Ngày đăng 6/12/2024 10:53| Số lượt xem 528
Nguồn:
(Nền tảng điều phối xử lý sự cố an toàn thông tin mạng quốc gia)
CERT-Bund và Zyxel vừa phát hiện một lỗ hổng nghiêm trọng (CVE-2024-11667) trong các dòng firewall của Zyxel sử dụng firmware ZLD (phiên bản từ 4.32 đến 5.38). Lỗ hổng này cho phép kẻ tấn công khai thác qua kỹ thuật directory traversal, tải lên hoặc tải xuống tệp trái phép bằng URL được tuỳ chỉnh.
Lỗ hổng hiện đang bị khai thác tích cực trong thực tế để triển khai ransomware Helldown, nhắm vào các tổ chức tại Đức và có nguy cơ lan rộng.
CERT-Bund và Zyxel vừa phát hiện một lỗ hổng nghiêm trọng (CVE-2024-11667) trong các dòng firewall của Zyxel sử dụng firmware ZLD (phiên bản từ 4.32 đến 5.38). Lỗ hổng này cho phép kẻ tấn công khai thác qua kỹ thuật directory traversal, tải lên hoặc tải xuống tệp trái phép bằng URL được tuỳ chỉnh.
Lỗ hổng hiện đang bị khai thác tích cực trong thực tế để triển khai ransomware Helldown, nhắm vào các tổ chức tại Đức và có nguy cơ lan rộng.
Chi tiết Kỹ thuật
CVE-2024-11667 (CVSS: 9.1)
Loại lỗ hổng: Directory Traversal
Vị trí ảnh hưởng:
- Firmware ZLD của Zyxel, từ phiên bản 4.32 đến 5.38.
- Kích hoạt khi bật các dịch vụ Remote Management hoặc SSL VPN.
- Thiết bị bị ảnh hưởng: Các dòng Zyxel ATP và USG FLEX firewall (chế độ On-Premise).
- Không bị ảnh hưởng: Các thiết bị quản lý qua Nebula Cloud.
Phương thức tấn công
-
Directory Traversal:
- Kẻ tấn công sử dụng URL tuỳ chỉnh để vượt qua các ràng buộc về đường dẫn.
- Cho phép tải xuống hoặc tải lên các tệp trái phép trong hệ thống.
-
Tạo tài khoản trái phép:
- Sử dụng cấu hình NAT hoặc chính sách mạng để tạo tài khoản VPN trái phép, ví dụ:
SUPPORT87.
- Điều chỉnh quyền truy cập WAN-to-LAN.
-
Triển khai Ransomware Helldown:
- Ransomware được tải lên thông qua đường dẫn tệp mở.
- Mã hóa dữ liệu nhạy cảm, dẫn đến gián đoạn hoạt động mạng.
Tác động
Khai thác lỗ hổng này có thể dẫn đến:
- Rò rỉ dữ liệu:
- Rò rỉ thông tin cấu hình hệ thống.
- Đánh cắp thông tin đăng nhập để tấn công các tài nguyên nội bộ.
- Thay đổi chính sách bảo mật:
- Tạo tài khoản VPN trái phép, ví dụ:
SUPPORT87.
- Thay đổi rule NAT cho phép truy cập từ WAN tới LAN.
- Mã độc và gián đoạn dịch vụ:
- Triển khai ransomware Helldown, dẫn đến mã hóa dữ liệu.
- Ngắt quãng hoạt động mạng và dịch vụ bảo mật.
Khuyến nghị
-
Cập nhật Firmware
- Nâng cấp ngay firmware ZLD lên phiên bản 5.39 hoặc mới hơn để vá lỗ hổng.
-
Thay đổi Thông tin Đăng nhập
- Đặt lại toàn bộ mật khẩu cho:
- Tài khoản quản trị.
- Tài khoản người dùng (Local và Active Directory).
- Thay đổi khóa VPN Pre-Shared và thông tin xác thực máy chủ xác thực bên ngoài.
-
Tăng cường Bảo mật
- Tắt các dịch vụ Remote Management và SSL VPN nếu không cần thiết.
- Giới hạn quyền truy cập qua IP tin cậy.
- Bật xác thực hai yếu tố (2FA) cho quản trị viên và người dùng.
-
Kiểm tra và Giám sát
- Phát hiện dấu hiệu bị xâm nhập:
- Tìm các tài khoản VPN lạ như
SUPPORT87.
- Kiểm tra log hoạt động trong SecuReporter.
- Kiểm tra các rule NAT và chính sách mạng bất thường.
- Xử lý thiết bị bị xâm nhập:
- Xóa tài khoản trái phép.
- Ngắt kết nối các session đáng ngờ.
-
Sao lưu dữ liệu
- Thực hiện sao lưu định kỳ và lưu trữ ngoại tuyến để phòng trường hợp bị ransomware.
Tham khảo
Duy An