Lỗ hổng được gắn mã CVE-2021-28372 (điểm CVSS 9,6) được Công ty An ninh mạng Mandiant (Mỹ) phát hiện vào cuối năm 2020, liên quan đến lỗ hổng kiểm soát truy cập không phù hợp trong các phiên bản sản phẩm của bộ công cụ phát triển phần mềm P2P SDK của ThroughTek.
Theo Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA), việc khai thác thành công lỗ hổng này cho phép kẻ tấn công có khả năng nghe âm thanh trực tiếp, xem luồng dữ liệu video trong thời gian thực, xâm phạm thông tin đăng nhập thiết bị. Từ đó để có thể dẫn đến cuộc tấn công tiếp theo dựa trên các chức năng của thiết bị ảnh hưởng, bao gồm thực thi mã từ xa.
Số liệu thống kê của ThroughTek cho thấy, hiện có khoảng 83 triệu thiết bị được kết nối thông qua mạng Kalay. Các phiên bản của Kalay P2P SDK bị ảnh hưởng bao gồm:
• Các phiên bản 3.1.5 trở về trước
• Các phiên bản SDK có thẻ nossl
• Thiết bị firmware không sử dụng AuthKey cho kết nối IOTC
• Thiết bị firmware sử dụng mô-đun AVAPI mà không bật cơ chế DTLS
• Thiết bị firmware sử dụng mô-đun P2Ptunel hoặc RDT
Lỗ hổng này ảnh hưởng đến các thiết bị sử dụng nền tảng Kalay của Công ty ThroughTek (có trụ sở tại Đài Loan). Nền tảng Kalay là một công nghệ P2P cho phép camera an ninh, camera giám sát trẻ em và các thiết bị giám sát video hỗ trợ internet khác xử lý việc truyền tải an toàn các tệp âm thanh cũng như video lớn với độ trễ thấp. Điều này được thực hiện thông qua SDK - một triển khai của giao thức Kalay, được tích hợp vào các ứng dụng dành cho thiết bị di động và máy tính để bàn cũng như các thiết bị IoT được kết nối mạng.
Lỗ hổng CVE-2021-28372 liên quan đến quá trình đăng ký giữa thiết bị và ứng dụng di động, đặc biệt là cách truy cập và tham gia mạng Kalay. Các nhà nghiên cứu cho biết lỗ hổng này cho phép kẻ tấn công giả mạo mã định danh của thiết bị nạn nhân (được gọi là UID) để đăng ký một thiết bị mà họ kiểm soát trên mạng Kalay với cùng một UID, khiến máy chủ đăng ký ghi đè thông tin trên thiết bị hiện có và thay đổi định tuyến các kết nối đến thiết bị giả mạo. Điều này dẫn đến các kết nối máy khách đến UID của nạn nhân sẽ được chuyển hướng đến kẻ tấn công.
Kẻ tấn công khai thác lỗ hổng để lấy thông tin đăng nhập
Các nhà nghiên cứu cho biết: “Một khi kẻ tấn công đã đăng ký một UID độc hại, bất kỳ kết nối máy khách nào truy cập vào UID của nạn nhân sẽ được chuyển hướng đến kẻ tấn công, sau đó họ có thể tiếp tục quá trình kết nối và lấy thông tin xác thực (tên người dùng và mật khẩu) cần thiết để truy cập thiết bị. Với thông tin đăng nhập đã thu thập được, kẻ tấn công có thể sử dụng mạng Kalay để kết nối từ xa với thiết bị gốc, truy cập dữ liệu AV, và thực hiện các lệnh gọi cuộc gọi thủ tục từ xa”.
Tuy nhiên, việc khai thác lỗ hổng CVE-2021-28372 khá phức tạp. Để thực hiện được điều này, các chuyên gia bảo mật cho biết những kẻ tấn công sẽ cần phải có kỹ năng chuyên sâu và toàn diện về giao thức Kalay. Bên cạnh đó là việc lấy Kalay UID thông qua kỹ nghệ xã hội hay các lỗ hổng khác trong API, hoặc các dịch vụ khác để có thể lợi dụng thực hiện cuộc tấn công. Từ đó xâm nhập từ xa các thiết bị tương ứng với UID thu được.
Trước đó vào tháng 6/2021, CISA cũng đã đưa ra cảnh báo về việc phát hiện một lỗ hổng bảo mật trong SDK P2P của ThroughTek (CVE-2021-32934), có thể bị lợi dụng để truy cập trái phép nguồn cấp dữ liệu âm thanh và video của camera. Tuy nhiên khác với lỗ hổng đó, Mandiant (công ty cung cấp dịch vụ bảo mật và an toàn thông tin trực thuộc FireEye) chia sẻ rằng, CVE-2021-28372 cho phép kẻ tấn công giao tiếp với các thiết bị từ xa. Điều này làm gia tăng rủi ro và mở ra các cuộc tấn công thực thi mã từ xa trên các thiết bị IoT bị ảnh hưởng.
Hiện ThroughTek đã phát hành các bản cập nhật SDK để giảm thiểu nguy cơ bị tấn công và khuyến nghị tất cả các tổ chức, người dùng IoT sử dụng Kalay nên nâng cấp lên phiên bản 3.1.10, đồng thời kích hoạt DTLS để bảo mật dữ liệu khi truyền tải và AuthKey nhằm bổ sung thêm một lớp xác thực trong quá trình kết nối máy khách.
Đinh Hồng Đạt
08:00 | 25/08/2021
16:00 | 06/09/2021
14:00 | 10/09/2021
08:00 | 23/08/2021
11:00 | 13/09/2021
13:00 | 13/08/2021
07:00 | 11/03/2024
Mới đây, các nhà nghiên cứu của hãng bảo mật Kaspersky (Nga) đã phát hiện một Trojan ngân hàng tinh vi mới đánh cắp thông tin tài chính nhạy cảm có tên là Coyote, mục tiêu là người dùng của hơn 60 tổ chức ngân hàng, chủ yếu từ Brazil. Điều chú ý là chuỗi lây nhiễm phức tạp của Coyote sử dụng nhiều kỹ thuật tiên tiến khác nhau, khiến nó khác biệt với các trường hợp lây nhiễm Trojan ngân hàng trước đó. Phần mềm độc hại này sử dụng trình cài đặt Squirrel để phân phối, tận dụng NodeJS và ngôn ngữ lập trình đa nền tảng tương đối mới có tên Nim làm trình tải (loader) trong chuỗi lây nhiễm. Bài viết này sẽ phân tích hoạt động và khám phá khả năng của Trojan ngân hàng này.
09:00 | 06/03/2024
Tác nhân đe dọa liên quan đến Trung Quốc có tên là Mustang Panda đã nhắm mục tiêu vào nhiều quốc gia châu Á bằng cách sử dụng một biến thể mới của backdoor PlugX có tên là DOPLUGS.
11:00 | 29/02/2024
Các nhà nghiên cứu của hãng bảo mật Palo Alto Networks (Mỹ) đã phát hiện một biến thể mới của Trojan ngân hàng Mispadu đang tiến hành các hoạt động khai thác lỗ hổng Windows SmartScreen đã được vá để nhắm mục tiêu đến các nạn nhân ở Mexico. Bài viết sẽ phân tích và thảo luận xoay quanh biến thể mới của Mispadu và tấn công khai thác lỗ hổng Windows SmartScreen dựa trên báo cáo của Palo Alto Networks.
14:00 | 23/02/2024
Trong thời đại kỹ thuật số phát triển như hiện nay, tấn công phishing đã trở thành một mối đe dọa rất khó phòng tránh đối với người dùng mạng. Theo báo cáo của Tổ chức toàn cầu về chống lừa đảo trên mạng (Anti-Phishing Working Group), trong quý IV/2022, đã có hơn 304.000 trang web phishing được phát hiện, lừa đảo hơn 300 triệu người dùng trên toàn cầu. Đáng chú ý, số lượng trang web phishing đã tăng lên 6,9% so với quý trước, đạt mức cao nhất trong vòng 5 năm. Các cuộc tấn công phishing nhắm vào các tổ chức tài chính, ngân hàng và thanh toán trực tuyến chiếm 42,4% tổng số các cuộc tấn công. Số lượng các tên miền giả mạo đã tăng lên 11,5% so với quý III/2022, đạt mức cao nhất trong vòng 3 năm. Trong bối cảnh như vậy, việc nâng cao nhận thức và có các biện pháp đối phó với tấn công phishing là rất quan trọng.
Trong một xu hướng đáng lo ngại được Bitdefender Labs (Hoa Kỳ) phát hiện gần đây, tin tặc đang tận dụng sự quan tâm ngày càng tăng đối với AI để phát tán các phần mềm độc hại tinh vi. Những kẻ tấn công này đang tung ra các chiến dịch quảng cáo độc hại trên mạng xã hội, giả dạng các dịch vụ AI phổ biến như Midjourney, DALL-E và ChatGPT để đánh lừa người dùng.
10:00 | 22/04/2024