPN của mình.
Các lỗ hổng của Ivanti đã bị khai thác như thế nào?
Ivanti lần đầu tiên cảnh báo rằng mạng của mình đã bị xâm phạm vào ngày 8 tháng 1 năm 2025. Hai lỗ hổng, CVE-2025-0282 và CVE-2025-0283, đã được mô tả chi tiết và được dán nhãn là lỗ hổng "zero-day" - khiến chúng khó chống lại hơn nhiều.Lỗ hổng đầu tiên cho phép tin tặc thực thi mã từ xa mà không cần xác thực và nhận được xếp hạng mức độ nghiêm trọng là 9.0/10.0. Ivanti cho biết thêm rằng "một số lượng hạn chế" thiết bị của khách hàng đã bị khai thác. Lỗ hổng thứ hai không bị khai thác và nhận được điểm nghiêm trọng là 7.0/10.0.
Bản vá đã nhanh chóng được cung cấp cho Connect Secure, đồng thời khách hàng được khuyên nên quét bằng Công cụ kiểm tra tính toàn vẹn (ICT) của Ivanti để xem họ có bị xâm phạm hay không. Nếu họ nhận được thông báo "quét ICT bên trong và bên ngoài sạch", thì họ có thể cập nhật phần mềm của mình.
Bất kỳ ai nhận được thông báo "có dấu hiệu xâm phạm" đều là khuyến cáo nên khôi phục cài đặt gốc cho thiết bị bị ảnh hưởng trước khi đưa thiết bị trở lại trực tuyến với bản cập nhật mới. Ivanti khuyên bạn nên sao lưu cấu hình của các thiết bị trước khi khôi phục cài đặt gốc và nâng cấp thiết bị.
Các tính năng Policy Secure và ZTA Gateways của công ty cũng bị ảnh hưởng bởi vụ tấn công, nhưng không có sản phẩm nào bị khai thác tại thời điểm viết bài. Ivanti tuyên bố các bản vá cho những sản phẩm này đang được thực hiện và dự kiến sẽ ra mắt vào ngày 21 tháng 1 năm 2025.
Đây không phải là lần đầu tiên Ivanti bị khai thác lỗ hổng, trước đó công ty này đã phải chịu một loạt các cuộc tấn công trong suốt năm 2023 và 2024.
Liên kết đến Trung Quốc
Theo các nhà nghiên cứu tại Mandiant, cuộc tấn công có thể có liên quan đến một tác nhân đe dọa có trụ sở tại Trung Quốc và có thể bắt đầu sớm nhất là vào tháng 12 năm 2024.Các thiết bị đã bị nhiễm phần mềm độc hại từ họ "SPAWN", có liên quan đến một nhóm tin tặc có trụ sở tại Trung Quốc được gọi là UNC5337. Nhóm này cũng có thể là một phần của cùng một hoạt động đã tấn công Ivanti vào năm ngoái. Những cuộc tấn công này được thực hiện bởi một nhóm có tên là UNC5221 và Mandiant nói với "mức độ tin cậy vừa phải" rằng UNC5337 là một phần của UNC5221.
VPN dành cho doanh nghiệp có còn là một lựa chọn tốt không?
Đúng vậy, có rất nhiều VPN doanh nghiệp có thể bảo vệ công ty và nhân viên của bạn khỏi tội phạm mạng và có một số tính năng chính cần lưu ý.Các doanh nghiệp ở mọi quy mô đều có thể bị tin tặc đe dọa, nhưng các doanh nghiệp vừa và nhỏ là hấp dẫn nhất. Do đó, bạn cần một VPN doanh nghiệp có thể bảo mật toàn bộ dữ liệu của mình và có mã hóa cực kỳ mạnh mẽ.
Về địa chỉ IP, bạn sẽ muốn có một IP tĩnh để mọi người cần truy cập vào dữ liệu được bảo vệ đều có thể truy cập được. Nhiều người sử dụng máy chủ dựa trên đám mây, mã hóa toàn bộ tệp và dữ liệu của bạn ở một nơi để dễ dàng truy cập.
Bạn cũng nên tìm một VPN doanh nghiệp có các tính năng bảo mật bổ sung. Điều này có thể giúp giảm đáng kể lượng phần cứng và phần mềm bổ sung mà bạn cần mua - giúp VPN doanh nghiệp tiết kiệm chi phí hơn.
