- Giới thiệu
-
Dịch vụ máy chủ ảo tiết kiệm đến 90% chi phí cho doanh nghiệp
Lưu trữ dữ liệu đối tượng không giới hạn và truy xuất dữ liệu liên tục
Nâng cao năng lực, tính sẵn sàng của ứng dụng
Tích hợp với máy chủ ảo dành cho 3D Rendering, AI hay ML
Sản phẩm hợp tác giữa FPT Cloud và CyRadar, cung cấp dịch vụ tường lửa với khả năng bảo vệ mạnh mẽ cho các ứng dụng web
Sản phẩm hợp tác giữa FPT Cloud và CyRadar, dịch vụ cung cấp khả năng rà quét toàn diện, phân tích chi tiết và đánh giá lỗ hổng bảo mật để tăng cường an ninh thông tin cho hệ thống ứng dụng doanh nghiệp
Sao lưu và khôi phục dữ liệu tức thời, an toàn và toàn vẹn dữ liệu
Trở thành doanh nghiệp đầu tiên trải nghiệm bộ giải pháp phát triển AI toàn diện, được phát triển trên công nghệ mạnh mẽ bậc nhất từ NVIDIA!
Giải pháp làm việc từ xa hiệu quả và an toàn cho doanh nghiệp
Dịch vụ máy chủ ảo tiên tiến với khả năng mở rộng nhanh chóng
Hiệu năng mạnh mẽ với hạ tầng riêng biệt
Tích hợp với máy chủ ảo dành cho 3D Rendering, AI hay ML
Dịch vụ máy chủ ảo tiết kiệm đến 90% chi phí cho doanh nghiệp
Trở thành doanh nghiệp đầu tiên trải nghiệm bộ giải pháp phát triển AI toàn diện, được phát triển trên công nghệ mạnh mẽ bậc nhất từ NVIDIA!
Nâng cao năng lực, tính sẵn sàng của ứng dụng
Sao lưu và khôi phục dữ liệu tức thời, an toàn và toàn vẹn dữ liệu
Dịch vụ dự phòng & khôi phục hệ thống nhanh chóng
Lưu trữ khối đa dạng thông lượng và dung lượng cho mọi nhu cầu
Lưu trữ dữ liệu đối tượng không giới hạn và truy xuất dữ liệu liên tục
Sản phẩm hợp tác giữa FPT Cloud và CyRadar, dịch vụ cung cấp khả năng rà quét toàn diện, phân tích chi tiết và đánh giá lỗ hổng bảo mật để tăng cường an ninh thông tin cho hệ thống ứng dụng doanh nghiệp
Sản phẩm hợp tác giữa FPT Cloud và CyRadar, cung cấp dịch vụ tường lửa với khả năng bảo vệ mạnh mẽ cho các ứng dụng web
Dịch vụ tường lửa thông minh cho các ứng dụng web - Giải pháp bảo mật đột phá với sự hợp tác giữa FPT Cloud và Penta Security.
Dịch vụ bảo mật tường lửa thế hệ mới
Lưu trữ, quản lý, và bảo mật các Docker Images
Nền tảng Kubernetes an toàn, bảo mật, ổn định, hiệu năng cao
Tăng tốc phát triển ứng dụng yêu cầu hiệu năng cao bằng dịch vụ Kubernetes tích hợp với vi xử lý cao cấp GPU
Giám sát và triển khai cơ sở dữ liệu như Kafka,..
Giám sát và triển khai cơ sở dữ liệu Redis, Cassandra, ...
Giám sát và triển khai cơ sở dữ liệu xử lý phân tích trực tuyến
Giám sát và triển khai cơ sở dữ liệu MySQL, Postgres, SQLserver, MariaDB,...
Giám sát và triển khai cơ sở dữ liệu truy vấn thông tin
Giám sát và triển khai cơ sở dữ liệu chuỗi thời gian
Giám sát hệ thống và tài nguyên toàn diện trên mọi nền tảng
Giải pháp quản lý sự cố thông minh
Dịch vụ tự động khởi tạo, duy trì, quản lý và bảo vệ các API ở mọi quy mô
Dịch vụ cung cấp giải pháp khởi tạo và quản lý FPT ArgoCD được tạo ra từ dự án mã nguồn mở Argo
Nền tảng đồng bộ hóa cơ sở dữ liệu theo thời gian thực.
Nền tảng xử lý dữ liệu lớn mạnh mẽ và linh hoạt
Nền tảng hội thoại thông minh gắn kết khách hàng trên mọi nền tảng
Xác thực nhanh chóng, dễ dàng, tối ưu chi phí
Nâng tầm trải nghiệm khách hàng
Trích xuất dữ liệu vượt mọi giới hạn
Chuyển văn bản thành giọng nói tiếng Việt với ngữ điệu tự nhiên.
- Bảng giá
- Sự kiện
Các lỗ hổng bảo mật được công bố và sự kiện an ninh mạng đáng chú ý trong tháng 12
Các lỗ hổng bảo mật được công bố và sự kiện an ninh mạng đáng chú ý trong tháng 12
Xem nhanh
I. Các lỗ hổng bảo mật được công bố trong tháng 12
1. Microsoft
Trong tháng 12/2024, Microsoft đã công bố các bản vá cho các lỗ hổng bao gồm 71 lỗ hổng, trong đó có 30 lỗ hổng thực thi mã từ xa và 1 lỗ hổng zero-days đang bị khai thác tích cực. Các bản vá lần này đã xử lý 16 lỗ hổng nghiêm trọng, tất cả đều thuộc loại thực thi mã từ xa (Remote Code Execution).
Số lượng lỗ hổng theo từng loại như sau:
- 27 lỗ hổng leo thang đặc quyền (Elevation of Privilege)
- 30 lỗ hổng thực thi mã từ xa (Remote Code Execution)
- 7 lỗ hổng rò rỉ thông tin (Information Disclosure)
- 5 lỗ hổng từ chối dịch vụ (Denial of Service)
- 1 lỗ hổng giả mạo (Spoofing)
Lưu ý: Con số trên chưa bao gồm 2 lỗ hổng của Edge đã được khắc phục vào ngày 5 và 6 tháng 12 trước đó.
Để biết thêm chi tiết về các bản cập nhật không liên quan đến bảo mật, có thể xem các bài viết chuyên sâu về Windows 11 KB5048667 & KB5048685 cumulative updates và Windows 10 KB5048652 cumulative update.
Bản vá tháng này đã sửa một lỗ hổng zero-day đang bị khai thác tích cực và đã được công khai. Microsoft định nghĩa lỗ hổng zero-day là lỗ hổng đã được công khai hoặc đang bị khai thác trước khi có bản sửa lỗi chính thức.
Lỗ hổng zero-day được khắc phục trong bản cập nhật lần này là:
CVE-2024-49138 - Lỗ hổng leo thang đặc quyền trong Windows Common Log File System Driver
- Microsoft đã sửa một lỗ hổng zero-day đang bị khai thác tích cực, cho phép kẻ tấn công giành quyền SYSTEM trên các thiết bị Windows.
- Hiện tại, chưa có thông tin chi tiết nào được công bố về cách thức lỗ hổng này bị khai thác trong các cuộc tấn công. Tuy nhiên, vì lỗ hổng này được phát hiện bởi nhóm Nghiên cứu Nâng cao (Advanced Research Team) của CrowdStrike, rất có thể sẽ có báo cáo chi tiết về cách khai thác trong tương lai.
- BleepingComputer đã liên hệ với CrowdStrike để tìm thêm thông tin, nhưng hiện vẫn chưa nhận được phản hồi.
FPT Cloud khuyến cáo người dùng nào đã và đang sử dụng các sản phẩm nào của Microsoft mà có khả năng nằm trong các phiên bản chứa lỗ hổng trên thì nên thực hiện theo khuyến nghị của Microsoft để tránh bị nhắm tới trong các cuộc tấn công mạng.
Cập nhật gần đây từ các công ty khác:
Các nhà cung cấp khác cũng phát hành bản cập nhật hoặc khuyến nghị trong tháng 12/2024, bao gồm:
- Adobe: Cập nhật bảo mật cho nhiều sản phẩm, bao gồm Photoshop, Commerce, Illustrator, InDesign, After Effects, Bridge, và nhiều sản phẩm khác.
- CISA: Phát hành các khuyến nghị về lỗ hổng hệ thống điều khiển công nghiệp liên quan đến MOBATIME, Schneider Electric, National Instruments, Horner Automation, Rockwell Automation, và Ruijie.
- Cleo: Phát hiện lỗ hổng zero-day trong hệ thống truyền tải file an toàn, đang bị khai thác để đánh cắp dữ liệu.
- Cisco: Cập nhật bảo mật cho nhiều sản phẩm, bao gồm Cisco NX-OS và Cisco ASA.
- IO-Data: Lỗ hổng zero-day trong router của IO-Data bị khai thác để chiếm quyền điều khiển thiết bị.
- 0patch: Phát hành bản vá không chính thức cho một lỗ hổng zero-day của Windows, cho phép kẻ tấn công thu thập thông tin xác thực NTLM.
- OpenWrt: Cập nhật bảo mật cho lỗ hổng Sysupgrade, cho phép kẻ tấn công phát tán firmware độc hại.
- SAP: Cập nhật bảo mật cho nhiều sản phẩm trong đợt phát hành Patch Day tháng 12.
- Veeam: Phát hành bản cập nhật bảo mật cho lỗ hổng RCE nghiêm trọng trong Service Provider Console
Danh sách dưới đây liệt kê 16 lỗ hổng đã có bản vá trong tháng 12 được đánh giá ở mức độ nghiêm trọng:
|
Tag
|
CVE ID
|
CVE Title
|
Severity
|
|
Role: Windows Hyper-V
|
Windows Hyper-V Remote Code Execution Vulnerability
|
Critical
|
|
|
Windows LDAP - Lightweight Directory Access Protocol
|
Lightweight Directory Access Protocol (LDAP) Client Remote Code Execution Vulnerability
|
Critical
|
|
|
Windows LDAP - Lightweight Directory Access Protocol
|
Windows Lightweight Directory Access Protocol (LDAP) Remote Code Execution Vulnerability
|
Critical
|
|
|
Windows LDAP - Lightweight Directory Access Protocol
|
Windows Lightweight Directory Access Protocol (LDAP) Remote Code Execution Vulnerability
|
Critical
|
|
|
Windows Local Security Authority Subsystem Service (LSASS)
|
Windows Local Security Authority Subsystem Service (LSASS) Remote Code Execution Vulnerability
|
Critical
|
|
|
Windows Message Queuing
|
Microsoft Message Queuing (MSMQ) Remote Code Execution Vulnerability
|
Critical
|
|
|
Windows Message Queuing
|
Microsoft Message Queuing (MSMQ) Remote Code Execution Vulnerability
|
Critical
|
|
|
Windows Remote Desktop
|
Windows Remote Desktop Services Remote Code Execution Vulnerability
|
Critical
|
|
|
Windows Remote Desktop Services
|
Windows Remote Desktop Services Remote Code Execution Vulnerability
|
Critical
|
|
|
Windows Remote Desktop Services
|
Windows Remote Desktop Services Remote Code Execution Vulnerability
|
Critical
|
|
|
Windows Remote Desktop Services
|
Windows Remote Desktop Services Remote Code Execution Vulnerability
|
Critical
|
|
|
Windows Remote Desktop Services
|
Windows Remote Desktop Services Remote Code Execution Vulnerability
|
Critical
|
|
|
Windows Remote Desktop Services
|
Windows Remote Desktop Services Remote Code Execution Vulnerability
|
Critical
|
|
|
Windows Remote Desktop Services
|
Windows Remote Desktop Services Remote Code Execution Vulnerability
|
Critical
|
|
|
Windows Remote Desktop Services
|
Windows Remote Desktop Services Remote Code Execution Vulnerability
|
Critical
|
|
|
Windows Remote Desktop Services
|
Windows Remote Desktop Services Remote Code Execution Vulnerability
|
Critical
|
- Chi tiết về từng loại lỗ hổng và bản vá có thể xem thêm tại Tuesday Patch & paper.
2. Linux
- CVE-2024-53142 – Bản vá Kernel Linux: Ghi đè ngoài vùng bộ nhớ (CWE-787)
Trong kernel Linux, một lỗ hổng đã được xác định trong xử lý tên tệp initramfs. Vấn đề xảy ra khi giải nén một tệp lưu trữ cpio của initramfs, nơi bộ xử lý đường dẫn do_name() của kernel giả định rằng đường dẫn tại @collected đã được kết thúc bằng ký tự zero, và truyền nó trực tiếp tới filp_open() / init_mkdir() / init_mknod(). Nếu một mục cpio được tạo đặc biệt mang tên tệp không được kết thúc bằng zero, tiếp theo là vùng bộ nhớ chưa được khởi tạo, thì một tệp có thể được tạo với các ký tự thừa đại diện cho vùng bộ nhớ chưa được khởi tạo. Điều này có thể dẫn đến tràn bộ đệm tên tệp.
- CVE-2024-53141 – Bản vá Kernel Linux: Tăng quyền trong netfilter bitmap_ip_uadt
Một lỗ hổng đã được xác định trong module netfilter ipset của kernel Linux, cụ thể là trong hàm bitmap_ip_uadt. Vấn đề xảy ra khi tb[IPSET_ATTR_IP_TO] không tồn tại nhưng tb[IPSET_ATTR_CIDR] lại tồn tại, dẫn đến giá trị của ip và ip_to bị hoán đổi một cách không chính xác. Điều này dẫn đến việc bỏ qua các kiểm tra phạm vi đối với giá trị ip, có khả năng gây ra một lỗ hổng bảo mật.
- CVE-2024-53139 - Bản vá Kernel Linux: Sử dụng sau khi giải phóng (CWE-416)
Một lỗ hổng đã được xác định trong kernel Linux liên quan đến tình trạng Sử dụng sau khi giải phóng (Use-After-Free - UAF) có thể xảy ra trong hàm sctp_v6_available(). Vấn đề phát sinh từ việc sử dụng không đúng RCU (Read-Copy-Update), trong đó dev_get_by_index_rcu() và ipv6_chk_addr() được gọi mà không giữ khóa RCU phù hợp. Lỗ hổng này được phát hiện thông qua báo cáo lockdep với tùy chọn CONFIG_PROVE_RCU_LIST=y được bật.
FPT Cloud khuyến cáo người dùng nếu đang sử dụng các phiên bản ứng dụng bị ảnh hưởng bởi các lỗ hổng trên thì nhanh chóng nâng cấp lên các bản vá mới nhất.
- Chi tiết về các lỗ hổng có thể xem tại ĐÂY
3. VMWare
- VMware công bố Lỗ hổng stored cross-site scripting (CVE-2024-38834)
VMware Aria Operations chứa một lỗ hổng cross-site scripting lưu trữ. Một kẻ tấn công có quyền chỉnh sửa đối với nhà cung cấp đám mây có thể tiêm mã độc dẫn đến cross-site scripting lưu trữ trong sản phẩm VMware Aria Operations.
Một kẻ tấn công có quyền chỉnh sửa đối với nhà cung cấp đám mây có thể tiêm mã độc dẫn đến cross-site scripting lưu trữ trong sản phẩm VMware Aria Operations.
- VMware công bố Lỗ hổng cross-site scripting lưu trữ (CVE-2024-38833)
VMware Aria Operations chứa một lỗ hổng cross-site scripting lưu trữ. Một kẻ tấn công có quyền chỉnh sửa đối với nhà cung cấp đám mây có thể tiêm mã độc dẫn đến cross-site scripting lưu trữ trong sản phẩm VMware Aria Operations.
Một kẻ tấn công có quyền chỉnh sửa các mẫu email có thể tiêm mã độc dẫn đến cross-site scripting lưu trữ trong sản phẩm VMware Aria Operations.
- VMware công bố Lỗ hổng cross-site scripting lưu trữ (CVE-2024-38832)
VMware Aria Operations chứa một lỗ hổng cross-site scripting lưu trữ. Một kẻ tấn công có quyền chỉnh sửa đối với nhà cung cấp đám mây có thể tiêm mã độc dẫn đến cross-site scripting lưu trữ trong sản phẩm VMware Aria Operations.
Một kẻ tấn công có quyền chỉnh sửa các chế độ xem có thể tiêm mã độc dẫn đến cross-site scripting lưu trữ trong sản phẩm VMware Aria Operations.
- VMware công bố Lỗ hổng cross-site scripting lưu trữ (CVE-2024-38831)
VMware Aria Operations chứa một lỗ hổng cross-site scripting lưu trữ. Một kẻ tấn công có quyền chỉnh sửa đối với nhà cung cấp đám mây có thể tiêm mã độc dẫn đến cross-site scripting lưu trữ trong sản phẩm VMware Aria Operations.
Một kẻ tấn công có quyền quản trị cục bộ có thể chèn các lệnh độc hại vào tệp thuộc tính để nâng cao quyền hạn lên người dùng root trên thiết bị chạy VMware Aria Operations.
- VMware công bố Lỗ hổng cross-site scripting lưu trữ (CVE-2024-38830)
VMware Aria Operations chứa một lỗ hổng cross-site scripting lưu trữ. Một kẻ tấn công có quyền chỉnh sửa đối với nhà cung cấp đám mây có thể tiêm mã độc dẫn đến cross-site scripting lưu trữ trong sản phẩm VMware Aria Operations.
Một kẻ tấn công có quyền quản trị cục bộ có thể khai thác lỗ hổng này để nâng cao quyền hạn lên người dùng root trên thiết bị chạy VMware Aria Operations.
FPT Cloud khuyến cáo người dùng nếu đang sử dụng các phiên bản ứng dụng bị ảnh hưởng bởi các lỗ hổng trên thì nhanh chóng nâng cấp lên các bản vá mới nhất.
- Chi tiết về các bản vá có thể xem tại ĐÂY
II. Một số sự kiện an ninh mạng đáng chú ý
1. FTC cảnh báo về các vụ lừa đảo việc làm trực tuyến lôi kéo nạn nhân như cờ bạc
Ủy ban Thương mại Liên bang (FTC) cảnh báo về sự gia tăng đáng kể các vụ lừa đảo việc làm trực tuyến giống như cờ bạc, được gọi là "lừa đảo nhiệm vụ", dụ dỗ mọi người kiếm tiền thông qua các công việc lặp đi lặp lại, với lời hứa sẽ kiếm được nhiều hơn nếu họ tự gửi tiền của mình.
Mặc dù loại lừa đảo này gần như không tồn tại vào năm 2020, với FTC không nhận được báo cáo nào, cơ quan này đã ghi nhận 5.000 trường hợp vào năm ngoái. Tuy nhiên, vào năm 2024, số lượng báo cáo liên quan đến lừa đảo công việc đã tăng vọt, với FTC nhận được 20.000 báo cáo từ những cá nhân bị lừa đảo chỉ trong nửa đầu năm.
Do đó, thiệt hại tài chính được báo cáo từ các vụ lừa đảo việc làm đã tăng gấp ba lần từ năm 2020 đến năm 2023 và vượt quá 220 triệu đô la thiệt hại từ tháng 1 đến tháng 6 năm 2024. FTC cho biết khoảng 40% trong số những khoản thiệt hại đó là do sự gia tăng của "lừa đảo việc làm", với 41 triệu đô la được báo cáo đã bị đánh cắp trong nửa đầu năm 2024.
FTC giải thích rằng những kẻ lừa đảo tiếp cận nạn nhân thông qua các tin nhắn không mong muốn trên WhatsApp và các nền tảng truyền thông xã hội hoặc phương tiện truyền thông khác.
Kẻ lừa đảo đưa ra một cách kiếm tiền dễ dàng bằng cách nói với mục tiêu rằng tất cả những gì họ phải làm là thực hiện một số nhiệm vụ mỗi ngày để kiếm tiền, chẳng hạn như thích video hoặc đánh giá sản phẩm trên các nền tảng trực tuyến hoặc thông qua một ứng dụng đặc biệt.
Những vụ lừa đảo này mạo danh các công ty hợp pháp, chẳng hạn như Deloitte, Amazon, McKinsey and Company và Airbnb, và nạn nhân được giao nhiệm vụ theo bộ, thường là bốn mươi mục. Người dùng được hứa sẽ nhận được hoa hồng nâng cấp mỗi khi họ hoàn thành một bộ và nâng cấp lên cấp độ tiếp theo.
- Thông tin chi tiết hơn xem thêm ĐÂY
2. Phần mềm độc hại IOCONTROL mới được sử dụng trong các cuộc tấn công cơ sở hạ tầng quan trọng
Những kẻ tấn công người Iran đang sử dụng phần mềm độc hại mới có tên IOCONTROL để xâm nhập các thiết bị Internet vạn vật (IoT) và hệ thống OT/SCADA được sử dụng trong cơ sở hạ tầng quan trọng ở Israel và Hoa Kỳ.
Các thiết bị mục tiêu bao gồm bộ định tuyến, bộ điều khiển logic lập trình (PLC), giao diện người-máy (HMI), camera IP, tường lửa và hệ thống quản lý nhiên liệu.
Bản chất mô-đun của phần mềm độc hại khiến nó có khả năng xâm nhập vào nhiều loại thiết bị từ nhiều nhà sản xuất khác nhau, bao gồm D-Link, Hikvision, Baicells, Red Lion, Orpak, Phoenix Contact, Teltonika và Unitronics.
Các nhà nghiên cứu Team82 của Claroty, những người đã phát hiện và lấy mẫu IOCONTROL để phân tích, báo cáo rằng đây là vũ khí mạng của quốc gia có thể gây ra sự gián đoạn đáng kể cho cơ sở hạ tầng quan trọng.
Do xung đột địa chính trị đang diễn ra, IOCONTROL hiện được sử dụng để nhắm vào các hệ thống của Israel và Hoa Kỳ, như hệ thống quản lý nhiên liệu Orpak và Gasboy.
Công cụ này được cho là có liên quan đến một nhóm tin tặc Iran có tên là CyberAv3ngers, những người đã từng thể hiện sự quan tâm đến việc tấn công các hệ thống công nghiệp trong quá khứ. OpenAI gần đây cũng báo cáo rằng nhóm đe dọa này sử dụng ChatGPT để bẻ khóa PLC, phát triển các tập lệnh khai thác bash và Python tùy chỉnh và lập kế hoạch cho hoạt động sau khi xâm phạm.
Các cuộc tấn công của IOCONTROL
Claroty đã trích xuất các mẫu phần mềm độc hại từ hệ thống kiểm soát nhiên liệu Gasboy, cụ thể là thiết bị đầu cuối thanh toán (OrPT) của thiết bị, nhưng các nhà nghiên cứu không biết chính xác tin tặc đã lây nhiễm IOCONTROL vào thiết bị này như thế nào.
Bên trong các thiết bị đó, IOCONTROL có thể điều khiển máy bơm, thiết bị đầu cuối thanh toán và các hệ thống ngoại vi khác, có khả năng gây gián đoạn hoặc đánh cắp dữ liệu.
Những kẻ tấn công đã tuyên bố xâm nhập vào 200 trạm xăng ở Israel và Hoa Kỳ trên Telegram, điều này phù hợp với phát hiện của Claroty.
Các cuộc tấn công này xảy ra vào cuối năm 2023, cùng thời điểm với vụ phá hoại các thiết bị PLC/HMI của Unitronics Vision tại các cơ sở xử lý nước, nhưng các nhà nghiên cứu báo cáo rằng các chiến dịch mới đã xuất hiện vào giữa năm 2024.
Tính đến ngày 10 tháng 12 năm 2024, không có công cụ diệt vi-rút VirusTotal nào trong số 66 công cụ này phát hiện ra mã nhị phân phần mềm độc hại chứa UPX.
- Thông tin chi tiết hơn xem thêm tại ĐÂY
Sử dụng ngay Dịch vụ bảo mật tường lửa thế hệ mới để bảo vệ dữ liệu doanh nghiệp khỏi các cuộc tấn công mạng tinh vi.
