OpenMetadata là một nền tảng mã nguồn mở hoạt động như một công cụ quản lý siêu dữ liệu (metadata), giúp người dùng có thể tìm kiếm, xuất và nhập dữ liệu cùng nhiều tác vụ khác.
Theo nhóm Threat Intelligence, các tin tặc đã khai thác các lỗ hổng tồn tại trong các bản cài đặt chưa được vá trên Internet kể từ đầu tháng 4/2024. Các lỗ hổng bị khai thác đều được phát hiện và ghi nhận bởi nhà nghiên cứu bảo mật Alvaro Muñoz, cụ thể như sau:
- CVE-2024-28847 (điểm CVSS: 8.8): Lỗ hổng Spring Expression Language (SpEL) trong PUT /api/v1/events/subscriptions (đã được vá với phiên bản 1.2.4).
- CVE-2024-28848 (điểm CVSS: 8.8): Lỗ hổng SpEL injection trong GET /api/v1/policies/validation/condition/<expr> (đã được vá với phiên bản 1.2.4).
- CVE-2024-28253 (điểm CVSS: 8.8): Lỗ hổng chèn SpEL injection trong PUT /api/v1/policies (đã được vá với phiên bản 1.3.1).
- CVE-2024-28254 (điểm CVSS: 8.8): Lỗ hổng SpEL injection trong GET /api/v1/events/subscriptions/validation/condition/<expr> (đã được vá với phiên bản 1.2.4).
- CVE-2024-28255 (điểm CVSS: 9.8): Lỗ hổng vượt qua xác thực - Bypass (đã được vá với phiên bản 1.2.4).
Việc khai thác thành công các lỗ hổng trên có thể cho phép kẻ tấn công bypass và thực thi mã từ xa.
Những kẻ tấn công đã nhắm mục tiêu vào các khối lượng workload OpenMetadata để thực thi mã trên container chạy OpenMetadata image. Sau khi xâm nhập thành công, tin tặc sẽ thực hiện các hoạt động trinh sát để xác định mức độ truy cập vào môi trường bị xâm nhập và thu thập thông tin chi tiết về cấu hình mạng và phần cứng, phiên bản hệ điều hành, số lượng người dùng đang hoạt động và các biến môi trường.
Hai nhà nghiên cứu bảo mật Hagai Ran Kestenberg và Yossi Weizman cho biết: “Bước thăm dò này thường liên quan đến việc liên hệ với một dịch vụ công khai. Trong cuộc tấn công cụ thể này, những kẻ tấn công gửi yêu cầu ping đến các tên miền kết thúc bằng oast[.]me và oast[.]pro, được liên kết với Interactsh - một công cụ mã nguồn mở để phát hiện các tương tác ngoài phạm vi”.
Ý tưởng là xác thực kết nối mạng từ hệ thống bị xâm nhập đến cơ sở hạ tầng do kẻ tấn công kiểm soát mà không bị gắn cờ là red flag, từ đó cho phép kẻ tấn công thiết lập liên lạc đến máy chủ điều khiển và ra lệnh (C2) đồng thời triển khai payload độc hại bổ sung.
Mục tiêu cuối cùng của các cuộc tấn công là truy xuất và triển khai một biến thể Windows hoặc Linux của phần mềm độc hại khai thác tiền điện tử từ một máy chủ từ xa đặt tại Trung Quốc, tùy thuộc vào hệ điều hành.
Sau khi công cụ khai thác được thực thi, payload ban đầu sẽ bị xóa khỏi workload và những kẻ tấn công khởi tạo một reverse shell cho máy chủ từ xa của chúng bằng công cụ Netcat, cho phép kẻ tấn công chiếm quyền điều khiển hệ thống. Tính bền vững đạt được bằng cách thiết lập các cron jobs định kỳ để chạy mã độc theo các khoảng thời gian được xác định trước.
Người dùng OpenMetadata nên chuyển sang các phương thức xác thực mạnh, tránh sử dụng thông tin xác thực mặc định và cập nhật image của họ lên phiên bản mới nhất.
Sự phát triển này diễn ra khi các máy chủ Redis có thể truy cập công khai bị vô hiệu hóa tính năng xác thực hoặc có các lỗ hổng chưa được vá đang được nhắm mục tiêu để cài đặt các payload Metasploit Meterpreter cho giai đoạn sau khai thác.
Các nhà nghiên cứu của Trung tâm tình báo bảo mật AhnLab (ASEC) cho biết: “Khi Metasploit được cài đặt, các tác nhân đe dọa có thể kiểm soát hệ thống bị lây nhiễm và điều khiển mạng nội bộ của một tổ chức bằng cách sử dụng các tính năng khác nhau do phần mềm độc hại cung cấp”.
Hữu Tài
(Tổng hợp)
09:00 | 17/04/2024
14:00 | 10/05/2024
15:00 | 16/04/2024
15:00 | 16/04/2024
07:00 | 12/04/2024
07:00 | 14/10/2024
Mới đây, Trung tâm Giám sát an toàn không gian mạng quốc gia (Cục An toàn thông tin, Bộ Thông tin và Truyền thông) đã cảnh báo các chiến dịch tấn công mạng nguy hiểm nhắm vào các tổ chức và doanh nghiệp. Mục tiêu chính của các cuộc tấn công này là đánh cắp thông tin nhạy cảm và phá hoại hệ thống.
13:00 | 09/10/2024
Công ty bảo mật và cơ sở hạ tầng web - Cloudflare tiết lộ rằng họ đã ngăn chặn được một cuộc tấn công từ chối dịch vụ phân tán (DDoS) phá kỷ lục, đạt đỉnh ở mức 3,8 terabit mỗi giây (Tbps) và kéo dài 65 giây. Trong tháng 9, công ty này đã ngăn chặn hơn 100 cuộc tấn công DDoS L3/4 siêu lớn, trong đó nhiều cuộc tấn công đã vượt mốc 2 tỷ gói tin mỗi giây (Bpps) và 3 Tbps.
10:00 | 04/10/2024
Các công ty vận tải và logistics ở Bắc Mỹ đang phải đối mặt với một làn sóng tấn công mạng mới, sử dụng các phần mềm độc hại như Lumma Stealer và NetSupport để đánh cắp thông tin và kiểm soát hệ thống từ xa.
10:00 | 30/08/2024
Các chuyên gia bảo mật của hãng ESET (Slovakia) vừa phát hiện một phần mềm độc hại mới trên nền tảng Android có khả năng sử dụng đầu đọc NFC để đánh cắp thông tin thanh toán từ thiết bị của nạn nhân và chuyển dữ liệu này đến tay kẻ tấn công.
Nhóm tin tặc liên kết với Triều Tiên có tên Kimsuky được cho là liên quan đến một loạt các cuộc tấn công lừa đảo bằng cách gửi các email từ địa chỉ người gửi ở Nga để thực hiện hành vi đánh cắp thông tin đăng nhập.
14:00 | 10/12/2024