Công ty an ninh mạng Mỹ, Forescout Technologies, đã phát hiện lỗ hổng nghiêm trọng khi tiến hành dự án kéo dài hơn một năm "Project Memoria" - nghiên cứu lớn chưa từng có về bảo mật của giao thức TCP/IP.
Các thiết bị nằm trong phạm vi chịu ảnh hưởng được sản xuất bởi 150 hãng khác nhau, từ nhiệt kế nối mạng đến máy in, router văn phòng, thiết bị chăm sóc y tế và cả thành phần trong hệ thống điều khiển công nghiệp. Phần lớn thiết bị tiêu dùng bị ảnh hưởng là cảm biến nhiệt độ điều khiển từ xa và camera giám sát.
"Forescout đã thông báo tới các nhà sản xuất về lỗ hổng AMNESIA:33, cũng như giới chức an ninh máy tính Mỹ, Đức và Nhật Bản. Tuy nhiên, khó có thể xác định toàn bộ thiết bị thông minh đều chịu ảnh hưởng bởi lỗ hổng này", Elisa Costante, Phó chủ tịch phụ trách nghiên cứu của Forescout, cho hay.
|
Phát hiện một lỗ hổng bảo mật mới gây ảnh hưởng tới hàng triệu thiết bị thông minh. Ảnh minh họa |
Chưa có bằng chứng nào cho thấy những lỗ hổng này bị tin tặc lợi dụng để xâm nhập hệ thống mạng của doanh nghiệp và người dùng gia đình. Tuy nhiên, sự xuất hiện của điểm yếu trong phần mềm đóng vai trò trung tâm với những thiết bị kết nối Internet khiến Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) phải đề cập tới vấn đề trong thông báo cách đây ít ngày.
"Trong trường hợp xấu nhất, các hệ thống kiểm soát nhiều dịch vụ thiết yếu với xã hội như điện, nước và quản lý công trình tự động có thể bị vô hiệu hóa", Awais Rashid, chuyên gia khoa học máy tính tại Đại học Bristol của Anh, cho biết sau khi xem xét báo cáo của Forescout.
CISA khuyến cáo áp dụng những biện pháp phòng ngừa nhằm hạn chế tối đa nguy cơ bị tin tặc tấn công, bao gồm ngắt những hệ thống điều khiển công nghiệp khỏi mạng Internet và cách ly chúng khỏi mạng máy tính doanh nghiệp.
Phát hiện này cho thấy mối đe dọa thường xuất hiện trong những thiết bị kết nối Internet nhưng không được chú trọng đến bảo mật. "Các nhà phát triển không lập trình đến nơi đến chốn là vấn đề chính trong sự việc này", Rashid nói thêm.
Việc khắc phục lỗ hổng, vốn có thể ảnh hưởng tới hàng triệu thiết bị, cũng tương đối phức tạp vì chúng nằm trong những phần mềm mã nguồn mở được phát hành tự do để sử dụng và chỉnh sửa. Vấn đề do Forescout phát hiện liên quan tới bộ giao thức TCP/IP dùng để quản lý liên lạc giữa các thiết bị qua Internet.
"Phần mềm mã nguồn mở không thuộc sở hữu của ai. Các bộ mã thường được duy trì bởi những tình nguyện viên. Một số đoạn mã TCP/IP có lỗ hổng đã tồn tại hơn 20 năm, một vài trong số đó thậm chí không còn được hỗ trợ", Phó chủ tịch Costante nói.
"Những nhà sản xuất thiết bị sẽ phải tự vá lỗ hổng, nhiều doanh nghiệp sẽ không nghĩ tới điều này vì tốn thời gian và nguồn lực. Một số đoạn code có điểm yếu được tích hợp trong linh kiện do bên thứ ba cung cấp, nếu không có tài liệu lưu trữ về chúng, thậm chí sẽ không ai biết thiết bị đang tồn tại lỗ hổng. Thử thách lớn nhất là tìm ra bên trong có gì".
Nếu không được khắc phục, các điểm yếu có thể khiến mạng doanh nghiệp dễ tổn thương trước các đợt tấn công từ chối dịch vụ, cài đặt ransomware hoặc malware có thể cướp quyền sử dụng và đưa thiết bị vào mạng lưới botnet. Mạng Internet tại nhà cũng có thể bị tập kích và mở ra cánh cửa xâm nhập vào hệ thống doanh nghiệp, nhất là trong bối cảnh nhiều người đang phải làm việc tại nhà do đại dịch Covid-19.
Zerologon (CVE-2020-1472) có điểm CVSS (thang độ tiêu chuẩn về mức độ nghiêm trọng của lỗ hổng phần mềm) đạt mức tối đa 10/10, cho phép hacker chiếm quyền điều khiển server DC và quyền quản trị dịch vụ DC mà không cần thông tin đăng nhập. Quá trình khai thác của hacker được thực hiện bằng cách gửi một số lượng lớn các yêu cầu xác thực đến server DC thông qua giao thức NetLogon (giao thức xác thực đăng nhập từ xa của quản trị), với thông tin đăng nhập chỉ chứa các giá trị bằng 0 (Zero). Xác thực sẽ thành công nếu server chọn được khóa ngẫu nhiên phù hợp. Xác suất khóa này được chọn là 1/256.
Theo phân tích của các chuyên gia Bkav, kịch bản tấn công thực tế sẽ bao gồm hai bước. Bước đầu, tin tặc tấn công chiếm quyền điều khiển một máy tính hoặc server có kết nối đến máy chủ DC, đó có thể là máy chủ VPN, máy tính người dùng, máy chủ web... Từ máy tính đã bị chiếm quyền điều khiển này, hacker tấn công vào server DC thông qua khai thác lỗ hổng Zerologon.
Theo Chất lượng Việt Nam Online