Nguồn: (Nền tảng điều phối xử lý sự cố an toàn thông tin mạng quốc gia)
Hiện tại, hơn 2.000 thiết bị tường lửa Palo Alto Networks, trong đó Việt Nam có 11 thiết bị, đã bị tấn công thông qua việc khai thác hai lỗ hổng bảo mật nghiêm trọng đã được vá gần đây. Hai lỗ hổng này là: CVE-2024-0012 - Authentication Bypass trong giao diện quản trị web PAN-OS: Lỗ hổng này cho phép kẻ tấn công bỏ qua các cơ chế xác thực để truy cập giao diện quản trị web của thiết bị chạy PAN-OS. Nếu khai thác thành công, kẻ tấn công có thể giành quyền quản trị thiết bị mà không cần cung cấp thông tin đăng nhập hợp lệ. CVE-2024-9474 - Privilege Escalation trên PAN-OS: Lỗ hổng này cho phép kẻ tấn công nâng cao đặc quyền từ quản trị viên (administrator) lên quyền root, qua đó có thể thực thi các lệnh với quyền cao nhất trên thiết bị tường lửa. Kẻ tấn công đang kết hợp cả hai lỗ hổng này để chiếm quyền kiểm soát hoàn toàn thiết bị và triển khai mã độc.

Hiện tại, hơn 2.000 thiết bị tường lửa Palo Alto Networks, trong đó Việt Nam có 11 thiết bị, đã bị tấn công thông qua việc khai thác hai lỗ hổng bảo mật nghiêm trọng đã được vá gần đây. Hai lỗ hổng này là:

  1. CVE-2024-0012 - Authentication Bypass trong giao diện quản trị web PAN-OS: Lỗ hổng này cho phép kẻ tấn công bỏ qua các cơ chế xác thực để truy cập giao diện quản trị web của thiết bị chạy PAN-OS. Nếu khai thác thành công, kẻ tấn công có thể giành quyền quản trị thiết bị mà không cần cung cấp thông tin đăng nhập hợp lệ.
  2. CVE-2024-9474 - Privilege Escalation trên PAN-OS: Lỗ hổng này cho phép kẻ tấn công nâng cao đặc quyền từ quản trị viên (administrator) lên quyền root, qua đó có thể thực thi các lệnh với quyền cao nhất trên thiết bị tường lửa.

Kẻ tấn công đang kết hợp cả hai lỗ hổng này để chiếm quyền kiểm soát hoàn toàn thiết bị và triển khai mã độc.

Chi tiết về các cuộc tấn công

  • Nguồn tấn công: Hầu hết các hoạt động này xuất phát từ các IP được biết đến là proxy hoặc dịch vụ VPN ẩn danh.
  • Phạm vi tấn công: Theo công ty bảo mật Shadowserver, khoảng 2.700 thiết bị PAN-OS đang dễ bị tấn công, và hơn 2.000 thiết bị đã bị xâm nhập.
  • Cơ chế tấn công: Kẻ tấn công sử dụng chuỗi khai thác để:
    • Xâm nhập quyền quản trị thiết bị thông qua CVE-2024-0012.
    • Thực thi lệnh độc hại và cài đặt mã độc bằng cách tận dụng CVE-2024-9474.

Cảnh báo từ Palo Alto Networks

Palo Alto Networks đã phát hiện chuỗi khai thác này và khuyến nghị khách hàng hạn chế quyền truy cập vào giao diện quản trị của tường lửa từ mạng nội bộ tin cậy. Các cuộc tấn công hiện tại đã bị giới hạn vào "một số lượng nhỏ giao diện quản trị thiết bị".

Khuyến nghị

  1. Cập nhật bản vá: Áp dụng ngay các bản cập nhật vá lỗi được phát hành bởi Palo Alto Networks để xử lý cả hai lỗ hổng.
  2. Hạn chế quyền truy cập:
    • Chỉ cho phép truy cập giao diện quản trị từ các địa chỉ IP nội bộ tin cậy.
    • Triển khai quy tắc firewall để ngăn chặn truy cập trái phép từ mạng bên ngoài.
  3. Kiểm tra hệ thống:
    • Quét nhật ký (logs) để phát hiện các hoạt động bất thường.
    • Xác minh xem thiết bị có bị xâm nhập hay không bằng cách so sánh với danh sách các IP liên quan đến cuộc tấn công.
  4. Thực hiện các biện pháp phòng ngừa bổ sung:
    • Định kỳ kiểm tra và áp dụng các nguyên tắc triển khai bảo mật tốt nhất của Palo Alto Networks.
    • Cách ly và điều tra thiết bị bị nghi ngờ đã bị xâm nhập.

Các lỗ hổng liên quan khác

Ngoài hai lỗ hổng trên, các lỗ hổng nghiêm trọng khác cũng đã được khai thác gần đây:

  • CVE-2024-5910: Lỗi xác thực trong công cụ cấu hình Expedition.
  • CVE-2024-3400: Lỗi trong PAN-OS, đã ảnh hưởng hơn 82.000 thiết bị vào đầu năm nay.

Tham khảo