Công ty an ninh mạng của Mỹ cảnh báo rằng hàng triệu thiết bị thông minh trên thế giới có một lỗ hổng bảo mật; mà qua đó tin tặc có thể dễ dàng xâm nhập và làm hỏng hệ thống, được gọi là AMNESIA: 33.
Công ty an ninh mạng Forescout Technologies của Mỹ đã phát hiện ra một lỗ hổng bảo mật nghiêm trọng trong quá trình thực hiện dự án “Project Memoria” trong hơn một năm; đây là một nghiên cứu quy mô lớn chưa từng có về tính bảo mật của giao thức TCP / IP.
Các thiết bị trong khu vực bị ảnh hưởng được sản xuất bởi 150 thương hiệu khác nhau; từ nhiệt kế mạng đến máy in, bộ định tuyến router văn phòng; thiết bị y tế và các thành phần hệ thống điều khiển công nghiệp. Hầu hết các thiết bị tiêu dùng bị ảnh hưởng là cảm biến nhiệt độ từ xa; và camera giám sát.
“Forescout đã thông báo cho nhà sản xuất về lỗ hổng AMnesia:33; và các quan chức bảo mật máy tính tại Hoa Kỳ, Đức, Nhật Bản. Tuy nhiên, rất khó để xác định liệu tất cả các thiết bị thông minh có bị ảnh hưởng bởi lỗ hổng này hay không”; Phó Chủ tịch Nghiên cứu của Forescout, Elisa Costante cho biết.
Lỗ hổng bảo mật có thể giúp tin tặc tấn công nhiều thiết bị và hệ thống mạng
Không có bằng chứng nào cho thấy những lỗ hổng này đã bị tin tặc khai thác để xâm nhập vào mạng công ty; và người dùng gia đình. Tuy nhiên, sự xuất hiện của các điểm yếu phần mềm đóng vai trò trung tâm trong các thiết bị kết nối Internet; khiến Bộ An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) phải giải quyết vấn đề này trong tuyên bố ngày ngày 8 tháng 12.
Chuyên gia khoa học máy tính Awais Rashid của Đại học Bristol (Anh) cho biết: “Trong trường hợp xấu nhất; hệ thống kiểm soát nhiều dịch vụ xã hội cơ bản; chẳng hạn như điện, nước và quản lý tòa nhà tự động; có thể bị vô hiệu hóa.”
CISA khuyến nghị thực hiện các biện pháp phòng ngừa; để giảm thiểu nguy cơ bị tin tặc tấn công; bao gồm ngắt kết nối hệ thống điều khiển công nghiệp khỏi Internet; và cách ly chúng khỏi mạng máy tính của công ty.
Phát hiện chỉ ra rằng các mối đe dọa thường xuất hiện trong các thiết bị kết nối Internet; nhưng không tập trung vào bảo mật. Rashid nói thêm: “Vấn đề chính của việc này chính là do các nhà phát triển không lập trình đến nơi đến chốn”.
Việc sửa chữa các lỗ hổng có thể ảnh hưởng đến hàng triệu thiết bị; cũng tương đối phức tạp; vì chúng là một phần của phần mềm mã nguồn mở; và có thể được phát hành tự do để sử dụng và sửa đổi. Các vấn đề mà Forescout tìm thấy có liên quan đến bộ giao thức TCP / IP được sử dụng; để quản lý liên lạc giữa các thiết bị trên Internet.
Phó Chủ tịch Costante cho biết: “Phần mềm nguồn mở không thuộc sở hữu của bất kỳ ai. Mã này thường được duy trì bởi các tình nguyện viên. Một số tập lệnh TCP / IP dễ bị tấn công đã tồn tại hơn 20 năm; và một số trong số đó không còn được hỗ trợ nữa”.
“Các nhà sản xuất thiết bị sẽ phải tự vá các sơ hở của mình; và nhiều công ty sẽ không xem xét điều đó; vì nó đòi hỏi thời gian và nguồn lực. Một số mã có điểm yếu được tích hợp sẵn trong các thành phần của bên thứ ba. Nếu không có kho lưu trữ của các tệp này; thì sẽ không có ai biết thiết bị đang tồn tại lỗ hổng; và dễ bị tấn công. Thách thức lớn nhất là tìm ra bên trong nó có gì.”
Nếu không được giải quyết; các lỗ hổng này có thể khiến mạng của công ty dễ bị tấn công từ chối dịch vụ DoS; tấn công cài đặt ransomware hoặc phần mềm độc hại, có thể chiếm quyền điều khiển thiết bị và gửi nó đến mạng botnet. Internet ở nhà cũng có thể bị tập kích và mở ra cánh cửa để truy cập vào các hệ thống của công ty, đặc biệt là trong trường hợp nhiều người làm việc tại nhà do tình hình của đại dịch Covid-19.
Trước đó, Việt Nam cũng đã phát hiện lỗ hổng Zerologon
Zerologon là lỗ hổng leo thang đặc quyền nguy hiểm đối với máy chủ DC (domain controller-máy chủ điều khiển hệ thống), được sử dụng trong hầu hết các hệ thống mạng của các tổ chức, doanh nghiệp lớn của Việt Nam.
Zerologon (CVE-2020-1472) có CVSS (mức tiêu chuẩn về mức độ nghiêm trọng của lỗ hổng phần mềm) lên đến 10/10, cho phép tin tặc chiếm quyền điều khiển máy chủ DC và quản lý dịch vụ. DC không có thông tin đăng nhập. Hacking được thực hiện bằng cách sử dụng NetLogon (Giao thức xác thực đăng nhập từ xa của quản trị viên) để gửi một số lượng lớn các yêu cầu xác thực đến máy chủ DC. Thông tin xác thực chỉ chứa giá trị bằng 0 (không). Nếu máy chủ chọn một khóa ngẫu nhiên thích hợp, việc xác minh thành công. Xác suất chọn được khóa này là 1/256.
Theo các chuyên gia Bkav, kịch bản tấn công thực tế sẽ bao gồm hai bước. Ban đầu, các cuộc tấn công của hacker điều khiển máy tính hoặc máy chủ kết nối với máy chủ DC, máy chủ có thể là máy chủ VPN, máy tính người dùng, máy chủ Web… Thông qua việc kiểm soát này, hacker có thể sử dụng lỗ hổng Zerologon để tấn công máy chủ DC.