BẢN ĐIỂM TIN AN TOÀN THÔNG TIN NGÀY 17.05.2024

17/05/2024

1. VinCSS công bố ra mắt chương trình podcast Into The Cyberverse, dẫn đầu xu thế "bình dân hóa" an ninh mạng tại Việt Nam
- VinCSS công bố ra mắt chương trình podcast Into The Cyberverse, dẫn đầu xu thế "bình dân hóa" an ninh mạng tại Việt Nam. Đây là lần đầu tiên tại Việt Nam có một chương trình tập trung khai thác sâu vào chủ đề an ninh mạng, do các chuyên gia công nghệ hàng đầu trong nước và quốc tế chia sẻ.
- Với sự bùng nổ xu hướng podcast, ước tính có tới 504 triệu người nghe podcast trên toàn thế giới vào năm 2024. Podcast trở thành kho nội dung trù phú của nhiều lĩnh vực hot như kinh tế, giải trí, tâm lý, giáo dục,... Trong đó, Into The Cyberverse nổi bật là một trong những kênh podcast tiên phong tập trung vào chủ đề an ninh mạng.
- Chương trình không chỉ là cầu nối giữa công chúng và các chuyên gia an ninh mạng, mà còn là nơi để khám phá những câu chuyện chưa từng được kể, qua đó nâng cao nhận thức và cung cấp kiến thức bảo vệ cá nhân, tổ chức trên không gian số.
- Chương trình được phát sóng trên Kênh Youtube VinCSS tại: https://www.youtube.com/@vincssofficial với phụ đề Anh - Việt, phát lại tại các Spotify và nhiều trang podcast phổ biến khác.
Xem thêm tại đường dẫn 
www.youtube.com/watch?v=K0fK23so36A&t=465s

2. Cảnh báo hacker khai thác lỗi bộ nhớ cache LiteSpeed để giành toàn quyền kiểm soát các trang web WordPress 
- Một lỗ hổng nghiêm trọng ảnh hưởng đến plugin LiteSpeed Cache cho WordPress đang được các hacker tích cực khai thác để tạo tài khoản quản trị giả mạo trên các trang web nhạy cảm.
- Thông qua công cụ WPScan, các nhà nghiên cứu bảo mật cho biết các hacker đã tận dụng lỗ hổng (CVE-2023-40000, điểm CVSS: 8.3) trong việc thiết lập người dùng quản trị viên giả mạo với tên wpsupp-user và wp-configuser.
- Lỗ hổng CVE-2023-40000 được Patchstack công bố vào tháng 02 năm 2024, là một lỗ hổng cross-site scripting (XSS) có thể cho phép người dùng chưa được xác thực nâng cao đặc quyền bằng các yêu cầu HTTP được tạo đặc biệt.
- Việc các hacker có thể tạo các tài khoản quản trị trên các trang web WordPress có thể gây ra hậu quả nghiêm trọng, vì nó cho phép các hacker giành toàn quyền kiểm soát trang web và thực hiện các hành động tùy ý, từ tiêm phần mềm độc hại đến cài đặt các plugin độc hại.
- Khuyến nghị bảo mật:
 + Để giảm thiểu các mối đe dọa tiềm ẩn, người dùng nên áp dụng các bản sửa lỗi mới nhất, xem lại tất cả các plugin đã cài đặt và xóa mọi tệp và thư mục đáng ngờ.
 + Tìm kiếm trong cơ sở dữ liệu các chuỗi đáng ngờ như 'eval(atob(Strings.fromCharCode,'" WPScan nói, "cụ thể trong tùy chọn litespeed.admin_display.messages
Chi tiết xem thêm tại đường dẫn: 
thehackernews.com/2024/05/hackers-exploiting-litespeed-cache-bug.html

3. Cảnh báo các tệp lối tắt (shortcut) trên Windows được hacker tận dụng để triển khai mã độc
- Các hacker nhắm mục tiêu các tệp LNK (phím tắt Windows) để phát tán phần mềm độc hại vì chúng có thể nhúng mã độc tự động thực thi khi phím tắt được nhấp vào.
- Các nhà nghiên cứu an ninh mạng tại ASEC gần đây đã phát hiện ra rằng các tác nhân đe dọa đã tích cực khai thác các tệp lối tắt Windows được vũ khí hóa để triển khai mã độc "RokRat" fileless.
- AhnLab xác nhận việc phân phối mã độc RokRat đang nhắm đến các người dùng ở Hàn Quốc, đặc biệt là những người liên quan đến các vấn đề của Triều Tiên và các tên tệp .lnk độc hại được xác định được liệt kê dưới đây:
1. National Information Academy 8th Integrated Course Certificate (Final).lnk
2. Gate access roster 2024.lnk
3. Northeast Project (US Congressional Research Service (CRS Report).lnk
4. Facility list.lnk
• Các tệp .lnk độc hại thực thi PowerShell thông qua CMD.
• Khi được thực thi, tệp .lnk chạy PowerShell để tạo các tài liệu ngụy trang dưới tên hợp pháp, theo sau là ba tệp (find.bat, search.dat và viewer.dat) trong thư mục Public. Tệp find.bat chạy search.dat (mã độc thực thi tải trọng backdoor RokRAT từ viewer.dat).
- Khuyến nghị bảo mật: Kiểm tra các tệp .lnk đáng ngờ trong hệ thống, song đó kiểm tra các tệp .dat trong thư mục Public.
Chi tiết xem thêm tại đường dẫn: 
https://gbhackers.com/weaponized-windows-fileles-rokrat-malware/
 
4. Cảnh báo hacker sử dụng các tập lệnh Backdoor và Powershell tùy chỉnh để tấn công các máy tính Windows.
- Nhóm Damselfly Advanced Persistent Threat (APT), còn được gọi là APT42, đã tích cực sử dụng các biến thể backdoor tùy chỉnh, NiceCurl và TameCat, để xâm nhập vào các máy Windows.
- Những backdoor này chủ yếu được phân phối thông qua các chiến dịch lừa đảo, đánh dấu sự leo thang đáng kể.
- Các backdoor NiceCurl và TameCat đại diện cho một bộ công cụ tinh vi trong kho vũ khí của Damselfly, cho phép tin tặctruy cập ban đầu vào các môi trường được nhắm mục tiêu một cách kín đáo. NiceCurl, một phần mềm độc hại dựa trên VBScript, được thiết kế để tải xuống và thực thi các mô-đun độc hại bổ sung, tăng cường khả năng kiểm soát của tin tặc đối với các hệ thống bị xâm nhập.
- Mặt khác, backdoor TameCat tạo điều kiện thuận lợi cho việc thực thi các tập lệnh PowerShell và C #, cho phép khai thác thêm bằng cách tải xuống những nội dung tùy ý.
- Khuyến nghị bảo mật: Kiểm tra xem hệ thống có tồn tại phần mềm NiceCurl hay không (xem thêm thông tin tại NICECURL Backdoor Malware - Malware removal instructions (updated) (pcrisk.com))
Chi tiết xem thêm tại đường dẫn 
https://gbhackers.com/hackers-use-custom-backdoor/

5 Cảnh báo lỗ hổng nghiêm trọng trên WordPress đang bị hacker khai thác
- Các nhà nghiên cứu bảo mật vừa phát hiện lỗ hổng XSS trên ứng dụng web WordPress với định danh CVE – 2024 – 4439. Thông tin cụ thể như sau:
 + Tên lỗ hổng : Stored Cross-Site Scripting
+ Mô tả: Lỗ hổng Stored Cross-Site Scripting thông qua tên hiển thị của người dùng trong khối Avatar trong các phiên bản khác nhau lên đến 6.5.2. Điều này làm cho các hacker được xác thực, với quyền truy cập cấp cộng tác viên trở lên, có thể chèn các tập lệnh web tùy ý vào các trang và thực thi bất cứ khi nào người dùng truy cập vào một trang được tiêm. Ngoài ra, nó cũng giúp những hacker chưa được xác thực có thể chèn các tập lệnh web tùy ý vào các trang có khối nhận xét và hiển thị hình đại diện của tác giả nhận xét.           
+ Điểm CVSSv3: 7.2
- Các phiên bản ảnh hưởng: Các ứng dụng web WordPress phiên bản: 6.5 – 6.5.1, 6.4 – 6.4.3, 6.3 – 6.3.3, 6.2 – 6.2.4, 6.1 – 6.1.5, 6.0 – 6.0.7
- Khuyến nghị bảo mật: Các nhà nghiên cứu bảo mật ở WordPress đã phát hành bản cập nhật bảo mật trong phiên bản 6.5.2 vào ngày 09 tháng 04 năm 2024, giải quyết lỗ hổng này. Bản vá này cũng được backport cho các phiên bản trước đó bắt đầu từ 6.1. Vì thế, người dùng cần:
 + Đảm bảo rằng tất cả các cài đặt WordPress được cập nhật lên phiên bản 6.5.2 trở lên.
  + Tiến hành kiểm tra trang web để kiểm tra các IOCs hoặc thay đổi trái phép trên máy chủ web.
 + Thường xuyên cập nhật tất cả các thành phần của hệ sinh thái WordPress, bao gồm các chủ đề và plugin.
Chi tiết xem thêm tại đường dẫn:

1. https://system32.ink/wordpress-core-stored-xss-cve-2024-4439-exploit/
2. https://op-c.net/blog/xss-vulnerability-in-wordpress-core-cve-2024-4439/

6. Cảnh báo cuộc tấn công phishing lập trình viên bằng các gói npm không có thật
- Các nhà nghiên cứu bảo mật đến từ công ty an ninh mạng Securonix đang theo dõi chiến dịch tấn công mang tên DEV#POPPER. Chiến dịch này lần đầu tiên xuất hiện vào cuối tháng 11/2023, khi các nhà nghiên cứu ở Unit42 của Palo Alto Networks trình bày chi tiết một cụm hoạt động có tên Contagious Interview, trong đó các tác nhân đe dọa đóng giả là nhà tuyển dụng để thu hút các lập trình viên phần mềm cài đặt phần mềm độc hại như BeaverTail và InvisibleFerret thông qua quá trình phỏng vấn.
- Khuyến nghị bảo mật:
 + Cảnh giác với các email mời gọi phỏng vấn yêu cầu cài đặt phần mềm đáng ngờ.
 + Không cài đặt các gói npm từ các nguồn không đáng tin cậy, không rõ nguồn gốc.
Chi tiết xem thêm tại đường dẫn: 
https://thehackernews.com/2024/04/bogus-npm-packages-used-to-trick.html
 
7. Cảnh báo mã độc Redline sử dụng mã bytecode để vượt qua hệ thống phòng thủ
- Các nhà nghiên cứu bảo mật phát hiện phần mềm độc hại Redline tồn tại trên kho lưu trữ hợp pháp của Microsoft (vcpkg) được ngụy trang trong tệp zip có tên "Cheat.Lab.2.7.2.zip", chứa trình cài đặt MSI triển khai hai tệp thực thi ("compiler.exe" và "lua51.dll") cùng với tệp văn bản ("readme.txt") có chứa mã bytecode theo ngôn ngữ lập trình Lua.
- Các hacker đang nổ lực trong việc thay đổi nhằm làm cho mã độc này khó phát hiện hơn bằng cách ẩn các chuỗi độc hại trong đoạn bytecode. Phiên bản Redline mới cài đặt thông qua MSI và tạo một tác vụ theo lịch trình để chạy trình biên dịch mã bytecode; nó cũng tự sao chép vào một thư mục ẩn và thiết lập một cơ chế bền bỉ thông qua một tập lệnh trong C:\Windows\Setup\Scripts. Để tránh bị phát hiện, Redline tận dụng FFI của Lua để gọi trực tiếp các chức năng API của Windows nhằm bỏ qua các kênh được giám sát tiêu chuẩn.
- Khuyến nghị bảo mật: Phần mềm độc hại này đánh cắp dữ liệu cá nhân và ẩn chính nó dưới dạng tải xuống mà người dùng muốn. Để giữ an toàn, người dùng có thể sử dụng sandbox (hộp cát) để kiểm tra các tệp đáng ngờ để tìm hành vi độc hại bằng cách sử dụng YARA, Suricata, hoặc các phương pháp phát hiện dựa trên chữ ký.
Chi tiết xem thêm tại đường dẫn: 
https://gbhackers.com/redline-malware/
 
8. Cảnh báo lỗ hổng trên Grafana cho phép hacker tấn công SQLi.
- Lỗ hổng này nằm trong gói Grafana SQL, đặc biệt là trong tệp SqlDatasource.ts, nơi các truy vấn SQL được xử lý và thực thi.
- Các hacker có thể khai thác điều này bằng cách gửi một yêu cầu POST độc hại đến điểm cuối /api/ds/query với một tham số SQL thô được chế tạo đặc biệt.
- Quan trọng hơn, lỗ hổng này ảnh hưởng đến tất cả các phiên bản của Grafana, bao gồm cả các bản phát hành mới nhất (tính tới thời điểm bản tin này được xuất bản).
- Theo báo cáo của github, mức độ rủi ro của lỗ hổng này cao vì kẻ tấn công có thể truy cập hoặc thao túng dữ liệu nhạy cảm được lưu trữ trong cơ sở dữ liệu được kết nối.
- Khuyến nghị bảo mật: Về giảm thiểu rủi ro, vì Grafana không xác thực các truy vấn được gửi đến proxy DataSource, các nguồn dữ liệu được kết nối với Grafana cần phải có cơ chế lọc và xác thực mạnh mẽ để ngăn chặn các cuộc tấn công SQL injection.
Chi tiết xem thêm tại đường dẫn: 
https://gbhackers.com/grafana-tool-vulnerability/

9. Cảnh báo hacker khai thác lỗ hổng trên ứng dụng Microsoft Office để truyền mã độc Cobalt Strike
- Vào thời gian gần đây, các nhà nghiên cứu bảo mật thấy rằng các hacker đang nổ lực khai thác lỗ hổng với định danh CVE – 2017 – 8570 để triển khai Cobalt Strike (một máy chủ Command and Control nổi tiếng trong giới tội phạm mạng) nhắm mục tiêu vào các hệ thống lớn.
- Lỗ hổng CVE – 2017 – 8570 cho phép hacker thực thi mã tùy ý thông qua các tệp được chế tạo đặc biệt, làm cho nó trở thành một công cụ mạnh mẽ để truy cập ban đầu.
- Các hacker đã sử dụng một tệp PPSX (PowerPoint Slideshow) độc hại nhằm phát tán mã độc.
- Khuyến nghị bảo mật: Cuộc tấn công này chỉ ra tầm quan trọng của việc cảnh giác và tăng cường khả năng phát hiện các mã độc tiên tiến trong lĩnh vực an ninh mạng là thực sự cần thiết. Các tổ chức nên cập nhật hệ thống của họ thường xuyên để vá các lỗ hổng đã biết như CVE – 2017 – 8570.
Chi tiết xem thêm tại đường dẫn: 
https://gbhackers.com/hackers-exploit-old-microsoft-office/

10. Khuyến nghị bảo mật cho lỗ hổng CVE – 2024 – 3400 từ Palo Alto Networks
- Sau sự xuất hiện của nhiều chiến dịch khai thác lỗ hổng mức độ critical (CVE – 2024 – 3400) trên thiết bị tường lửa PAN-OS, Palo Alto Networks đã tiếp tục đưa ra lời khuyên khắc phục khẩn cấp, cụ thể như sau:
1. Cập nhật lên Hotfix PAN-OS mới nhất: Các tổ chức được khuyến khích cập nhật ngay lập tức hệ thống tường lửa của họ lên hotfix mới nhất do Palo Alto Networks cung cấp.
2. Bản cập nhật này giải quyết các lỗ hổng mà kẻ tấn công khai thác và đóng các lỗ hổng bảo mật cho phép truy cập ban đầu.
3. Thực hiện khôi phục cài đặt gốc: Do mức độ nghiêm trọng của cuộc tấn công (bao gồm các khả năng sửa đổi hệ thống độc hại còn sót lại), người dùng nên khôi phục cài đặt gốc cho tường lửa bị ảnh hưởng.
4. Việc đặt lại này sẽ xóa mọi cấu hình, bao gồm cả những cấu hình có khả năng bị thao túng bởi các tác nhân đe dọa và khôi phục thiết bị về trạng thái ban đầu.
-  Cách đặt lại dữ liệu cá nhân và khôi phục cài đặt gốc:
 + Cấu hình sao lưu: Trước khi tiến hành thiết lập lại, hãy đảm bảo tất cả các cấu hình hiện tại được sao lưu, vì chúng sẽ bị xóa trong quá trình khôi phục cài đặt gốc.
 + Bắt đầu khôi phục cài đặt gốc: Truy cập giao diện quản lý của tường lửa và chọn tùy chọn khôi phục cài đặt gốc.
 + Quá trình này sẽ đưa tường lửa trở lại cài đặt gốc ban đầu, xóa tất cả dữ liệu người dùng, cấu hình và quan trọng là mọi thay đổi trái phép do kẻ tấn công thực hiện.
 + Khôi phục và xem lại: Sau khi đặt lại, cẩn thận khôi phục các cấu hình cần thiết từ các bản sao lưu. Xem xét các cấu hình này để đảm bảo không có thay đổi độc hại nào được đưa lại vào hệ thống là rất quan trọng.
Chi tiết xem thêm tại đường dẫn:
 https://gbhackers.com/palo-alto-networks-shares-remediation-advice-for-hacked-firewalls/