Lỗ hổng zero-day của Cisco bị tin tặc khai thác để xâm nhập mạng lưới chính phủ trên toàn thế giới

0
0

 - Cisco mới đây đưa ra cảnh báo rằng các tin tặc đã khai thác hai lỗ hổng zero-day trong tường lửa Adaptive Security Appliance (ASA) và Firepower Threat Defense (FTD) kể từ tháng 11/2023 để xâm nhập các hệ thống mạng của chính phủ trên toàn thế giới.

Các tin tặc, được Microsoft xác định là UAT4356 và STORM-1849, đã bắt đầu xâm nhập vào các thiết bị biên dễ bị tấn công vào đầu tháng 11 năm 2023 trong một chiến dịch gián điệp mạng được theo dõi dưới tên ArcaneDoor.

Mặc dù chưa xác định được điểm xâm nhập ban đầu, nhưng Cisco đã phát hiện và vá hai lỗ hổng bảo mật - CVE-2024-20353 (lỗ hổng từ chối dịch vụ) và CVE-2024-20359 (lỗ hổng thực thi mã cục bộ) - mà các tác nhân đe dọa khai thác dưới dạng zeroday trong các cuộc tấn công này.

Cisco biết đến chiến dịch ArcaneDoor vào đầu tháng 1 năm 2024 và tìm thấy bằng chứng cho thấy những kẻ tấn công đã tiến hành các hoạt động khai thác nhắm vào hai lỗ hổng zero-day này ít nhất kể từ tháng 7 năm 2023.

 

Bị khai thác để triển khai backdoor trên tường lửa của Cisco

Hai lỗ hổng này cho phép các tác nhân đe dọa triển khai phần mềm độc hại, chưa được biết trước đó, và duy trì quyền truy cập trên các thiết bị ASA và FTD bị xâm nhập. Một trong những phần mềm độc hại được lây nhiễm, Line Dancer, là công cụ tải shellcode trong bộ nhớ giúp phân phối và thực thi các payload shellcode tùy ý để vô hiệu hóa tính năng ghi nhật ký, cung cấp quyền truy cập từ xa và trích xuất dữ liệu.

Cũng được phát hiện là một backdoor có tên Line Runner, được thiết kế để vượt qua các biện pháp phòng thủ, tránh bị phát hiện và cho phép kẻ tấn công thực thi mã Lua tùy ý trên các hệ thống bị tấn công.

Cisco cho biết: “UAT4356 đã triển khai hai backdoor ‘Line Runner’ và ‘Line Dancer’ như một phần của chiến dịch này để thực hiện các hành động độc hại nhằm vào mục tiêu, bao gồm việc sửa đổi cấu hình, do thám, thu thập/lọc lưu lượng truy cập mạng và có khả năng lây lan tấn công sang các thiết bị/hệ thống khác trong mạng".

Theo tư vấn bảo mật chung của Trung tâm An ninh mạng quốc gia Anh, Canada và Úc, các tác nhân độc hại đã sử dụng quyền truy cập của họ để:

- Tạo phiên bản văn bản của tệp cấu hình của thiết bị để có thể trích xuất tệp đó thông qua các web request.

- Kiểm soát việc bật và tắt dịch vụ nhật ký hệ thống (syslog) của thiết bị.

- Sửa đổi cấu hình xác thực, ủy quyền và ghi log (audit) (AAA.

Cisco kêu gọi người dùng vá lỗ hổng ngay

Công ty đã phát hành các bản cập nhật bảo mật vào thứ Tư để khắc phục hai lỗ hổng zero-day và đang "đặc biệt khuyến cáo" tất cả người dùng nên nâng cấp thiết bị của họ lên phiên bản phần mềm đã được vá lỗi để ngăn chặn các cuộc tấn công tiềm ẩn.

Quản trị viên Cisco cũng nên giám sát nhật ký hệ thống để phát hiện mọi dấu hiệu khởi động lại đột xuất, thay đổi cấu hình trái phép hoặc hoạt động xác thực đáng ngờ.

Công ty cho biết thêm: “Bất kể nhà cung cấp thiết bị mạng của bạn là gì, hãy đảm bảo rằng các thiết bị được vá đúng cách, ghi log tập trung, được đặt an toàn và được định cấu hình xác thực đa yếu tố (MFA) mạnh mẽ”.

Cisco cũng cung cấp hướng dẫn về cách xác minh tính toàn vẹn của thiết bị ASA hoặc FTD trong tư vấn này. Người dùng nên nhanh chóng kiểm tra và áp dụng bản vá cho các thiết bị bị ảnh hưởng, đồng thời thực hiện theo các khuyến nghị của nhà cung cấp để đảm bảo giữ cho hệ thống của bạn được an toàn hoặc giảm thiểu rủi ro trong trường hợp tấn công đã xảy ra.

PV (theo bleepingcomputer.com/tinnhiemmang.vn)


Ý kiến bạn đọc


Đẩy mạnh phát triển KH-CN và nguồn nhân lực chất lượng cao

(VnMedia) - Một trong 10 nhiệm vụ về tiếp tục đẩy mạnh công nghiệp hóa, hiện đại hóa đất nước đến năm 2030, tầm nhìn đến năm 2045 được Chính phủ đặt ra là phát triển KH-CN, đổi mới sáng tạo và nguồn nhân lực chất lượng cao…

Tin tặc đang sử dụng bản vá CrowdStrike giả mạo để phát tán mã độc

(VnMedia) - Những kẻ tấn công đang lợi dụng sự gián đoạn kinh doanh nghiêm trọng do bản cập nhật lỗi của CrowdStrike vào thứ sáu vừa qua để nhắm vào các công ty.

Cảnh báo mạo danh cán bộ Bảo hiểm xã hội để lừa đảo chiếm đoạt tài sản

(VnMedia) - Công an tỉnh Quảng Ninh mới đây đã thông tin cảnh báo mạo danh cán bộ cơ quan Bảo hiểm xã hội yêu cầu đồng bộ dữ liệu căn cước công dân để chiếm đoạt tài sản.

Thiệt hại từ sự cố ngừng máy tính toàn cầu có thể lên tới 1 tỷ USD

(VnMedia) - Công ty an ninh mạng CrowdStrike đứng đằng sau vụ ngừng hoạt động công nghệ toàn cầu gây tê liệt hàng loạt hệ thống vào cuối tuần qua. Nhưng việc tìm ra ai sẽ trả những khoản bồi thường cho những thiệt hại đó có thể mất nhiều thời gian hơn.

Thứ trưởng Bộ Công an: Cấm tuyệt đối nồng độ cồn nhằm giảm thiểu tai nạn xảy ra

(VnMedia) - Sáng 22/7, Văn phòng Chủ tịch nước đã tổ chức họp báo Công bố Lệnh của Chủ tịch nước công bố các luật đã được Quốc hội khóa XV thông qua tại kỳ họp thứ 7, trong đó có Luật Trật tự, an toàn giao thông đường bộ.