“Chúng tôi vẫn đang chủ động theo dõi hoạt động của những kẻ đang tìm cách khai thác lỗ hổng bảo mật và tại thời điểm này chúng tôi chưa nhận thấy việc lợi dụng lỗ hổng Log4Shell trong các vụ xâm nhập lớn”, Jen Easterly (giám đốc CISA) cho biết tại một cuộc họp báo.
“Kẻ xấu có thể đang sử dụng lỗ hổng này để có được quyền truy cập liên tục mà chúng có thể sử dụng trong tương lai, đó là lý do tại sao chúng tôi rất tập trung vào việc khắc phục lỗ hổng trên toàn quốc và đảm bảo rằng chúng tôi có thể phát hiện bất kỳ hành vi xâm nhập nào phát sinh”. Tuy vậy, Eric Goldstein, trợ lý giám đốc điều hành về an ninh mạng của CISA cho biết thêm: “Chúng tôi đang quan sát thấy sự thịnh hành của các hoạt động có mức ảnh hưởng thấp, có thể kể đến như cài đặt phần mềm đào tiền ảo hay cài đặt các mã độc có thể sử dụng trong mạng lưới botnet”.
CISA đã đóng vai trò dẫn đầu trong việc giúp các cơ quan liên bang Mỹ và khu vực tư nhân quản lý mối đe dọa lan rộng của lỗ hổng Log4Shell, lỗ hổng đầu tiên trong bốn được phát hiện trong phần mềm Log4j, vốn được triển khai trên hàng trăm triệu máy chủ trên toàn thế giới. Trong một phản ứng tức thời, CISA đã thêm lỗ hổng này vào danh mục các điểm yếu đã biết đang bị khai thác (known exploited vulnerabilities). Bằng cách đó, CISA đã kích hoạt chỉ thị hoạt động bắt buộc được ban hành vào tháng 11/2021, trong đó yêu cầu tất cả các cơ quan dân sự khẩn trương vá hệ thống của họ ngay khi có bản vá. Tuy nhiên, CISA nhanh chóng nhận ra rằng chỉ thị hoạt động cần được tiếp tục hoàn thiện và ưu tiên các bước giải quyết và khắc phục lỗ hổng cho các tài sản công nghệ trong trường hợp các bản vá không có sẵn.
CISA đã thiết lập một danh mục công khai để nhận các báo cáo miêu tả chi tiết các sản phẩm có chứa tiềm ẩn, cho đến nay đã có hơn 2.800 báo cáo được gửi đến. Ngoài ra, thông qua – một nền tảng chia sẻ thông tin các lỗ hổng bảo mật, các nhà nghiên cứu bảo mật đã tìm thấy 17 sản phẩm chưa được xác định trước đó có thể bị tấn công bằng lỗ hổng Log4Shell, tất cả đều đã được khắc phục trước khi xảy ra bất kỳ sự xâm nhập nào.
Mặc dù các khuyến nghị của CISA giới hạn với các cơ quan trong chính phủ liên bang Mỹ, nó cũng gửi một tín hiệu mạnh mẽ tới tất cả các tổ chức trong việc xử lý lỗ hổng Log4j. Điểm quan trọng nhất trong thông điệp này là làm các tổ chức hiểu và ưu tiên việc nắm bắt các thành phần và thư viện có chứa điểm yếu bảo mật nằm trong hệ thống của họ, thông qua việc sử dụng BoM phần mềm (software bill of metarials - SBOM). SBOM là thứ không thể thiếu của một tổ chức, nó giúp các tổ chức dễ dàng kiểm tra xem liệu họ có bị ảnh hưởng bởi một điểm yếu bảo mật cụ thể hay không để đưa ra quyết định khắc phục nhanh chóng.
Một sự hạn chế mà CISA gặp phải khi giúp đỡ các tổ chức phi chính phủ là không có bất cứ một quy tắc nào yêu cầu các tổ chức bắt buộc phải báo cáo các sự cố , khiến cho cơ quan có phần mông lung trong việc phát hiện các sự cố liên quan đến Log4j. Vào tháng 12/2021, các tiêu chuẩn về báo cáo sự cố ANTT đã được đưa vào phiên bản thỏa hiệp của Đạo luật Ủy quyền Quốc phòng Quốc gia nhưng đã bị rút lại vào phút cuối.
“Chúng tôi chưa tìm thấy vụ xâm nhập nào đáng kể, nhưng cũng không có vụ xâm nhập nào được báo cáo tới chúng tôi. Chúng tôi lo ngại rằng kẻ xấu sẽ sớm bắt đầu lợi dụng lỗ hổng này, đặc biệt khi nó có tác động đến cơ sở hạ tầng quan trọng. Do hiện tại không có luật nào bắt buộc việc báo cáo sự cố ANTT, chúng tôi có thể sẽ không biết về nó”, Jen Easterly cho biết.
Mặc dù có tin đồn về một cuộc tấn công ransomware đã khai thác lỗ hổng Log4j nhằm vào Bộ Quốc phòng Bỉ vào cuối tháng 12/2021, Goldstein cho biết “Chúng tôi không có xác nhận nào về các vụ xâm nhập ransomware mà Log4Shell đã được sử dụng làm lỗ hổng bắt nguồn cho vụ xâm nhập”. “Ngày nay, chúng ta biết rằng nhiều vụ xâm nhập ransomware không được báo cáo cho chính phủ Hoa Kỳ ngay từ ban đầu. Còn những vụ việc được báo cáo thì thường không được gửi kèm theo thông tin kỹ thuật hữu ích để hiểu được lỗ hổng bảo mật nào đã được kẻ xấu lợi dụng cho vụ xâm nhập. Tuy nhiên, một trong những điều tôi quan sát được và cảm thấy rất đáng lưu tâm là các cuộc tấn công ransomware hiện nay đang chọn mục tiêu là bệnh viện và các cơ sở y tế, chúng tôi đang theo dõi sát sao vấn đề này”.
Các hệ thống điều khiển công nghiệp là một mối quan tâm đặc biệt mà CISA đang tìm cách giải quyết trong cuộc khủng hoảng này. Goldstein cho biết: “Đối với CISA, ngoài các nhiệm vụ đối với US-CERT (The United States Computer Emergency Readiness Team), chúng tôi cũng đảm nhận nhiệm vụ của ICS-CERT (Industrial Control System Cyber Emergency Response Team). Chúng tôi sở hữu một lượng chuyên môn lớn trong lĩnh vực này. Chiếm một phần lớn trong công việc của chúng tôi bao gồm làm việc với hàng trăm nhà cung cấp các thành phần trong hệ thống điều khiển công nghiệp để xác định xem các sản phẩm của họ có chứa lỗ hổng bảo mật hay không và phối hợp giao tiếp với các khách hàng của họ để thực hiện các tác vụ cần thiết. Các vùng mạng vận hành các hạ tầng công nghệ quan trọng của các tổ chức nên được ngắt hoàn toàn khỏi Internet để được bảo vệ tốt nhất trước các cuộc xâm nhập sử dụng lỗ hổng Log4j. Các tài sản này không nên được public trên Internet nhằm mục đích quản trị các hệ thống ứng dụng trong hầu hết các trường hợp. Tập trung vào việc loại bỏ bề mặt tấn công của kẻ xấu sẽ giúp làm giảm đáng kể rủi ro mà lỗ hổng này đem lại”.
Ngày 24/11/2021, một nhà nghiên cứu làm việc tại công ty điện toán đám mây của Alibaba, đã thông báo cho Apache Foundation (tổ chức quản lý nền tảng ghi log của Java) về sự tồn tại của lỗ hổng. Trước khi Apache có thể phát hành bản vá, nhà nghiên cứu đã cảnh báo cho họ rằng người dùng Trung Quốc hiện đang thảo luận về nó, điều đó cho thấy tin tặc có thể đang cố gắng khai thác nó trước khi nó được công khai.
Sau đó, chính phủ Trung Quốc đã đình chỉ hợp đồng với công ty điện toán đám mây của Alibaba, với lý do được cho là không báo cáo về lỗi của phần mềm Log4j cho Bắc Kinh kịp thời. Goldstein nói rằng, CISA không thể xác nhận độc lập các báo cáo này, cũng như không thể xác nhận độc lập bất kỳ tương tác nào giữa chính phủ Trung Quốc và nhà nghiên cứu nói trên.
Đăng Thứ
17:00 | 17/11/2021
16:00 | 16/12/2021
07:00 | 12/04/2022
18:00 | 22/07/2021
10:00 | 24/04/2024
Một nhóm tin tặc được cho là từ Việt Nam đang nhắm mục tiêu vào các tổ chức tài chính ở châu Á để đánh cắp các dữ liệu tài chính.
09:00 | 19/04/2024
Theo nhận định của Cục An toàn thông tin (Bộ Thông tin và Truyền thông), trong thời gian gần đây các chiêu trò lừa đảo trực tuyến ngày càng gia tăng với các hình thức tinh vi hơn. Điều này khiến cho nhiều người dân khó nhận biết để phòng tránh nguy cơ mất an toàn thông tin.
08:00 | 21/03/2024
Phần mềm độc hại mới trên Linux có tên là GTPDOOR được thiết kế để nhắm mục tiêu vào các mạng viễn thông dựa trên khai thác giao thức đường hầm trên GPRS (GPRS Tunneling Protocol-GTP) để thực thi câu lệnh và điều khiển (C2).
14:00 | 19/12/2023
Một lỗi bảo mật Bluetooth nghiêm trọng được cho là đã tồn tại trong vài năm gần đây có thể bị tin tặc khai thác để chiếm quyền kiểm soát trên các thiết bị Android, Linux, macOS và iOS.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Lợi dụng lỗ hổng CVE-2024-27956 (có điểm 9,9) trong plugin WP Automatic của WordPress, tin tặc có thể tấn công hơn 30.000 trang web bằng cách tạo tài khoản người dùng với đặc quyền quản trị và cài đặt backdoor để truy cập lâu dài.
10:00 | 13/05/2024
