Lỗ hổng có mã định danh CVE-2023-45866, đây là một lỗi liên quan đến trường hợp vượt qua kiểm tra xác thực, cho phép kẻ tấn công kết nối các thiết bị nhạy cảm và thực hiện thao tác nhấn bàn phím để thực thi mã với tư cách là nạn nhân.
Nhà nghiên cứu bảo mật Marc Newlin, người đã báo cáo lỗ hổng cho các nhà cung cấp phần mềm vào tháng 8/2023, cho biết: “Nhiều ngăn xếp (stack) Bluetooth tồn tại lỗ hổng bỏ qua xác thực cho phép kẻ tấn công kết nối với máy chủ mà không cần xác nhận của người dùng và thực hiện thao tác nhấn bàn phím”.
Cụ thể, cuộc tấn công đánh lừa thiết bị mục tiêu nghĩ rằng nó được kết nối với bàn phím Bluetooth bằng cách lợi dụng “cơ chế ghép nối không cần xác thực” (unauthenticated pairing mechanism) của Bluetooth. Khai thác thành công lỗ hổng có thể cho phép kẻ tấn công ở gần kết nối với thiết bị dễ bị tấn công và truyền các thao tác nhấn bàn phím để cài đặt ứng dụng và thực thi lệnh tùy ý.
Điều đáng chú ý là cuộc tấn công không yêu cầu bất kỳ phần cứng chuyên dụng nào và có thể được thực hiện từ máy tính Linux thông qua bộ chuyển đổi (adapter) Bluetooth thông thường. Các chi tiết kỹ thuật bổ sung của lỗ hổng này hiện vẫn chưa được công khai để tránh bị kẻ xấu khai thác lạm dụng.
Giám đốc công ty an ninh mạng Cyware (Mỹ), ông Emily Phelps giải thích rằng trong lần khai thác lỗ hổng CVE-2023-45866, kẻ tấn công đánh lừa hệ thống Bluetooth của thiết bị khiến nó tin tưởng rằng đang kết nối với bàn phím mà không cần xác nhận của người dùng. Sự cố này xuất phát từ một phần mặc định của Bluetooth cho phép các thiết bị kết nối mà không cần xác thực.
Phelps cho biết: “Việc khai thác lỗ hổng này cho phép tin tặc điều khiển từ xa thiết bị của người dùng. Từ đó có thể tải xuống ứng dụng, gửi tin nhắn hoặc chạy nhiều lệnh khác nhau tùy thuộc vào hệ điều hành”.
John Gallagher, Phó chủ tịch của hãng bảo mật Viakoo (Mỹ) giải thích, khi các thiết bị giao tiếp với nhau, đầu tiên sẽ có giai đoạn “bắt tay”, trong đó hai hệ thống đồng ý giao tiếp với nhau, điều mà kẻ tấn công đã lợi dụng là nhiều thiết bị IoT, chẳng hạn như bàn phím Bluetooth, muốn làm cho việc bắt tay đó trở nên dễ dàng nhất có thể, đặc biệt là vì bàn phím không thể được sử dụng cho đến khi quá trình bắt tay hoàn tất.
Gallagher cho biết: “Trong nhiều thiết bị IoT, thông tin liên lạc được đặt theo mặc định là khả dụng, ví dụ như Wifi, Bluetooth. Các chipset được sử dụng thường hỗ trợ tất cả các giao thức tiêu chuẩn để có thể sử dụng chúng trên nhiều loại hệ thống”.
Gallagher cũng chỉ ra rằng việc duy trì an ninh vật lý bằng giám sát video và kiểm soát truy cập là các biện pháp hỗ trợ mà các tổ chức có thể bảo vệ cơ sở hạ tầng của họ, đồng thời cho biết thêm rằng nhiều cuộc tấn công mạng như thế này sẽ được thực hiện dễ dàng nếu tin tặc có thể giành được quyền truy cập vật lý. Gallagher cho biết: “Đây là một lý do khác khiến hệ thống bảo mật vật lý thường là mục tiêu của các tin tặc”.
Lỗ hổng CVE-2023-45866 ảnh hưởng đến nhiều loại thiết bị chạy Android (từ phiên bản 4.2.2, được phát hành vào tháng 11/2012), iOS, Linux và macOS. Ngoài ra, lỗi này cũng ảnh hưởng đến macOS và iOS khi Bluetooth đã được bật và bàn phím Magic đã được ghép nối với thiết bị dễ bị tấn công. Nó cũng hoạt động ngay cả khi thiết bị ở chế độ LockDown của Apple.
Trong một tư vấn bảo mật mới đây, Google cho biết, lỗ hổng CVE-2023-45866 có thể dẫn đến việc leo thang đặc quyền từ xa trong phạm vi gần mà không cần đặc quyền thực thi bổ sung. Để giảm thiểu các rủi ro tiềm ẩn, người dùng nên kiểm tra và tắt tính năng Bluetooth khi không sử dụng.
Quốc Trung
(Tổng hợp)
13:00 | 23/01/2024
07:00 | 18/01/2024
09:00 | 08/12/2023
09:00 | 04/01/2022
07:00 | 18/01/2024
08:00 | 11/01/2024
10:00 | 25/05/2020
10:00 | 10/04/2024
Một nhà cung cấp dịch vụ trung tâm dữ liệu bị tấn công với hình thức và thủ đoạn tương tự như vụ tấn công mã độc tống tiền vào VnDirect, chỉ khác về loại mã độc cụ thể mà tin tặc dùng để mã hóa dữ liệu.
14:00 | 22/02/2024
Các nhà nghiên cứu của hãng bảo mật Kaspersky đã phát hiện ra một dòng phần mềm độc hại mới được phân phối một cách bí mật thông qua các ứng dụng, phần mềm bẻ khóa (crack), nhắm mục tiêu vào ví tiền điện tử của người dùng macOS. Theo các nhà nghiên cứu, mối đe dọa mới này có những tính năng nổi trội hơn so với việc cài đặt trái phép Trojan trên các máy chủ proxy đã được phát hiện trước đó.
13:00 | 23/01/2024
Các nhà cung cấp dịch vụ viễn thông, truyền thông, Internet (ISP), nhà cung cấp dịch vụ công nghệ thông tin và các trang web của người Kurd ở Hà Lan đã trở thành mục tiêu của một chiến dịch gián điệp mạng mới do nhóm tin tặc có tên gọi là Sea Turtle thực hiện. Nhóm này hoạt động với động cơ chính trị nhằm thu thập thông tin tình báo phù hợp với những lợi ích của Thổ Nhĩ Kỳ. Bài viết này sẽ cùng phân tích về các hoạt động của nhóm tin tặc này và các kỹ thuật trong chiến dịch mới nhất, dựa trên báo cáo điều tra của công ty an ninh mạng Hunt&Hackett (Hà Lan).
13:00 | 14/12/2023
RisePro là một phần mềm độc hại đánh cắp thông tin dưới dạng dịch vụ, được xác định lần đầu tiên vào năm 2022. Gần đây, các nhà nghiên cứu của Anyrun nhận thấy hoạt động của phần mềm độc hại này tăng đột biến, đồng thời thay đổi cách giao tiếp với máy chủ điều khiển và kiểm soát (C2), cũng như trang bị những khả năng mới, đặc biệt là các tính năng điều khiển từ xa khiến nó có khả năng hoạt động như một RAT (Remote Access Trojan).
Trong một chiến dịch tấn công gần đây, các tác nhân đe dọa đã lạm dụng chức năng tìm kiếm của GitHub và sử dụng các kho lưu trữ được thiết kế đặc biệt để phát tán phần mềm độc hại nhằm đánh cắp các khoản thanh toán bằng tiền điện tử.
09:00 | 28/04/2024