Các cơ quan an ninh mạng từ Úc, Anh và Mỹ hôm thứ Tư đã đưa ra một cảnh báo chung về việc khai thác tích cực các lỗ hổng Fortinet và Microsoft Exchange ProxyShell bởi các tổ chức được nhà nước Iran bảo trợ để có được quyền truy cập ban đầu vào các hệ thống dễ bị tấn công cho các hoạt động tiếp theo, bao gồm cả việc đánh cắp dữ liệu và ransomware.
Tác nhân đe dọa được cho là đã tận dụng nhiều lỗ hổng Fortinet FortiOS có từ tháng 3 năm 2021 cũng như một lỗ hổng thực thi mã từ xa ảnh hưởng đến Máy chủ Microsoft Exchange kể từ tháng 10 năm 2021, theo Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA), Liên bang. Cục Điều tra (FBI), Trung tâm An ninh mạng Úc (ACSC) và Trung tâm An ninh mạng Quốc gia của Vương quốc Anh (NCSC).
Các cơ quan đã không quy các hoạt động vào một tác nhân đe dọa dai dẳng nâng cao (APT) cụ thể.
Các nạn nhân được nhắm mục tiêu bao gồm các tổ chức của Úc và một loạt các tổ chức trên nhiều lĩnh vực cơ sở hạ tầng quan trọng của Hoa Kỳ, chẳng hạn như giao thông vận tải và chăm sóc sức khỏe. Dưới đây là danh sách các lỗ hổng đang được khai thác:
- CVE-2021-34473 (Điểm CVSS: 9,1) – Lỗ hổng thực thi mã từ xa của Microsoft Exchange Server (còn gọi là “ ProxyShell “)
- CVE-2020-12812 (Điểm CVSS: 9,8) – Bỏ qua FortiOS SSL VPN 2FA bằng cách thay đổi trường hợp tên người dùng
- CVE-2019-5591 (điểm CVSS: 6,5) – Cấu hình mặc định của FortiGate không xác minh danh tính máy chủ LDAP
- CVE-2018-13379 (Điểm CVSS: 9,8) – Rò rỉ tệp hệ thống FortiOS qua SSL VPN thông qua các yêu cầu tài nguyên HTTP được tạo đặc biệt
Bên cạnh việc khai thác lỗ hổng ProxyShell để truy cập vào các mạng dễ bị tấn công, CISA và FBI cho biết họ đã quan sát thấy đối thủ lạm dụng thiết bị Fortigate vào tháng 5 năm 2021 để giành chỗ đứng cho máy chủ web lưu trữ miền cho chính quyền thành phố Hoa Kỳ. Tháng sau, các tác nhân APT “đã khai thác một thiết bị Fortigate để truy cập vào mạng lưới kiểm soát môi trường liên kết với một bệnh viện có trụ sở tại Hoa Kỳ chuyên chăm sóc sức khỏe cho trẻ em”.
Đây là lần thứ hai chính phủ Hoa Kỳ cảnh báo về các nhóm mối đe dọa dai dẳng nâng cao nhắm mục tiêu vào các máy chủ Fortinet FortiOS bằng cách tận dụng CVE-2018-13379, CVE-2020-12812 và CVE-2019-5591 để xâm phạm hệ thống của chính phủ và các thực thể thương mại.
Để giảm thiểu, các cơ quan này khuyến nghị các tổ chức vá ngay phần mềm bị ảnh hưởng bởi các lỗ hổng nói trên, thực thi các quy trình sao lưu và khôi phục dữ liệu, thực hiện phân đoạn mạng, bảo mật tài khoản bằng xác thực đa yếu tố và vá các hệ điều hành, phần mềm và phần sụn khi cập nhật. được phát hành.
Theo THN & CEH VIETNAM
Trả lời