Các lỗ hổng bảo mật được công bố và sự kiện an ninh mạng đáng chú ý trong tháng 10

I. Các lỗ hổng bảo mật được công bố trong tháng 10

1. Microsoft 

Trong tháng 10 năm 2024, Microsoft đã công bố các bản cập nhật bảo mật cho 118 lỗ hổng, trong đó 5 lỗ hổng zero-day được công khai, 2 trong số này đang bị khai thác tích cực. Bản vá lỗi lần này đã khắc phục 3 lỗ hổng nghiêm trọng, tất cả các lỗi thực thi mã từ xa.

Số lượng lỗi trong từng loại lỗ hổng được liệt kê dưới đây:

• 28 lỗ hổng đặc quyền nâng cao
• 7 lỗ hổng bỏ qua tính năng bảo mật
• 43 lỗ hổng thực thi mã từ xa
• 6 lỗ hổng tiết lộ thông tin
• 26 lỗ hổng từ chối dịch vụ
• 7 lỗ hổng giả mạo

Số lượng này không bao gồm ba lỗ hổng Edge đã được khắc phục trước đó vào ngày 3 tháng 10.

Trong bản vá lỗi tháng này, Microsoft đã sửa chữa 5 lỗ hổng zero-day, bao gồm 2 lỗ hổng đang bị khai thác tích cực và cả 5 lỗ hổng đều đã được công bố công khai. Những lỗ hổng này ảnh hưởng đến các thành phần cốt lõi của hệ điều hành Windows, và nếu không được vá kịp thời, chúng có thể dẫn đến thực thi mã từ xa, bypass các biện pháp bảo mật, hoặc tăng đặc quyền cho kẻ tấn công, gây ra những rủi ro nghiêm trọng cho các hệ thống và doanh nghiệp.

Hai lỗ hổng zero-day đang bị khai thác bao gồm:

• CVE-2024-43573 - Lỗ hổng giả mạo nền tảng Windows MSHTML: Đây là lỗ hổng giả mạo liên quan đến nền tảng MSHTML, một phần của Internet Explorer và Microsoft Edge cũ, dù các ứng dụng này đã bị ngừng hỗ trợ nhưng MSHTML vẫn còn được sử dụng rộng rãi, đặc biệt trong chế độ Internet Explorer Mode của Microsoft Edge và qua WebBrowser control trong các ứng dụng khác. Lỗ hổng này có thể bị khai thác để giả mạo cảnh báo tệp, có khả năng đánh lừa người dùng về định dạng hoặc tính hợp lệ của các tệp tin. Một lỗ hổng tương tự trước đó đã lợi dụng ký tự Braille để giả mạo tệp PDF, nhưng hiện tại Microsoft chưa tiết lộ nhiều chi tiết cụ thể về cách thức khai thác CVE-2024-43573.
• CVE-2024-43572 - Lỗ hổng thực thi mã từ xa trong Bảng điều khiển quản lý Microsoft: Lỗ hổng thực thi mã từ xa trong Microsoft Management Console (MMC). Lỗ hổng này cho phép các tệp Microsoft Saved Console (MSC) độc hại thực thi mã từ xa khi được mở trên hệ thống. Microsoft đã xử lý lỗ hổng bằng cách ngăn không cho các tệp MSC không đáng tin cậy được mở, giúp bảo vệ người dùng khỏi nguy cơ từ các tệp MSC giả mạo có thể bị lợi dụng để kiểm soát hệ thống từ xa.

Ngoài hai lỗ hổng đang bị khai thác, Microsoft còn vá ba lỗ hổng đã được công khai nhưng chưa có bằng chứng bị khai thác:

• CVE-2024-6197 - Lỗ hổng thực thi mã từ xa Curl mã nguồn mở: Đây là một lỗ hổng thực thi mã từ xa trong libcurl, một thư viện mã nguồn mở được tích hợp trong Windows. Lỗi này có thể xảy ra khi Curl kết nối với một máy chủ độc hại cung cấp chứng chỉ TLS được thiết kế đặc biệt để lợi dụng lỗi trong quá trình xử lý chứng chỉ. Microsoft đã vá lỗi này bằng cách cập nhật libcurl được sử dụng bởi Curl trong hệ thống Windows, giảm nguy cơ từ các cuộc tấn công qua kết nối TLS.
• CVE-2024-20659 - Lỗ hổng vượt qua tính năng bảo mật Windows Hyper-V: Lỗ hổng bypass tính năng bảo mật UEFI trong Hyper-V. Lỗi này liên quan đến việc bỏ qua các biện pháp bảo mật UEFI trên các máy chủ chạy Hyper-V, có thể dẫn đến việc chiếm đoạt hypervisor và kernel bảo mật. Tuy nhiên, kẻ tấn công cần có quyền truy cập vật lý và phải khởi động lại máy để khai thác lỗ hổng này. Điều này khiến CVE-2024-20659 ít có khả năng bị khai thác từ xa, nhưng vẫn là mối đe dọa lớn trong các môi trường máy chủ và ảo hóa nếu không được vá kịp thời.
• CVE-2024-43583 - Độ cao lỗ hổng đặc quyền của Winlogon: Lỗ hổng tăng đặc quyền trong Winlogon, có thể cho phép kẻ tấn công đạt được quyền SYSTEM – quyền cao nhất trên hệ điều hành Windows. Để bảo vệ hệ thống khỏi lỗ hổng này, Microsoft khuyến cáo các quản trị viên cần đảm bảo rằng họ đang sử dụng bộ gõ (IME) của Microsoft trong quá trình đăng nhập, thay vì sử dụng bộ gõ của bên thứ ba (3P), nhằm tránh nguy cơ bị lợi dụng qua các bộ gõ không an toàn.

Một số cập nhật gần đây từ các công ty khác:

• Cisco phát hành các bản cập nhật bảo mật cho nhiều sản phẩm: Cisco Meraki MX và Z Series Teleworker Gateway, Cisco Nexus Dashboard và routers.
• DrayTek đã phát hành bản cập nhật bảo mật cho 14 lỗ hổng trong các mẫu bộ định tuyến khác nhau.
• Fortinet sửa bốn lỗ hổng trong các phần sụn khác nhau, không có lỗ hổng nào được báo cáo là bị khai thác tích cực.
• Ivanti đã phát hành bản cập nhật bảo mật cho ba lỗ hổng zero-day bị tấn công tích cực.
• Optigo Networks đã phát hành bản cập nhật bảo mật cho hai lỗ hổng trong các sản phẩm Chuyển mạch tổng hợp ONS-S8 của mình.
• Qualcomm đã phát hành bản vá bảo mật cho lỗ hổng zero-day trong dịch vụ Bộ xử lý tín hiệu số (DSP).
• SAP phát hành bản cập nhật bảo mật cho nhiều sản phẩm trong khuôn khổ Ngày vá lỗi tháng 10.

FPT Cloud khuyến cáo người dùng nào đã và đang sử dụng các sản phẩm của Microsoft mà có khả năng nằm trong các phiên bản chứa lỗ hổng trên thì nên thực hiện theo khuyến nghị của Microsoft để tránh bị nhắm tới trong các cuộc tấn công mạng. 

Danh sách dưới đây liệt kê 3 lỗ hổng đã có bản vá trong tháng 10 được đánh giá ở mức độ nghiêm trọng:

2. Linux

Trong tháng 10 này thì Linux cũng đưa ra các công bố về lỗ hổng, trong đó một số lỗ hổng đáng chú ý đến:

CVE-2024-47176 - Lỗ hổng trong cups-browsed dẫn đến thực thi mã từ xa (RCE): Lỗ hổng này ảnh hưởng đến thành phần cups-browsed, một thành phần chịu trách nhiệm khám phá và kết nối tự động với các dịch vụ máy in qua mạng. Trong các phiên bản trước 2.0.1, cups-browsed lắng nghe trên cổng UDP 631 với địa chỉ INADDR_ANY, cho phép bất kỳ gói tin nào từ bất kỳ địa chỉ IP nào được xử lý mà không cần xác thực. Kẻ tấn công có thể gửi gói tin IPP độc hại đến cổng 631, và khi quá trình in ấn được kích hoạt, hệ thống sẽ thực thi mã độc của kẻ tấn công.

• Kẻ tấn công gửi gói tin UDP đến cổng 631, nơi cups-browsed đang lắng nghe.
• Gói tin này chứa một yêu cầu IPP (Internet Printing Protocol) chỉ định một URL do kẻ tấn công kiểm soát, yêu cầu hệ thống truy cập URL đó để lấy thông tin về máy in.
• Khi hệ thống in khởi động quá trình in ấn từ máy in được thiết lập bởi URL độc hại, dữ liệu nhận từ URL này sẽ được sử dụng mà không qua kiểm tra an toàn, dẫn đến việc chiếm quyền điều khiển hệ thống từ xa.

CVE-2024-47668 - Một lỗ hổng đã được phát hiện trong kernel Linux, cụ thể là trong tệp lib/generic-radix-tree.c. Lỗi này xảy ra trong hàm __genradix_ptr_alloc(), nơi có thể xảy ra một tình huống race condition hiếm gặp khi tăng độ sâu của cây. Nếu một luồng cấp phát một nút mới trong khi một luồng khác đã tăng độ sâu cây, một nút được cấp phát trước đó có thể bị sử dụng sai, dẫn đến việc nút không phải gốc chứa một con trỏ tới gốc cũ thay vì được zero hóa đúng cách. Lỗ hổng này chủ yếu ảnh hưởng đến tính khả dụng của hệ thống, có thể dẫn đến sự không ổn định hoặc treo máy do quản lý bộ nhớ không đúng cách trong kernel. Điểm CVSS v3 cho thấy tác động cao về khả dụng, với điểm số cơ bản là 5.5, xếp vào loại lỗ hổng mức độ trung bình.

Một bản vá đã được phát hành để khắc phục lỗ hổng này, bao gồm việc zero hóa nút được cấp phát trong đường dẫn lỗi cmpxchg. Bản vá có thể được truy cập qua hệ thống Red Hat Bugzilla (bugzilla.redhat.com).

FPT Cloud khuyến cáo người dùng nếu đang sử dụng các phiên bản ứng dụng bị ảnh hưởng bởi các lỗ hổng trên thì nhanh chóng nâng cấp lên các bản vá mới nhất.

• Chi tiết về các lỗ hổng có thể xem tại ĐÂY.

3. VMWare

VMware vá lỗ hổng make-me-root từ xa trong vCenter Server, Cloud Foundation: Broadcom đã phát hành một cặp bản vá cho các lỗ hổng trong VMware vCenter Server mà kẻ gian có quyền truy cập mạng vào phần mềm có thể khai thác để chiếm đoạt hoàn toàn hệ thống. Điều này cũng ảnh hưởng đến Cloud Foundation.

• CVE-2024-38812 là lỗ hổng tràn heap trong hệ thống Distributed Computing Environment/Remote Procedure Calls (DCERPC) có thể bị khai thác qua mạng để thực thi mã từ xa trên các hệ thống chưa vá. Làm hỏng heap có thể cho phép kẻ tấn công thực thi mã tùy ý trên hệ thống. Broadcom đánh giá đây là bản sửa lỗi nghiêm trọng và có điểm CVSS là 9,8 trên 10.
• CVE-2024-38813 là lỗ hổng leo thang đặc quyền được xếp hạng điểm CVSS là 7,5 và được Broadcom thuộc sở hữu của VMware đánh giá là quan trọng. Một người có quyền truy cập mạng vào phần mềm dễ bị tấn công của VMware có thể khai thác lỗ hổng này để giành được quyền root trên hệ thống. Chúng ta có thể tưởng tượng một kẻ gian có quyền truy cập mạng bằng cách sử dụng CVE-2024-38812 để thực thi mã trên hộp, sau đó sử dụng CVE-2024-38813 để tăng quyền kiểm soát hành chính. Kịch bản này không được nêu rõ trong khuyến cáo mặc dù Broadcom đã chọn ghép các lỗi lại với nhau trong khuyến cáo ngày hôm nay và FAQ .

Phiên bản 7 và 8 của vCenter Server và phiên bản 4 và 5 của VMware Cloud Foundation đang gặp rủi ro và Broadcom cảnh báo rằng không có giải pháp thực tế nào cho những lỗi này.

Những lỗi này được giải quyết trong vCenter Server phiên bản 8.0 U3b và 7.0 U3s, và Cloud Foundation với các bản vá lỗi không đồng bộ cho 8.0 U3b và 7.0 U3s.

FPT Cloud khuyến cáo người dùng nếu đang sử dụng các phiên bản ứng dụng bị ảnh hưởng bởi các lỗ hổng trên thì nhanh chóng nâng cấp lên các bản vá mới nhất.

• Chi tiết về các bản vá có thể xem tại ĐÂY

II. Một số sự kiện an ninh mạng đáng chú ý

1. Biến thể Linux phần mềm độc hại FASTCash mới giúp đánh cắp tiền từ máy ATM

Các hacker Bắc Triều Tiên đang sử dụng một biến thể mới của mã độc FASTCash trên hệ điều hành Linux để xâm nhập vào hệ thống chuyển mạch thanh toán của các tổ chức tài chính và thực hiện các giao dịch rút tiền trái phép.

Cơ quan An ninh Mạng và Cơ sở hạ tầng (CISA) đã cảnh báo về kế hoạch rút tiền từ ATM bằng mã độc FASTCash từ tháng 12 năm 2018, liên kết hoạt động này với nhóm hacker do nhà nước Bắc Triều Tiên được gọi là "Hidden Cobra". Theo các cuộc điều tra của CISA, nhóm này đã sử dụng FASTCash trong các hoạt động từ ít nhất năm 2016, đánh cắp hàng triệu đô la trong các cuộc tấn công rút tiền ATM đồng thời ở hơn 30 quốc gia. Vào năm 2020, Bộ Tư lệnh Mạng Mỹ đã nhấn mạnh mối đe dọa này một lần nữa, liên kết hoạt động FASTCash 2.0 với nhóm APT38 (Lazarus). Một năm sau đó, ba người Bắc Triều Tiên đã bị truy tố vì liên quan đến các kế hoạch này, chịu trách nhiệm cho việc đánh cắp hơn 1.3 tỷ USD từ các tổ chức tài chính trên toàn thế giới.ero-day khác, được theo dõi với mã CVE-2024-43461, để ẩn phần mở rộng .hta và khiến file trông giống như một file PDF khi Windows nhắc người dùng liệu nó có nên được mở hay không, như hiển thị bên dưới.

Biến thể mới được HaxRob phát hiện lần đầu tiên được nộp lên VirusTotal vào tháng 6 năm 2023 và có nhiều điểm tương đồng với các biến thể trước đó trên Windows và AIX. Mã độc này xuất hiện dưới dạng thư viện chia sẻ và được tiêm vào một quy trình đang chạy trên máy chủ chuyển mạch thanh toán bằng cách sử dụng lệnh hệ thống 'ptrace', kết nối với các chức năng mạng.

Các chuyển mạch này là trung gian xử lý thông tin giữa các máy ATM/điểm bán hàng và hệ thống trung tâm của ngân hàng, định tuyến các yêu cầu và phản hồi giao dịch. Mã độc can thiệp và thao túng các thông điệp giao dịch ISO8583, được sử dụng trong ngành tài chính cho việc xử lý thẻ ghi nợ và thẻ tín dụng. Cụ thể, mã độc này nhắm vào các thông điệp từ chối giao dịch do số dư không đủ trong tài khoản của chủ thẻ và thay thế phản hồi "từ chối" bằng "chấp thuận".

• Thông tin chi tiết xem thêm tại new & Dịch vụ bảo mật tường lửa thế hệ mới - FPT

2. Mozilla sửa lỗi zero-day của Firefox bị khai thác tích cực trong các cuộc tấn công

Mozilla đã phát hành bản cập nhật bảo mật khẩn cấp cho trình duyệt Firefox nhằm khắc phục một lỗ hổng nghiêm trọng loại use-after-free, hiện đang bị khai thác trong các cuộc tấn công.

Lỗ hổng này được theo dõi với mã CVE-2024-9680 và được phát hiện bởi nhà nghiên cứu Damien Schaeffer từ ESET. Lỗi xảy ra trong Animation timelines, là một phần của API Hoạt ảnh trên web của Firefox, dùng để điều khiển và đồng bộ hóa hoạt ảnh trên các trang web. Lỗi use-after-free xảy ra khi bộ nhớ đã được giải phóng vẫn tiếp tục được sử dụng, cho phép các tác nhân độc hại chèn dữ liệu độc hại vào vùng bộ nhớ đó để thực hiện mã. Bản tin bảo mật cho biết: "Một kẻ tấn công có thể thực hiện mã trong quy trình nội dung bằng cách khai thác lỗi use-after-free trong Animation timelines." Mozilla đã nhận được báo cáo về việc lỗ hổng này đang bị khai thác trong thực tế.

• Firefox 131.0.2
• Firefox ESR 115.16.1
• Firefox ESR 128.3.1