Các lỗ hổng bảo mật được công bố và sự kiện an ninh mạng đáng chú ý trong tháng 6

I. Các lỗ hổng bảo mật được công bố trong tháng 6

Microsoft

Trong tháng 6/2024 Microsoft đã tung ra các bản vá lỗi cho 51 lỗ hổng trong đó có 18 lỗ hổng thực thi mã từ xa, 1 lỗ hổng zero-days. Tuy vậy chỉ có 1 lỗ hổng là được đánh giá ở mức độ nghiêm trọng đã được sửa trong bản công bố tháng này. Một lỗ hổng đáng được lưu ý: CVE-2023-50868 NSEC3 closest encloser proof can exhaust CPU - Lỗ hổng liên quan đến lỗ hổng trong xác thực DNSSEC, trong đó kẻ tấn công có thể khai thác các giao thức DNSSEC tiêu chuẩn dành cho tính toàn vẹn của DNS bằng cách sử dụng quá nhiều tài nguyên trên trình phân giải, gây ra tình trạng từ chối dịch vụ cho người dùng hợp pháp.

FPT Cloud khuyến cáo người dùng nào đã và đang sử dụng các sản phẩm nào của Microsoft mà có khả năng nằm trong các phiên bản chứa lỗ hổng trên thì nên thực hiện theo khuyến nghị của Microsoft để tránh bị nhắm tới trong các cuộc tấn công mạng.

• Chi tiết về từng loại lỗ hổng và bản vá có thể xem thêm tại Patch & Paper

Linux

Trong tháng 6 này thì Linux cũng đưa ra các công bố về lỗ hổng, trong đó một lỗ hổng đáng chú ý đến:

• CVE-2024-1086 - Một lỗ hổng use-after-free trong thành phần netfilter: nf_tables của nhân Linux có thể bị khai thác để leo thang đặc quyền cục bộ. Hàm nft_verdict_init() cho phép các giá trị dương dưới dạng lỗi thả trong phán quyết hook và do đó, hàm nf_hook_slow() có thể gây ra lỗ hổng bảo mật kép khi NF_DROP gặp lỗi thả giống như NF_ACCEPT
• CVE-2024-36960 - Trong Linux kernel: Sửa các lần đọc không hợp lệ trong các sự kiện được báo hiệu hàng rào. Đặt chính xác độ dài của drm_event theo kích thước của cấu trúc thực sự được sử dụng. Độ dài của drm_event được đặt thành cấu trúc gốc thay vì drm_vmw_event_fence được cho là sẽ đọc. drm_read sử dụng tham số độ dài để sao chép sự kiện vào không gian người dùng, từ đó dẫn đến các lần đọc oob.

FPT Cloud khuyến cáo người dùng nếu đang sử dụng các phiên bản ứng dụng bị ảnh hưởng bởi các lỗ hổng trên thì nhanh chóng nâng cấp lên các bản vá mới nhất

• Chi tiết về các lỗ hổng có thể xem tại ĐÂY

VMware

Các lỗ hổng được VMware công bố trong tháng 6 bao gồm:

• CVE-2024-22273 - Bộ điều khiển lưu trữ trên VMware ESXi, Workstation và Fusion có lỗ hổng đọc/ghi vượt quá giới hạn. Tác nhân độc hại có quyền truy cập vào máy ảo có bật bộ điều khiển lưu trữ có thể khai thác sự cố này để tạo điều kiện từ chối dịch vụ hoặc thực thi mã trên bộ ảo hóa từ máy ảo cùng với các sự cố khác.
• CVE-2024-22274 - Máy chủ vCenter chứa lỗ hổng thực thi mã từ xa đã được xác thực. Tác nhân độc hại có đặc quyền quản trị trên vỏ thiết bị vCenter có thể khai thác sự cố này để chạy các lệnh tùy ý trên hệ điều hành cơ bản.
• CVE-2024-22275 - Máy chủ vCenter chứa lỗ hổng đọc một phần tệp. Tác nhân độc hại có đặc quyền quản trị trên vỏ thiết bị vCenter có thể khai thác sự cố này để đọc một phần các tệp tùy ý chứa dữ liệu nhạy cảm.

FPT Cloud khuyến cáo người dùng nếu đang sử dụng các phiên bản ứng dụng bị ảnh hưởng bởi các lỗ hổng trên thì nhanh chóng nâng cấp lên các bản vá mới nhất.

• Chi tiết về các bản vá có thể xem tại ĐÂY

II. Một số sự kiện an ninh mạng đáng chú ý

Linux malware mới được kiểm soát thông qua biểu tượng cảm xúc được gửi từ Discord

Một phần mềm độc hại Linux mới được phát hiện có tên là 'DISGOMOJI' sử dụng phương pháp mới là sử dụng biểu tượng cảm xúc để thực thi lệnh trên các thiết bị bị nhiễm trong các cuộc tấn công vào các cơ quan chính phủ ở Ấn Độ.

Phần mềm độc hại được phát hiện bởi công ty an ninh mạng Volexity, công ty tin rằng nó có liên quan đến một tác nhân đe dọa có trụ sở tại Pakistan có tên là ‘UTA0137.’ Phần mềm độc hại này tương tự như nhiều backdoor/botnet khác được sử dụng trong các cuộc tấn công khác nhau, cho phép các tác nhân đe dọa thực thi lệnh, chụp ảnh màn hình, đánh cắp tệp, triển khai tải trọng bổ sung và tìm kiếm tệp.

Tuy nhiên, việc nó sử dụng Discord và biểu tượng cảm xúc làm nền tảng ra lệnh và kiểm soát (C2) khiến phần mềm độc hại này nổi bật so với các phần mềm độc hại khác và có thể cho phép nó vượt qua phần mềm bảo mật tìm kiếm các lệnh dựa trên văn bản.

FPT Cloud khuyến cáo các cá nhân và tổ chức sử dụng dịch vụ cần:

• Nên thay đổi thông tin xác thực mặc định và đảm bảo rằng ứng dụng của họ luôn được vá các lỗ hổng được tiết lộ gần đây.
• Thực hiện các biện pháp bảo mật toàn diện và mạnh mẽ.

Thông tin chi tiết hơn xem thêm tại ĐÂY

Keytronic xác nhận vi phạm dữ liệu sau khi nhóm ransomware rò rỉ các tập tin bị đánh cắp

Công ty sản xuất PCBA khổng lồ Keytronic đang cảnh báo rằng họ đã bị vi phạm dữ liệu sau khi nhóm ransomware Black Basta làm rò rỉ 530GB dữ liệu bị đánh cắp của công ty hai tuần trước.

Trong hồ sơ vào cuối chiều thứ Sáu gửi cho SEC, Công ty tuyên bố rằng cuộc tấn công cũng khiến họ phải đóng cửa các hoạt động trong nước và Mexico trong hai tuần trong khi họ phản ứng với cuộc tấn công và các hoạt động bình thường hiện đã trở lại.

Theo yêu cầu của hướng dẫn mới của SEC, Công ty cũng xác nhận rằng cuộc tấn công và mất sản lượng sẽ có tác động đáng kể đến tình hình tài chính của Công ty trong quý 4 kết thúc vào ngày 29 tháng 6 năm 2024.

Công ty cho biết họ đã phải chịu khoảng 600.000 USD chi phí liên quan đến việc thuê chuyên gia an ninh mạng bên ngoài và những chi phí này có thể tiếp tục.

FPT Cloud khuyến cáo các cá nhân hoặc tổ chức thực hiện các biện pháp:

• Cảnh giác trả lời email, thư hoặc cuộc gọi điện thoại không được yêu cầu nếu nằm trong phạm vi ảnh hưởng.
• Sao lưu dữ liệu: Thực hiện sao lưu dữ liệu định kỳ và lưu trữ các bản sao lưu này ở các vị trí an toàn, cách ly để có thể khôi phục nhanh chóng trong trường hợp bị tấn công.
• Thường xuyên rà soát và khắc phục các lỗ hổng tồn tại trên máy chủ web

Xem thêm tại ĐÂY

Email lừa đảo lạm dụng giao thức tìm kiếm của Windows để phát tán các tập lệnh độc hại

Một chiến dịch lừa đảo mới sử dụng các tệp đính kèm HTML lạm dụng giao thức tìm kiếm của Windows (URI tìm kiếm-ms) để đẩy các tệp hàng loạt được lưu trữ trên các máy chủ từ xa phát tán phần mềm độc hại.

Giao thức Windows Search là Mã định danh tài nguyên thống nhất (URI) cho phép các ứng dụng mở Windows Explorer để thực hiện tìm kiếm bằng các tham số cụ thể.

Những kẻ tấn công có thể khai thác chức năng này để chia sẻ các tệp độc hại trên các máy chủ từ xa, như Giáo sư Tiến sĩ Martin Johns lần đầu tiên nhấn mạnh trong một luận án năm 2020.

Vào tháng 6 năm 2022, các nhà nghiên cứu bảo mật đã nghĩ ra một chuỗi tấn công mạnh mẽ cũng khai thác lỗ hổng Microsoft Office để khởi chạy tìm kiếm trực tiếp từ tài liệu Word.

Các nhà nghiên cứu của Trustwave SpiderLabs hiện báo cáo rằng kỹ thuật này được sử dụng rộng rãi bởi những kẻ đe dọa đang sử dụng tệp đính kèm HTML để khởi chạy các tìm kiếm Windows trên máy chủ của kẻ tấn công.

FPT Cloud khuyến cáo các cá nhân hoặc tổ chức:

• Thực hiện các quy trình bảo mật tuân thủ theo các quy tắc nhằm phòng chống mã độc được truyền vào qua mọi con đường có thể.
• Thực hiện rà soát an ninh bảo mật thường xuyên nhằm phát hiện ra các lỗ hổng bảo mật còn đang tồn tại.
• Cảnh giác trả lời email, thư hoặc cuộc gọi điện thoại không được yêu cầu nếu nằm trong phạm vi ảnh hưởng.
• Thực hiện các quy trình backup, sao lưu dữ liệu thường xuyên theo định kì

Xem thêm tại ĐÂY