Vonahi Security, những người sáng tạo ra vPenTest, một nền tảng kiểm thử xâm nhập mạng tự động, vừa công bố báo cáo thường niên của họ "10 phát hiện quan trọng nhất về pentest năm 2024". Trong báo cáo này, Vonahi Security đã tiến hành hơn 10.000 cuộc kiểm thử xâm nhập mạng tự động, phát hiện ra 10 phát hiện thâm nhập mạng nội bộ hàng đầu tại hơn 1.200 tổ chức.

Bài viết này đưa phân tích từng phát hiện quan trọng về các lỗ hổng khai thác phổ biến mà các tổ chức phải đối mặt và cách giải quyết chúng một cách hiệu quả.

Top 10 phát hiện và khuyến nghị về Pentest

Giả mạo DNS đa hướng

Giả mạo DNS đa hướng (MDNS) là một giao thức được sử dụng trong các mạng nhỏ để phân giải tên DNS mà không cần máy chủ DNS cục bộ. Giao thức này gửi các truy vấn đến mạng con cục bộ, cho phép bất kỳ hệ thống nào phản hồi bằng địa chỉ IP được yêu cầu. Điều này có thể bị khai thác bởi những kẻ tấn công có thể phản hồi bằng địa chỉ IP của hệ thống của chúng.

Phương pháp hiệu quả nhất để ngăn chặn khai thác là vô hiệu hóa MDNS hoàn toàn nếu không sử dụng. Tùy thuộc vào cách triển khai, điều này có thể đạt được bằng cách vô hiệu hóa dịch vụ Apple Bonjour hoặc dịch vụ avahi-daemon

Giả mạo dịch vụ tên miền NetBIOS

Giả mạo dịch vụ tên miền NetBIOS (NetBIOS Name Service - NBNS) là một giao thức được sử dụng trong các mạng nội bộ để phân giải tên DNS khi máy chủ DNS không khả dụng. Giao thức này phát các truy vấn trên toàn mạng và bất kỳ hệ thống nào cũng có thể phản hồi bằng địa chỉ IP được yêu cầu. Điều này có thể bị khai thác bởi những kẻ tấn công có thể phản hồi bằng địa chỉ IP chính hệ thống của chúng.

Theo các chuyên gia, một số chiến lược để ngăn chặn việc sử dụng NBNS trong môi trường Windows hoặc giảm tác động của các cuộc tấn công giả mạo NBNS bao gồm: Cấu hình registry key UseDnsOnlyForNameResolutions để ngăn hệ thống sử dụng các truy vấn NBNS (NetBIOS qua các tham số cấu hình TCP/IP). Cùng với đó, tổ chức doanh nghiệp đặt registry DWORD thành vô hiệu hóa dịch vụ NetBIOS cho tất cả các máy chủ Windows trong mạng nội bộ. Có thể thực hiện điều này thông qua các tùy chọn DHCP, cài đặt bộ điều hợp mạng hoặc khóa sổ đăng ký.

Giả mạo phân giải tên miền đa hướng cục bộ liên kết

Giả mạo phân giải tên miền đa hướng cục bộ liên kết (Link-Local Multicast Name Resolution - LLMNR) là một giao thức được sử dụng trong các mạng nội bộ để phân giải tên DNS khi máy chủ DNS không khả dụng. Giao thức này phát các truy vấn trên toàn mạng, cho phép bất kỳ hệ thống nào phản hồi bằng địa chỉ IP được yêu cầu. Điều này có thể bị khai thác bởi những kẻ tấn công có thể phản hồi bằng địa chỉ IP của chính hệ thống của chúng.

Phương pháp hiệu quả nhất để ngăn chặn việc khai thác là cấu hình registry key Multicast Name Resolution để ngăn hệ thống sử dụng các truy vấn LLMNR.

Sử dụng chính sách Group Policy: Computer Configuration\Administrative Templates\Network\DNS Client \Turn off Multicast Name Resolution = Enabled (Để quản lý DC Windows 2003, hãy sử dụng Remote Server Administration Tools for Windows 7).

Đồng thời, chỉ sử dụng registry cho Windows Vista/7/10 Home Edition: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsNT\DNSClient \EnableMulticast.

Giả mạo DNS IPV6

Việc giả mạo DNS IPv6 xảy ra khi một máy chủ DHCPv6 giả mạo được triển khai trên mạng. Vì hệ thống Windows ưu tiên IPv6 hơn IPv4, nên các máy khách hỗ trợ IPv6 sẽ sử dụng máy chủ DHCPv6 nếu có. Trong quá trình tấn công, một máy chủ DNS IPv6 được chỉ định cho các máy khách này, trong khi chúng vẫn giữ nguyên cấu hình IPv4 của mình. Điều này cho phép kẻ tấn công chặn các yêu cầu DNS bằng cách cấu hình lại máy khách để sử dụng hệ thống của kẻ tấn công làm máy chủ DNS.

Người dùng nên tắt IPv6, trừ khi cần cho hoạt động kinh doanh. Vì việc tắt IPv6 có khả năng gây gián đoạn dịch vụ mạng, người dùng nên kiểm tra cấu hình này trước khi triển khai hàng loạt. Một giải pháp thay thế là triển khai DHCPv6 guard trên các bộ chuyển mạch mạng. Về cơ bản, DHCPv6 guard đảm bảo rằng chỉ danh sách máy chủ DHCP được ủy quyền mới được phép chỉ định hợp đồng cho thuê cho máy khách.

Hệ thống Microsoft Windows lỗi thời

Hệ thống Microsoft Windows lỗi thời dễ bị tấn công vì không còn nhận được bản cập nhật bảo mật. Điều này khiến hệ thống trở thành mục tiêu dễ dàng cho những kẻ tấn công có thể khai thác điểm yếu của hệ thống và có khả năng chuyển sang các hệ thống và tài nguyên khác trong mạng.

Người dùng nên thay thế các phiên bản Microsoft Windows lỗi thời bằng các hệ điều hành được cập nhật và được nhà sản xuất hỗ trợ.

Bỏ qua xác thực IPMI

Giao diện quản lý nền tảng thông minh (IPMI) cho phép quản trị viên quản lý máy chủ tập trung. Tuy nhiên, một số máy chủ có lỗ hổng cho phép kẻ tấn công bỏ qua xác thực và trích xuất băm mật khẩu. Nếu mật khẩu mặc định hoặc yếu, kẻ tấn công có thể lấy được mật khẩu văn bản rõ và truy cập từ xa.

Vì không có bản vá nào cho lỗ hổng này, tổ chức nên thực hiện một hoặc nhiều hành động sau: Hạn chế quyền truy cập IPMI cho một số lượng hệ thống yêu cầu quyền truy cập cho mục đích quản trị; Vô hiệu hóa dịch vụ IPMI nếu không cần thiết cho hoạt động kinh doanh; Đổi mật khẩu quản trị viên mặc định thành mật khẩu mạnh và phức tạp; Chỉ sử dụng các giao thức bảo mật, chẳng hạn như HTTPS và SSH, trên dịch vụ để hạn chế khả năng kẻ tấn công lấy được mật khẩu này thành công trong cuộc tấn công trung gian.

Microsoft Windows RCE (BlueKeep)

Các hệ thống dễ bị tấn công bởi lỗ hổng CVE-2019-0708 (BlueKeep) đã được xác định trong quá trình kiểm thử. Lỗ hổng Microsoft Windows này có khả năng khai thác cao do có sẵn các công cụ và mã, cho phép kẻ tấn công giành toàn quyền kiểm soát các hệ thống bị ảnh hưởng.

Các tổ chức nên áp dụng các bản cập nhật bảo mật trên hệ thống bị ảnh hưởng. Ngoài ra, nên đánh giá chương trình quản lý bản vá của mình để xác định lý do thiếu các bản cập nhật bảo mật vì lỗ hổng này là lỗ hổng thường bị khai thác và có thể dẫn đến truy cập đáng kể, nên cần khắc phục ngay lập tức.

Sử dụng lại mật khẩu quản trị viên cục bộ

Trong quá trình kiểm tra xâm nhập nội bộ, nhiều hệ thống được phát hiện chia sẻ cùng một mật khẩu quản trị viên cục bộ. Việc xâm phạm một tài khoản quản trị viên cục bộ sẽ cung cấp quyền truy cập vào nhiều hệ thống, làm tăng đáng kể nguy cơ xâm phạm rộng rãi trong tổ chức.

Sử dụng giải pháp như Microsoft Local Administrator Password Solution (LDAPS) để đảm bảo rằng mật khẩu quản trị viên cục bộ trên nhiều hệ thống không nhất quán.

Microsoft Windows RCE (EternalBlue)

Các hệ thống dễ bị lỗ hổng MS17-010 (EternalBlue) đã được xác định trong quá trình thử nghiệm. Lỗ hổng Windows này có khả năng khai thác cao do có sẵn các công cụ và mã, cho phép kẻ tấn công giành toàn quyền kiểm soát các hệ thống bị ảnh hưởng.

Nên áp dụng các bản cập nhật bảo mật trên hệ thống bị ảnh hưởng. Ngoài ra, các tổ chức nên đánh giá chương trình quản lý bản vá của mình để xác định lý do thiếu các bản cập nhật bảo mật. Vì lỗ hổng này thường bị khai thác và có thể dẫn đến truy cập đáng kể, nên cần khắc phục ngay lập tức.

Tiêm CGI Dell EMC IDRAC 7/8 (CVE-2018-1207)

Các phiên bản Dell EMC iDRAC7/iDRAC8 trước 2.52.52.52 dễ bị tấn công bởi lỗ hổng CVE-2018-1207, một sự cố tiêm lệnh. Điều này cho phép những kẻ tấn công chưa xác thực thực thi các lệnh với quyền root, giúp chúng kiểm soát hoàn toàn thiết bị iDRAC.

Người dùng nên nâng cấp firmware lên phiên bản mới nhất có thể.

Nguyên nhân phổ biến của các phát hiện kiểm thử thâm nhập quan trọng

Mặc dù mỗi phát hiện này xuất phát từ một khai thác khác nhau, nhưng có một số điểm chung giữa nhiều phát hiện trong số chúng. Nguyên nhân gốc rễ của nhiều phát hiện kiểm thử xâm nhập quan trọng hàng đầu vẫn là điểm yếu về cấu hình và thiếu sót trong bản vá.

Điểm yếu về cấu hình

Điểm yếu về cấu hình thường là do các dịch vụ được tăng cường không đúng cách trong các hệ thống do quản trị viên triển khai và chứa các vấn đề như thông tin xác thực yếu/mặc định, dịch vụ bị lộ không cần thiết hoặc quyền của người dùng quá mức. Mặc dù một số điểm yếu về cấu hình có thể bị khai thác trong một số trường hợp hạn chế, nhưng tác động tiềm ẩn của một cuộc tấn công thành công sẽ tương đối cao.

Thiếu sót trong bản vá

Các thiếu sót trong bản vá cho thấy một vấn đề lớn đối với các tổ chức và thường là do các lý do như khả năng tương thích và thường là các vấn đề về cấu hình trong giải pháp quản lý bản vá.

Chỉ riêng hai vấn đề này đã chứng minh được nhu cầu kiểm thử xâm nhập thường xuyên. Kiểm tra một năm một lần là cách tiếp cận thông thường đối với kiểm thử xâm nhập, thì việc kiểm tra liên tục mang lại giá trị đáng kể trong việc xác định các lỗ hổng đáng kể gần với bối cảnh thời gian thực về cách rủi ro bảo mật có thể dẫn đến các thỏa hiệp đáng kể. Ví dụ, Nessus Scan của Tenable có thể xác định LLMNR nhưng chỉ mang tính thông tin. Kiểm thử xâm nhập mạng hàng quý hoặc hàng tháng với vPenTest của Vonahi không chỉ làm nổi bật những vấn đề này mà còn giải thích tác động tiềm ẩn của chúng.