Cảnh báo hai lỗ hổng zero-day trên các thiết bị của Cisco nhằm phát tán phần mềm độc hại

08:00 | 04/05/2024 | HACKER / MALWARE

Mới đây, Cisco cảnh báo rằng một nhóm tin tặc được nhà nước bảo trợ đã khai thác hai lỗ hổng zero-day trong tường lửa Adaptive Security Appliance (ASA) và Firepower Threat Defense (FTD) kể từ tháng 11/2023 để cài đặt phần mềm độc hại trên các hệ thống mạng viễn thông và năng lượng bị ảnh hưởng tại nhiều quốc gia.

Cảnh báo hai lỗ hổng zero-day trên các thiết bị của Cisco nhằm phát tán phần mềm độc hại

Lỗ hổng zero-day bị khai thác

Chiến dịch tấn công mạng này có tên là ArcaneDoor, các tin tặc đã khai thác hai lỗ hổng bảo mật bao gồm CVE-2024-20353 (lỗ hổng từ chối dịch vụ) và CVE-2024-20359 (lỗ hổng thực thi mã), cho phép các tác nhân đe dọa triển khai phần mềm độc hại và duy trì sự tồn tại trên các thiết bị ASA và FTD bị xâm nhập.

Theo đó, những kẻ tấn công đang đã nhắm vào các lỗi phần mềm trong một số thiết bị chạy các sản phẩm ASA và FTD để phát tán phần mềm độc hại, từ đó để thực thi lệnh và có khả năng đánh cắp dữ liệu từ các thiết bị bị xâm nhập.

Cisco biết đến chiến dịch ArcaneDoor vào đầu tháng 01/2024 và tìm thấy bằng chứng cho thấy những kẻ tấn công đã thử nghiệm và phát triển các hoạt động khai thác nhằm nhắm vào hai lỗ hổng zero-day ít nhất kể từ tháng 7/2023.

Một trong những phần mềm độc hại được sử dụng là Line Dancer, đây là trình tải shellcode trong bộ nhớ giúp phân phối và thực thi các payload shellcode tùy ý để vô hiệu hóa tính năng ghi nhật ký, cung cấp quyền truy cập từ xa và lọc các gói tin đã thu thập được.

Phần mềm độc hại thứ hai là backdoor Line Runner với nhiều kỹ thuật che dấu để tránh bị phát hiện bởi các giải pháp bảo mật, đồng thời cho phép kẻ tấn công chạy mã Lua tùy ý trên các hệ thống bị tấn công.

Cisco cho biết: “Các tin tặc đã sử dụng các công cụ độc hại riêng biệt để tập trung vào hoạt động gián điệp, điều này có thể là dấu hiệu của một tác nhân tinh vi được nhà nước bảo trợ. Hai phần mềm độc hại bao gồm Line Runner và Line Dancer, được sử dụng chung để thực hiện các hành động độc hại nhằm vào mục tiêu, bao gồm sửa đổi cấu hình, trinh sát, thu thập/lọc thông tin lưu lượng truy cập mạng và có khả năng di chuyển ngang hàng trong hệ thống”.

Một khuyến cáo chung được công bố mới nhất bởi Trung tâm An ninh mạng quốc gia Vương quốc Anh (NCSC), Trung tâm An ninh mạng Canada và Trung tâm An ninh mạng Úc cho biết các tác nhân độc hại đã sử dụng quyền truy cập của họ để thực hiện các mục tiêu sau:

- Tạo phiên bản của tệp cấu hình trên thiết bị để có thể lọc tệp đó.

- Kiểm soát việc bật và tắt dịch vụ nhật ký hệ thống của thiết bị để làm xáo trộn các lệnh bổ sung.

- Sửa đổi cấu hình xác thực, ủy quyền và kiểm toán (AAA) để các thiết bị do các tin tặc kiểm soát phù hợp với định danh có thể được cấp quyền truy cập trên môi trường bị ảnh hưởng.

Khuyến nghị cập nhật bản vá

Cisco đã phát hành các bản cập nhật bảo mật để khắc phục hai lỗ hổng zero-day và khuyến cáo tất cả khách hàng nên nâng cấp thiết bị của họ lên phần mềm đã được vá để ngăn chặn các cuộc tấn công tiềm tàng.

Quản trị viên Cisco cũng được khuyến khích giám sát nhật ký hệ thống để phát hiện mọi dấu hiệu khởi động lại bất thường, thay đổi cấu hình trái phép hoặc các hoạt động xác thực đáng ngờ.

Đầu tháng 4/2024, Cisco đã cảnh báo về các cuộc tấn công Brute Force quy mô lớn nhắm vào các dịch vụ VPN và SSH trên các thiết bị Cisco, CheckPoint, Fortinet, SonicWall và Ubiquiti trên toàn thế giới.

Trước đó vào tháng 3/2024, công ty cũng chia sẻ hướng dẫn về cách giảm thiểu các cuộc tấn công Password Spray nhắm mục tiêu vào các dịch vụ VPN truy cập từ xa (RAVPN) được cấu hình trên các thiết bị tường lửa Cisco Secure Firewall.

Hải Yến

(Tổng hợp)

‹ › ×

Tin liên quan

Cisco đổi mới phương thức bảo mật cho các trung tâm dữ liệu và đám mây

15:00 | 23/04/2024

Mới đây, Cisco đã giới thiệu phương thức tiếp cận mới "Cisco Hypershield" để bảo mật các trung tâm dữ liệu và đám mây. Với phương thức tiếp cận mới này khách hàng có thể triển khai bảo mật ở bất kỳ nơi nào họ cần - trên đám mây, trong trung tâm dữ liệu, trên sàn nhà máy, hoặc phòng chụp chẩn đoán hình ảnh tại bệnh viện.

Lỗ hổng nghiêm trọng trong Cisco Firepower Management Center cho phép tin tặc truy cập quyền root

15:00 | 28/05/2024

Cisco đã phát hành một cảnh báo về một lỗ hổng nghiêm trọng trong phần mềm Firepower Management Center (FMC – quản lý tập trung để giám sát các thiết bị) của hãng. Lỗ hổng có mã định danh là CVE-2024-20360 với điểm số CVSS là 8.8.

Lỗ hổng zero-day QNAP QTS trong tính năng Chia sẻ bị khai thác RCE công khai

16:00 | 20/06/2024

Một cuộc kiểm tra bảo mật mở rộng đối với QNAP QTS - hệ điều hành dành cho các sản phẩm NAS đã phát hiện 15 lỗ hổng với các mức độ nghiêm trọng khác nhau, trong đó có 11 lỗ hổng vẫn chưa được vá.

Cảnh báo lỗ hổng bảo mật Tunnelvision trên dịch vụ VPN

07:00 | 24/05/2024

Hai nhà nghiên cứu Dani Cronce và Lizzie Moratti tới từ Công ty an ninh mạng Leviathan Security (Mỹ) đã phát hiện một lỗ hổng bảo mật có tên là TunnelVision, ảnh hưởng đến tất cả dịch vụ VPN dựa trên định tuyến bằng cách khai thác các điểm yếu trong cấu hình mạng cục bộ.

5 cách nâng cao bảo mật khi sử dụng trình duyệt Chrome

14:00 | 23/05/2024

Trình duyệt Chrome đang được rất nhiều người tin dùng bởi độ ổn định và khả năng bảo mật. Tuy nhiên, sự phổ biến này cũng khiến nó trở thành mục tiêu của tin tặc.

Cisco cảnh báo các cuộc tấn công password spray nhắm vào các dịch vụ VPN

16:00 | 15/04/2024

Cisco đã chia sẻ một bộ hướng dẫn dành cho khách hàng nhằm giảm thiểu các cuộc tấn công password spray đang nhắm mục tiêu vào các dịch vụ VPN truy cập từ xa (RAVPN) được cấu hình trên các thiết bị tường lửa bảo mật của Cisco.

Cisco cảnh báo về lỗ hổng zero-day trong hệ điều hành NX-OS

14:00 | 08/07/2024

Cisco đã vá lỗ hổng zero-day trong hệ điều hành NX-OS bị khai thác trong các cuộc tấn công vào tháng 4/2024 để cài đặt phần mềm độc hại với quyền root trên các thiết bị chuyển mạch (switch) dễ bị tấn công.

Cảnh báo nhiều lỗ hổng bảo mật thông tin cá nhân trong thời đại chuyển đổi số

10:00 | 13/05/2024

Trong thời đại công nghệ số hiện nay, lỗ hổng bảo mật là một trong những nguyên nhân hàng đầu dẫn đến các cuộc tấn công mạng. Do đó, việc nâng cao hiểu biết và nhận thức về các mối đe dọa mạng ngày càng cần thiết. Việt Nam là một trong những quốc gia có tốc độ phát triển và ứng dụng Internet cao thế giới, thế nhưng vấn đề bảo vệ dữ liệu cá nhân vẫn còn gặp nhiều bất cập trong xu thế toàn cầu hóa về chuyển đổi số. Bài báo sẽ thông tin tới độc giả thực trạng mối đe dọa về lỗ hổng bảo mật; một số lỗ hổng phổ biến; phương thức, thủ đoạn khai thác, nguyên nhân xuất hiện lỗ hổng bảo mật, từ đó đưa ra những giải pháp phòng chống và ngăn chặn.

Lỗ hổng trong BIG-IP Next Central Manager cho phép tin tặc kiểm soát thiết bị

11:00 | 29/05/2024

Công ty toàn cầu chuyên về dịch vụ ứng dụng, mạng và phân phối ứng dụng F5 (Washington) đã vá hai lỗ hổng có độ nghiêm trọng mức cao trong BIG-IP Next Central Manager, có thể bị khai thác để giành quyền kiểm soát của quản trị viên và lén lút tạo tài khoản trên bất kỳ thiết bị nào được quản lý.

Cảnh báo của CISA: Phần mềm ransomware Akira khai thác lỗ hổng Cisco ASA/FTD

09:00 | 04/03/2024

Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) ngày 15/2 vừa qua đã bổ sung một lỗ hổng bảo mật hiện ảnh hưởng đến phần mềm thiết bị bảo mật thích ứng Cisco (Cisco Adaptive Security Appliance - ASA) và phần mềm phòng chống mối đe dọa hỏa lực (Firepower Threat Defense - FTD) vào danh mục Các lỗ hổng bị khai thác đã biết (KEV). Lỗ hổng này cũng có khả năng bị khai thác trong các cuộc tấn công ransomware của Akira.

Tin cùng chuyên mục

Kỹ thuật tấn công mạng vào các hệ thống định vị vệ tinh

16:00 | 19/09/2024

Hệ thống định vị vệ tinh toàn cầu (Global Navigation Satellite System - GNSS) là hệ thống xác định vị trí dựa trên vị trí của các vệ tinh nhân tạo, do Bộ Quốc phòng Hoa Kỳ thiết kế, xây dựng, vận hành và quản lý. Hệ thống GNSS ban đầu được dùng trong mục đích quân sự nhưng sau những năm 1980, Chính phủ Hoa Kỳ cho phép sử dụng GNSS vào mục đích dân sự ở phạm vi toàn cầu. Chính vì việc mở rộng phạm vi sử dụng nên đã dẫn đến các nguy cơ mất an toàn thông tin (ATTT) cho các hệ thống này. Bài báo sau đây sẽ giới thiệu các kỹ thuật tấn công mạng vào các hệ thống định vị toàn cầu.

Tin tặc Trung Quốc khai thác lỗ hổng để xâm nhập vào các công ty Internet

14:00 | 05/09/2024

Công ty an ninh mạng Lumen Technologies (Mỹ) cho biết, một nhóm tin tặc Trung Quốc đã khai thác một lỗ hổng phần mềm để xâm nhập vào một số công ty Internet tại Hoa Kỳ và nước ngoài.

Công ty dịch vụ dầu khí hàng đầu Mỹ Halliburton bị tấn công mạng

13:00 | 28/08/2024

Ngày 21/8, công ty dịch vụ dầu khí hàng dầu Mỹ Halliburton bị tấn công mạng, gây ảnh hưởng tới hoạt động kinh doanh và một số mạng kết nối toàn cầu.

Nhóm tin tặc APT17 nhắm mục tiêu vào các công ty Ý bằng phần mềm độc hại 9002 RAT

14:00 | 30/07/2024

Một nhóm tin tặc có liên quan đến Trung Quốc có tên là APT17 đã được phát hiện nhắm mục tiêu vào các công ty và tổ chức của Chính phủ Ý bằng cách sử dụng một biến thể của phần mềm độc hại đã biết có tên là 9002 RAT.