Bản tin bảo mật tháng 3/2023

Bản tin bảo mật tháng 3/2023

Tác giả: [email protected]
15:29 12/04/2023
Newsletter thang 3

I. Các lỗ hổng bảo mật được công bố trong tháng 3 

1. Microsoft công bố các bản vá cho các lỗ hổng mức độ Nghiêm trọng và 3 lỗ hổng zero-days trong tháng 3 

Trong tháng 3 của 2023 Microsoft đã tung ra các bản vá lỗi cho hơn 83 lỗ hổng trong đó có 9 lỗ hổng được đánh giá ở mức độ nghiêm trọng vì chúng cho phép thực thi mã từ xa, tấn công từ chối dịch vụ, thực thi mã từ xa và 2 bản vá lỗ hổng zero-days bao gồm: 

  • CVE-2023-23397 - Microsoft Outlook Elevation of Privilege Vulnerability - lỗ hổng trong ứng dụng OutLook cho phép email được tạo ra để kết nối với kẻ tấn công, thực thi các lệnh với đặc quyền hệ thống.
  • CVE-2023-24880 - Windows SmartScreen Security Feature Bypass Vulnerability - lỗ hổng bỏ qua tính năng bảo mật trong Windows Smart Screen cho phép thực thi bỏ qua tính năng cảnh báo bảo mật web.

Khuyến cáo người dùng nào đã và đang sử dụng các sản phẩm nào của Microsoft mà có khả năng nằm trong các phiên bản chứa lỗ hổng trên thì nên nâng cấp ngay các bản vá mới nhất để tránh bị nhắm tới trong các cuộc tấn công mạng

Danh sách dưới đây liệt kê 9 lỗ hổng đã có bản vá trong tháng ba được đánh giá ở mức độ nghiêm trọng. 

Tag  CVE ID  CVE Title  Severity 
Internet Control Message Protocol (ICMP)  CVE-2023-23415  Internet Control Message Protocol (ICMP) Remote Code Execution Vulnerability  Critical 
Microsoft Office Outlook  CVE-2023-23397  Microsoft Outlook Elevation of Privilege Vulnerability  Critical 
Remote Access Service Point-to-Point Tunneling Protocol  CVE-2023-23404  Windows Point-to-Point Tunneling Protocol Remote Code Execution Vulnerability  Critical 
Role: Windows Hyper-V  CVE-2023-23411  Windows Hyper-V Denial of Service Vulnerability  Critical 
Windows Cryptographic Services  CVE-2023-23416  Windows Cryptographic Services Remote Code Execution Vulnerability  Critical 
Windows HTTP Protocol Stack  CVE-2023-23392  HTTP Protocol Stack Remote Code Execution Vulnerability  Critical 
Windows Remote Procedure Call  CVE-2023-21708  Remote Procedure Call Runtime Remote Code Execution Vulnerability  Critical 
Windows TPM  CVE-2023-1017  CERT/CC: CVE-2023-1017 TPM2.0 Module Library Elevation of Privilege Vulnerability  Critical 
Windows TPM  CVE-2023-1018  CERT/CC: CVE-2023-1018 TPM2.0 Module Library Elevation of Privilege Vulnerability  Critical 
2. VMWare công bố các lỗ hổng trong tháng 3

👉 Trong tháng 3 này thì VMWare cũng đã có công bố bản vá cho hai lỗ hổng mức độ nghiêm trọng tồn tại trong VMware Cloud Foundation: 

  • CVE-2021-39144 VMware Cloud Foundation chứa một lỗ hổng thực thi mã từ xa thông qua thư viện mã nguồn mở XStream. Lỗ hổng này có thể cho phép kẻ tấn công từ xa có đủ quyền để thực hiện lệnh của máy chủ chỉ bằng cách thao tác xử lý luồng đầu vào.
  • CVE-2022-31678 Một lỗ hổng XML External Entity (XXE) trong VMware Cloud Foundation (NSX-V). Trên các phiên bản VCF 3.x có cài đặt NSX-V, điều này có thể cho phép người dùng khai thác sự cố này dẫn đến tình trạng từ chối dịch vụ hoặc tiết lộ thông tin ngoài ý muốn.

📝 Khuyến cáo người dùng nếu đang sử dụng các phiên bản ứng dụng bị ảnh hưởng bởi các lỗ hổng trên thì nhanh chóng nâng cấp lên các bản vá mới nhất.

II. Một số sự kiện an ninh mạng đáng chú ý.

1. Veeam vá lỗ hổng nghiêm trọng cho phép tin tặc xâm phạm cơ sở hạ tầng sao lưu (Phần mềm sao lưu dữ liệu)

👉 Veeam kêu gọi khách hàng vá một lỗ hổng bảo mật dịch vụ sao lưu có mức độ nghiêm trọng cao ảnh hưởng đến phần mềm sao lưu của mình.
👉 Cuộc tấn công khai thác 2 lỗ hổng CVE-2023-27532 đã được báo cáo vào giữa tháng Hai và nó ảnh hưởng đến tất cả các phiên bản Veeam Backup & Replication (VBR)
👉 Theo phân tích của Veeam, nguyên nhân đằng sau lỗ hổng này là Veeam.Backup.Service.exe (chạy trên TCP 9401 theo mặc định) cho phép người dùng chưa được xác thực yêu cầu thông tin đăng nhập được mã hóa.
Để ngăn chặn tấn công tạm thời và bảo mật các máy chủ dễ bị tấn công trước các nỗ lực khai thác tiềm ẩn, bạn cũng có thể chặn các kết nối bên ngoài đến cổng TCP/9401 bằng tường lửa máy chủ sao lưu.
📝 Veeam đã phát hành các bản cập nhật bảo mật để vá lỗ hổng này cho VBR v.11 và v.12, với khách hàng sử dụng các bản phát hành cũ hơn được khuyên nên cập nhật lên một trong hai sản phẩm được hỗ trợ này trước tiên.

 

Fortinet cảnh báo về lỗ hổng mức độ nghiêm trọng “Unauthenticated” RCE ảnh hưởng đến nhiều phiên bản FortiOS và FortiProxy

👉 Fortinet đã tiết lộ một lỗ hổng "Nghiêm trọng" ảnh hưởng đến FortiOS và FortiProxy, cho phép kẻ tấn công không được xác thực thực thi mã tùy ý hoặc thực hiện từ chối dịch vụ (DoS) trên giao diện người dùng của các thiết bị dễ bị tấn công bằng cách sử dụng các yêu cầu đặc biệt.
👉 Cuộc tấn công khai thác lỗ hổng CVE-2023-25610 có điểm CVSS v3 là 9.3/10. Loại lỗ hổng này xảy ra khi một chương trình cố gắng đọc nhiều dữ liệu từ bộ nhớ đệm hơn bộ nhớ sẵn có, dẫn đến việc truy cập các vị trí bộ nhớ liền kề, dẫn đến hành vi rủi ro hoặc gây ra sự cố.
Đối với những khách hàng không thể áp dụng các bản Cập Nhật, chúng tôi đề nghị giải pháp tạm thời vô hiệu hoá giao diện quản trị HTTP/HTTPS hoặc giới hạn các địa chỉ IP có thể truy cập từ xa.
📝 Fortinet đã liệt kê các phiên bản FortiOS, FortiProxy bị ảnh hưởng và khuyến nghị các phiên bản nên nâng cấp để khắc phục lỗ hổng nghiêm trọng nêu trên.

 

FPT Cloud Security Team.    

Bản tin bảo mật tháng 3/2023