Tháng 4 này có rất nhiều sự kiện nổi bật và đáng chú ý, không chỉ dừng lại ở sự xuất hiện những lỗ hổng mới mà các nhà nghiên cứu bảo mật còn phát hiện cả những chiêu trò mới của tin tặc dùng để đánh lừa người dùng. Trong bài viết này, Securitydaily sẽ tổng hợp lại tất cả các tin tức an ninh mạng nổi bật trong tháng 04/2018 vừa qua.

1. Hơn 20 triệu người dùng cài đặt chặn quảng cáo độc hại từ Chrome Store

Andrey Meshkov – người đồng sáng lập Adguard đã phát hiện ra năm tiện ích chặn quảng cáo độc hại từ Chrome Store và chúng đã được tải bởi ít nhất 20 triệu người dùng. Tất cả các tiện ích quảng cáo này đều được bắt chước làm theo một số Trình chặn quảng cáo hợp pháp và nổi tiếng. Người tạo các tiện ích mở rộng này cũng đã sử dụng các từ khóa phổ biến trong tên và mô tả của chúng để đạt được xếp hạng cao nhất trong kết quả tìm kiếm, dẫn đến việc nhiều người dùng bị mắc lừa và tải chúng xuống. Các tiện ích mở rộng này có chứa mã độc ẩn bên trong và thông qua đó tin tặc có quyền truy cập vào tất cả các trang web nạn nhân truy cập và thực hiện bất kỳ thao tác nào trên trình duyệt của nạn nhân.

Hơn 20 triệu người dùng cài đặt chặn quảng cáo độc hại từ Chrome Store
Hơn 20 triệu người dùng cài đặt chặn quảng cáo độc hại từ Chrome Store

2. Lỗ hổng bỏ qua xác thực trong nền tảng dịch vụ Auth0

Với hơn 2000 khách hàng là doanh nghiệp và phải quản lý 42 triệu đăng nhập mỗi ngày và hàng tỷ lượt đăng nhập mỗi tháng, Auth0 là một trong những nền tảng xác thực lớn nhất thế giới. Nhưng trong tháng 4, dịch vụ xác thực lớn nhất thế giới này đã phải đối mặt với một vấn đề lớn về bảo mật đó là sự xuất hiện của lỗ hổng bỏ qua xác thực (CSRF) trong SDK và các thư viện hỗ trợ của Auth0. Lỗ hổng CVE-2018-6874 cho phép kẻ tấn công sử dụng lại một JSON Web Tokens (JWT) hợp lệ cho một tài khoản riêng để truy cập vào tài khoản của nạn nhân mục tiêu. Để làm được điều này, tất cả những gì kẻ tấn công cần là ID người dùng hoặc địa chỉ email của nạn nhân. Đó đều là những thứ có thể dễ dàng thu được bằng các thủ thuật kỹ thuật xã hội đơn giản. Thật may là Auth0 đã có hành động nhanh chóng để khắc phục điểm yếu trong vòng chưa đầy 4 tiếng đồng hồ. Tuy nhiên về phía người dùng, Auth0 đã mất gần sáu tháng để liên hệ với từng khách hàng của mình và giúp họ khắc phục lỗ hổng này trước khi công khai tiết lộ vấn đề. Công ty đã giảm thiểu sự tác động của những lỗ hổng bỏ qua xác thực bằng cách viết lại các thư viện bị ảnh hưởng và phát hành phiên bản SDK mới (auth0.js 9 và Lock 11).

lỗ hổng bỏ qua xác thực
lỗ hổng bỏ qua xác thực

3. Hai lỗ hổng thực thi mã từ xa trong lõi và một lỗ hổng trong trình soạn thảo văn bản của Drupal

Ba lỗ hổng cùng xuất hiện trong một tháng. Chưa bao giờ Drupal phải đối mặt với hàng loạt các vấn đề nghiêm trọng về bảo mật nhiều đến như vậy. Mở đầu với lỗ hổng Drupalgeddon2 gây ảnh hưởng đến tất cả các phiên bản của Drupal từ 6 đến 8. Lỗ hổng này cho phép một kẻ tấn công từ xa không qua xác thực có thể thực hiện mã độc hại theo mặc định hoặc các cài đặt Drupal thông thường theo các đặc quyền của người dùng. Theo tiết lộ của Checkpoint, lỗ hổng tồn tại do sự nhiễu loạn dữ liệu đầu vào thông qua yêu cầu Form API (FAPI) AJAX. Điều này cho phép kẻ tấn công chèn một payload độc hại vào cấu trúc nội bộ. Dẫn đến việc Drupal thực thi nó mà không cần xác thực người dùng. Bằng cách khai thác lỗ hổng này, kẻ tấn công có thể thực hiện việc tiếp nhận toàn bộ trang web của bất kỳ người dùng Drupal.

Tin tặc sử dụng mã khai thác công khai để tấn công Drupal
Lỗ hổng Drupalgeddon2

Ngay sau khi phát hành PoC khai thác công khai, các nhà nghiên cứu đã nhận thấy các nỗ lực khai thác Drupalgeddon2. Tin tặc đã lợi dụng khai thác PoC cho lỗ hổng Drupalgeddon2 (CVE-2018-7600) để chèn backdoor độc hại và malware khai thác tiền ảo vào máy tính của nạn nhân. Thống kê của Imperva cho thấy rằng 90% các cuộc tấn công Drupalgeddon2 chỉ đơn giản là quét IP để tìm các hệ thống dễ bị tấn công, 3% là các nỗ lực xâm nhập backdoor, và 2% đang cố gắng chạy malware khai thác tiền ảo trên các mục tiêu.

Tin tặc khai thác lỗ hổng Drupalgeddon2 để chèn mã độc đào tiền ảo
Tin tặc khai thác lỗ hổng Drupalgeddon2 để chèn mã độc đào tiền ảo

Kế tiếp là sự xuất hiện của lỗ hổng XSS trong trình soạn thảo văn bản của Drupal. Lỗ hổng XSS nằm trong một plugin của bên thứ ba – CKEditor, được tích hợp sẵn trong lõi Drupal để giúp các quản trị viên trang web và người dùng tạo nội dung tương tác. Lỗ hổng XSS xuất phát từ việc xác nhận hợp lệ thẻ “img” trong plugin Enhanced Image cho CKEditor 4.5.11 và các phiên bản mới hơn. Điều này có thể cho phép kẻ tấn công thực hiện mã HTML và JavaScript tùy ý trong trình duyệt của nạn nhân và truy cập thông tin nhạy cảm.

Tìm thấy lỗ hổng thực thi mã từ xa trong Drupal
Lỗ hổng Drupalgeddon3

Lỗ hổng thứ 3 trong một tháng. Lỗ hổng Drupalgeddon3 (CVE-2018-7602) gây ảnh hưởng đến lõi Drupal 7 và 8, đồng thời cho phép kẻ tấn công từ xa đạt được chính xác những gì lỗ hổng Drupalgeddon2 (CVE-2018-7600) đã được phát hiện trước đó cho phép – hoàn toàn chiếm quyền kiểm soát các website dế bị tổn thương. Drupalgeddon3 xuất hiện do xác thực đầu vào không chính xác trong Form API, hay còn được gọi là “renderable arrays”. Rút kinh nghiệm từ việc công bố khai thác PoC của Drupalgeddon2, nhóm Drupal đã không phát hành bất kỳ chi tiết kỹ thuật nào về lỗ hổng nhưng vẫn xuất hiện rất nhiều cuộc tấn công đối với lỗ hổng mới này.

Drupal đã phát hành các bản vá mới và yêu cầu các quản trị viên trang web cập nhật phần mềm của họ càng sớm càng tốt.

Đăng ký ngay để luôn được cập nhật những tin tức mới nhất về an toàn thông tin cũng như theo dõi các bản tin an ninh mạng tiếp theo của SecurityDaily.