OpenMetadata là một nền tảng mã nguồn mở hoạt động như một công cụ quản lý siêu dữ liệu (metadata), giúp người dùng có thể tìm kiếm, xuất và nhập dữ liệu cùng nhiều tác vụ khác.
Theo nhóm Threat Intelligence, các tin tặc đã khai thác các lỗ hổng tồn tại trong các bản cài đặt chưa được vá trên Internet kể từ đầu tháng 4/2024. Các lỗ hổng bị khai thác đều được phát hiện và ghi nhận bởi nhà nghiên cứu bảo mật Alvaro Muñoz, cụ thể như sau:
- CVE-2024-28847 (điểm CVSS: 8.8): Lỗ hổng Spring Expression Language (SpEL) trong PUT /api/v1/events/subscriptions (đã được vá với phiên bản 1.2.4).
- CVE-2024-28848 (điểm CVSS: 8.8): Lỗ hổng SpEL injection trong GET /api/v1/policies/validation/condition/<expr> (đã được vá với phiên bản 1.2.4).
- CVE-2024-28253 (điểm CVSS: 8.8): Lỗ hổng chèn SpEL injection trong PUT /api/v1/policies (đã được vá với phiên bản 1.3.1).
- CVE-2024-28254 (điểm CVSS: 8.8): Lỗ hổng SpEL injection trong GET /api/v1/events/subscriptions/validation/condition/<expr> (đã được vá với phiên bản 1.2.4).
- CVE-2024-28255 (điểm CVSS: 9.8): Lỗ hổng vượt qua xác thực - Bypass (đã được vá với phiên bản 1.2.4).
Việc khai thác thành công các lỗ hổng trên có thể cho phép kẻ tấn công bypass và thực thi mã từ xa.
Những kẻ tấn công đã nhắm mục tiêu vào các khối lượng workload OpenMetadata để thực thi mã trên container chạy OpenMetadata image. Sau khi xâm nhập thành công, tin tặc sẽ thực hiện các hoạt động trinh sát để xác định mức độ truy cập vào môi trường bị xâm nhập và thu thập thông tin chi tiết về cấu hình mạng và phần cứng, phiên bản hệ điều hành, số lượng người dùng đang hoạt động và các biến môi trường.
Hai nhà nghiên cứu bảo mật Hagai Ran Kestenberg và Yossi Weizman cho biết: “Bước thăm dò này thường liên quan đến việc liên hệ với một dịch vụ công khai. Trong cuộc tấn công cụ thể này, những kẻ tấn công gửi yêu cầu ping đến các tên miền kết thúc bằng oast[.]me và oast[.]pro, được liên kết với Interactsh - một công cụ mã nguồn mở để phát hiện các tương tác ngoài phạm vi”.
Ý tưởng là xác thực kết nối mạng từ hệ thống bị xâm nhập đến cơ sở hạ tầng do kẻ tấn công kiểm soát mà không bị gắn cờ là red flag, từ đó cho phép kẻ tấn công thiết lập liên lạc đến máy chủ điều khiển và ra lệnh (C2) đồng thời triển khai payload độc hại bổ sung.
Mục tiêu cuối cùng của các cuộc tấn công là truy xuất và triển khai một biến thể Windows hoặc Linux của phần mềm độc hại khai thác tiền điện tử từ một máy chủ từ xa đặt tại Trung Quốc, tùy thuộc vào hệ điều hành.
Sau khi công cụ khai thác được thực thi, payload ban đầu sẽ bị xóa khỏi workload và những kẻ tấn công khởi tạo một reverse shell cho máy chủ từ xa của chúng bằng công cụ Netcat, cho phép kẻ tấn công chiếm quyền điều khiển hệ thống. Tính bền vững đạt được bằng cách thiết lập các cron jobs định kỳ để chạy mã độc theo các khoảng thời gian được xác định trước.
Người dùng OpenMetadata nên chuyển sang các phương thức xác thực mạnh, tránh sử dụng thông tin xác thực mặc định và cập nhật image của họ lên phiên bản mới nhất.
Sự phát triển này diễn ra khi các máy chủ Redis có thể truy cập công khai bị vô hiệu hóa tính năng xác thực hoặc có các lỗ hổng chưa được vá đang được nhắm mục tiêu để cài đặt các payload Metasploit Meterpreter cho giai đoạn sau khai thác.
Các nhà nghiên cứu của Trung tâm tình báo bảo mật AhnLab (ASEC) cho biết: “Khi Metasploit được cài đặt, các tác nhân đe dọa có thể kiểm soát hệ thống bị lây nhiễm và điều khiển mạng nội bộ của một tổ chức bằng cách sử dụng các tính năng khác nhau do phần mềm độc hại cung cấp”.
Hữu Tài
(Tổng hợp)
09:00 | 17/04/2024
15:00 | 16/04/2024
15:00 | 16/04/2024
07:00 | 12/04/2024
13:00 | 26/02/2024
Tin tặc Nga có thể có liên quan đến cuộc tấn công mạng lớn nhất nhằm vào cơ sở hạ tầng quan trọng của Đan Mạch, 22 công ty liên quan đến hoạt động của ngành năng lượng của nước này đã bị nhắm mục tiêu vào tháng 5/2023.
15:00 | 26/01/2024
Các nhà nghiên cứu bảo mật của công ty an ninh mạng Akamai (Mỹ) phát hiện ra một mạng botnet mới dựa trên Mirai có tên là NoaBot, hiện đang được các tác nhân đe dọa sử dụng như một phần của chiến dịch khai thác tiền điện tử đã hoạt động kể từ đầu năm 2023. Bài viết này sẽ phân tích về đặc điểm của NoaBot và công cụ khai thác tiền điện tử được sử dụng trong chiến dịch tấn công mạng botnet này.
08:00 | 12/01/2024
Trung tuần tháng 12, các nhà nghiên cứu của hãng bảo mật Kaspersky phát hiện một mối đe dọa đa nền tảng mới có tên là NKAbuse. Phần mềm độc hại này được viết bằng ngôn ngữ Golang, sử dụng công nghệ NKN (New Kind of Network) để trao đổi dữ liệu giữa các thiết bị mạng ngang hàng, được trang bị khả năng tạo backdoor và phát động các cuộc tấn công từ chối dịch vụ phân tán (DDoS), bên cạnh đó NKAbuse cũng có đủ sự linh hoạt để tạo các tệp nhị phân tương thích với nhiều kiến trúc khác nhau.
09:00 | 25/12/2023
Các nhà nghiên cứu tại công ty an ninh mạng Elastic Security Labs (Singapore) cho biết đã phát hiện các kỹ thuật mới được sử dụng bởi phần mềm độc hại GuLoader để khiến việc phân tích trở nên khó khăn hơn. Một trong những thay đổi này là việc bổ sung các ngoại lệ vào tính năng VEH (Vectored Exception Handler) trong một chiến dịch tấn công mạng mới đây.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Mới đây, Cisco cảnh báo rằng một nhóm tin tặc được nhà nước bảo trợ đã khai thác hai lỗ hổng zero-day trong tường lửa Adaptive Security Appliance (ASA) và Firepower Threat Defense (FTD) kể từ tháng 11/2023 để cài đặt phần mềm độc hại trên các hệ thống mạng viễn thông và năng lượng bị ảnh hưởng tại nhiều quốc gia.
08:00 | 04/05/2024
