Ivanti, một công ty chuyên về quản lý CNTT và các giải pháp an ninh mạng, cho biết họ đã phát hiện hai lỗ hổng trong các dịch vụ VPN của mình. Lỗ hổng đầu tiên “cho phép kẻ tấn công chưa xác thực thực thi mã tùy ý từ xa”, Trung tâm Giám sát, Cảnh báo và Ứng phó với các Cuộc tấn công Máy tính của chính phủ Pháp cảnh báo, nơi chuyển tiếp cảnh báo của Ivanti.
Theo công ty có trụ sở tại Utah, lỗ hổng này là lỗi tràn bộ đệm nghiêm trọng, một lỗ hổng xảy ra khi một chương trình ghi nhiều dữ liệu vào không gian bộ nhớ hơn mức nó được thiết kế để chứa. Điều này được coi là rất quan trọng.
Theo lời thừa nhận của Ivanti, tội phạm mạng đã lợi dụng lỗ hổng này để phát tán phần mềm độc hại. Tuy nhiên, Ivanti trấn an rằng số lượng nạn nhân vẫn còn hạn chế. Theo cuộc điều tra của các nhà nghiên cứu tại Mandiant, một công ty con của Google, lỗ hổng này đã được sử dụng để phát tán bộ ba loại virus, cụ thể là Spawn, Dryhook và Phasejam, kể từ giữa tháng 12.
Hiện tại, Mandiant không thể liên kết lỗ hổng này với bất kỳ nhóm tin tặc cụ thể nào. Tuy nhiên, nghi ngờ đang đổ dồn vào hai nhóm gián điệp mạng do Trung Quốc tài trợ. Mandiant chỉ ra rằng "có khả năng nhiều tác nhân chịu trách nhiệm tạo và triển khai" các họ vi-rút khác nhau.
Mục tiêu của tin tặc dường như là đánh cắp cơ sở dữ liệu được lưu trữ trên thiết bị, thường chứa thông tin nhạy cảm như phiên VPN, cookie phiên, khóa API, chứng chỉ hoặc thông tin xác thực khác. Tên người dùng và mật khẩu cũng bị chặn và đánh cắp trong quá trình xác thực.
Trong quá trình này, Ivanti giải thích rằng họ đã phát hiện ra lỗ hổng thứ hai là lỗi bộ nhớ trong các công cụ VPN của mình. Ở mức độ nghiêm trọng cao, nó yêu cầu xác thực để sử dụng và chỉ cho phép nâng cao đặc quyền.
Ivanti nhấn mạnh rằng họ đã triển khai bản vá để đóng hai lỗ hổng bảo mật. Tuy nhiên, đối với bản vá dành cho các cổng Policy Secure và Neurons for ZTA (Zero Trust Access), sẽ cần phải đợi đến ngày 21 tháng 1 năm 2025. Đây không phải là lỗ hổng đầu tiên được xác định trong các sản phẩm Connect Secure của Ivanti. Vài tháng trước, Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) đã bị tấn công thông qua lỗ hổng bảo mật trong các sản phẩm do Ivanti thiết kế. Cơ quan này đã quên cập nhật hai hệ thống bằng các bản vá.
Nguồn: Ivanti
Theo công ty có trụ sở tại Utah, lỗ hổng này là lỗi tràn bộ đệm nghiêm trọng, một lỗ hổng xảy ra khi một chương trình ghi nhiều dữ liệu vào không gian bộ nhớ hơn mức nó được thiết kế để chứa. Điều này được coi là rất quan trọng.
Bộ ba loại vi-rút đang tấn công
Theo lời thừa nhận của Ivanti, tội phạm mạng đã lợi dụng lỗ hổng này để phát tán phần mềm độc hại. Tuy nhiên, Ivanti trấn an rằng số lượng nạn nhân vẫn còn hạn chế. Theo cuộc điều tra của các nhà nghiên cứu tại Mandiant, một công ty con của Google, lỗ hổng này đã được sử dụng để phát tán bộ ba loại virus, cụ thể là Spawn, Dryhook và Phasejam, kể từ giữa tháng 12.
Hiện tại, Mandiant không thể liên kết lỗ hổng này với bất kỳ nhóm tin tặc cụ thể nào. Tuy nhiên, nghi ngờ đang đổ dồn vào hai nhóm gián điệp mạng do Trung Quốc tài trợ. Mandiant chỉ ra rằng "có khả năng nhiều tác nhân chịu trách nhiệm tạo và triển khai" các họ vi-rút khác nhau.
Trộm cắp dữ liệu
Mục tiêu của tin tặc dường như là đánh cắp cơ sở dữ liệu được lưu trữ trên thiết bị, thường chứa thông tin nhạy cảm như phiên VPN, cookie phiên, khóa API, chứng chỉ hoặc thông tin xác thực khác. Tên người dùng và mật khẩu cũng bị chặn và đánh cắp trong quá trình xác thực.
Trong quá trình này, Ivanti giải thích rằng họ đã phát hiện ra lỗ hổng thứ hai là lỗi bộ nhớ trong các công cụ VPN của mình. Ở mức độ nghiêm trọng cao, nó yêu cầu xác thực để sử dụng và chỉ cho phép nâng cao đặc quyền.
Ivanti nhấn mạnh rằng họ đã triển khai bản vá để đóng hai lỗ hổng bảo mật. Tuy nhiên, đối với bản vá dành cho các cổng Policy Secure và Neurons for ZTA (Zero Trust Access), sẽ cần phải đợi đến ngày 21 tháng 1 năm 2025. Đây không phải là lỗ hổng đầu tiên được xác định trong các sản phẩm Connect Secure của Ivanti. Vài tháng trước, Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA) đã bị tấn công thông qua lỗ hổng bảo mật trong các sản phẩm do Ivanti thiết kế. Cơ quan này đã quên cập nhật hai hệ thống bằng các bản vá.
Nguồn: Ivanti
