Bản tin bảo mật tháng 12

I. Các lỗ hổng bảo mật được công bố trong tháng 12

Microsoft công bố các bản vá cho các lỗ hổng bao gồm 34 lỗ hổng, trong đó tồn tại 1 lỗ hổng zero-day và 4 lỗ hổng mức độ critical trong tháng 12

👉 Trong tháng 12 của 2023 Microsoft đã tung ra các bản vá lỗi cho 34 lỗ hổng trong đó có 4 lỗ hổng được đánh giá ở mức độ nghiêm trọng vì chúng cho phép thực thi mã từ xa, tấn công từ chối dịch vụ, và 1 bản vá cho các lỗ hổng zero-day. Một số lỗ hổng đáng được lưu ý: 

 - CVE-2023-20588 - AMD Speculative Leaks Security Notice – Lỗi division-by-zero trên một số bộ xử lý AMD có khả năng trả về dữ liệu suy đoán dẫn đến mất tính bảo mật. Chỉ có phương thức giảm thiểu được AMD đưa ra vào tháng 8/2023 vì yêu cầu truy cập mạng cục bộ

📝 Khuyến cáo người dùng nào đã và đang sử dụng các sản phẩm nào của Microsoft mà có khả năng nằm trong các phiên bản chứa lỗ hổng trên thì nên thực hiện theo khuyến nghị của AMD để tránh bị nhắm tới trong các cuộc tấn công mạng 

Danh sách dưới đây liệt kê 4 lỗ hổng đã có bản vá trong tháng 12 được đánh giá ở mức độ nghiêm trọng. 

🔗 Chi tiết về từng loại lỗ hổng và bản vá có thể xem thêm tại Tuesday Patch , Paper 

Linux công bố các lỗ hổng trong tháng 12

👉 Trong tháng 12 này thì Linux cũng đưa ra các công bố về lỗ hổng, trong đó một lỗ hổng đáng chú ý đến:

 - CVE-2023-6254 - Lỗ hổng trong OTRS AgentInterface and ExternalInterface cho phép đọc mật khẩu văn bản thuần túy được gửi lại cho client trong server response - Sự cố này ảnh hưởng đến OTRS: từ 8.0.x đến 8.0.37

 - CVE-2023-49093 - HtmlUnit, một trình duyệt GUI-less cho các chương trình Java, tồn tại lỗ hổng RCE thông qua XSTL khi truy cập trang web của attacker. Lỗ hổng đã được fix trong phiên bản 3.9.0

📝 Khuyến cáo người dùng nếu đang sử dụng các phiên bản ứng dụng bị ảnh hưởng bởi các lỗ hổng trên thì nhanh chóng nâng cấp lên các bản vá mới nhất

🔗 Chi tiết về các lỗ hổng có thể xem tại Advisories

VMWare công bố các lỗ hổng trong tháng 12

👉 Có 1 lỗ hổng mức độ thấp được VMWare công bố và cập nhật bản vá trong tháng 12 này là: 

 - CVE-2023-34060: Lỗ hổng leo thang đặc quyền cho phép user có quyền truy cập trực tiếp Workspace ONE Launcher có thể sử dụng tính năng Edge Panel để bỏ qua thiết lập nhằm truy cập vào thông tin nhạy cảm.

📝 Khuyến cáo người dùng nếu đang sử dụng các phiên bản ứng dụng bị ảnh hưởng bởi các lỗ hổng trên thì nhanh chóng nâng cấp lên các bản vá mới nhất  

🔗 Chi tiết về các bản vá có thể xem tại Advisories

II. Một số sự kiện an ninh mạng đáng chú ý. 

1. Mã độc ransomware Linux Qilin nhắm vào VMware ESXi 

👉 Đội ngũ nghiên cứu bảo mật MalwareHunterTeam đã phát hiện bộ mã hoá Linux ELF64 của băng đảng ransomware Qilin.

👉 Mộ mã khoá được sử dụng nhắm vào các máy chủ Linux, FreeBSD và VMware ESXI. Bộ mã chuyên tập trung vào mã hoá các máy ảo và xoá bỏ snapshot của các máy ảo.

👉 Các phương thức thực thi ransomware này bao chạy ở chế độ debug mode, thực hiện scan các file mà không mã hoá, hoặc tuỳ chỉnh để mã hoá các máy ảo và các snapshot của chúng.

👉 Melissa Palmer, chuyên gia của VMware, những câu lệnh dùng để xác định máy chủ VMware của ransomware này được sao chép từ các thông báo hỗ trợ giải quyết lỗi VMware memory heap và lỗi VMware incease performance.

👉 Trong mỗi folder, sẽ có một phần note dịnh dạng [extension]_RECOVER.txt gồm chứa link đến trang web đàm phán Tor của băng đảng ransomware và thông tin đăng nhập cần thiết để truy cập trang trò chuyện của nạn nhân.

👉 Cũng giống như các hoạt động ransomware khác, Qilin sẽ xâm nhập mạng công ty và đánh cắp dữ liệu  khi lây lan 

📝 Khuyến nghị các cá nhân và tổ chức sử dụng dịch vụ cần:

• Quản lý, kiểm soát và đảm bảo các file, tài liệu được chuyển từ ngoài internet vào nội bộ cá nhân hoặc tổ chức bao gồm cả về con người lẫn dịch vụ.
• Thực hiện các biện pháp backup dự trù nhằm đề phòng rủi ro

🔗 Thông tin chi tiết hơn xem thêm tại đây, Dịch vụ sao lưu dữ liệu đám mây - FPT Cloud: Sao lưu và khôi phục dữ liệu tức thời, an toàn và toàn vẹn dữ liệu.

2. Hacker tích cực khai thác lỗ hổng critical Apache Struts bằng PoC được công bố

👉 Các Hacker đang tích cực khai thác một lỗ hổng critical trong Apache Struts dẫn đến thực thi RCE. Phương thức khai thác dựa trên PoC được công bố trước đó

👉 Vào ngày 7/12/2023, Apache công bố Struts phiên bản 6.3.0.2 và 2.5.33 chịu ảnh hưởng bởi lỗ hổng critical định danh CVE-2023-50164. Các phiên bản chịu ảnh hưởng bao gồm 2.0.0 đến 2.3.37 (end of life), Struts 2.5.0 đến 2.5.32 và Struts 6.0.0 đến 6.3.0.

👉 Lỗ hổng cho phép tải file độc hại lên máy chủ và thực thi RCE qua đó có thể sửa đổi file quan trọng, đánh cắp dữ liệu, gián đoạn các dịch vụ quan trọng hay leo thang đặc quyền ngang.

👉 Ngày 10/12/2023, một nhà nghiên cứu bảo mật đã công bố write-up cho CVE-2023-50164, giải thích cách upload file độc hại lên server và đoạn mã khai lỗ hổng được public vào ngày 12/12/2023.

📝 Khuyến cáo các cá nhân hoặc tổ chức thực hiện các biện pháp:

• Nâng cấp phiên bản Struts lên phiên bản đã vá lỗ hổng
• Áp dụng các biện pháp bảo mật phòng chống upload file độc hại

🔗 Nhấp vào đường dẫn để xem chi tiết hơn: new, Dịch vụ bảo mật tường lửa thế hệ mới - FPT

3. Avira antivirus làm treo các máy tính Windows sau khi boot

👉 Từ thứ 6 ngày 8/12/2023, người dùng Windows đã báo cáo lại sự cố OS bị treo một lúc sau khi boot. Vấn đề bắt nguồn từ lỗi update phần mềm bảo mật Avira

👉 Một số lượng đáng kể khách hàng dùng Windows 11 và Windows 10 được ghi nhận gặp phải sự cố nêu trên

👉 Các máy chịu ảnh hưởng bởi lỗ hổng thường sẽ vẫn khởi động bình thường nhưng sẽ không load được Windows desktop. Tuy nhiên sau khi khởi động Avira được khoảng 20s , OS sẽ không phản hồi lại. Giải pháp để thực hiện khắc phục là dùng nút restart cứng

👉 Phía Avira đã ghi nhận về sự cố và thực hiện kiểm tra, khắc phục sự cố. Lỗi đã được cập sửa tại bản cập nhật vào ngày 11/12/2023

📝 Khuyến cáo các cá nhân hoặc tổ chức:

• Thực hiện kiểm tra phiên bản Avira AV được cài đặt nếu đang sử dụng
• Thực hiện nâng cấp hoặc xoá bỏ các phiên bản phần mềm AV chịu ảnh hưởng của lỗi
• Liên hệ Avira support để được hỗ trợ nếu không thể nâng cấp

🔗 Nhấp vào đường dẫn để xem chi tiết hơn: new