Các nhóm APT khai thác lỗ hổng mới trong Pulse secure VPN
Hiện tại, Mandiant đang theo dõi 12 họ mã độc liên quan đến việc khai thác các thiết bị Pulse Secure VPN. Các họ mã độc này cho phép tin tặc có thể khai thác thành công mà không cần xác thực và chèn backdoor vào các thiết bị VPN.
Trọng tâm của báo cáo này là các hoạt động của UNC2630 được cho là có cách thức hoạt động tương tự nhóm tin tặc Trung Quốc có biệt hiệu APT5 để chống lại các mạng lưới Công nghiệp Quốc phòng Hoa Kỳ (DIB). UNC2630 đã thu thập thông tin từ các luồng đăng nhập mạng riêng ảo (VPN) khác nhau của Pulse Secure, cho phép đối tượng tấn công sử dụng các thông tin đăng nhập hợp pháp. Để duy trì sự xâm nhập này, các đối tượng đã sử dụng các tập lệnh và mã nhị phân Pulse Secure hợp pháp nhưng được sửa đổi trên thiết bị mạng riêng ảo (VPN).
Pulse Secure cho biết lỗ hổng mới phát hiện này chỉ ảnh hưởng đến một số ít khách hàng. Đồng thời, Ivanti (Công ty mẹ của Pulse Secure) đã phát hành các biện pháp để ngăn chặn sự khai thác liên quan đến lỗ hổng này cùng với công cụ kiểm tra mang tính toàn vẹn “Pulse Connect Secure Integrity Tool” giúp người dùng có thể xác định xem hệ thống của mình có bị ảnh hưởng bởi lỗ hổng này hay không. Bản vá lỗ hổng bảo mật này sẽ được cập nhật vào đầu tháng 5/2021.
Sau khi phát hiện nhiều nhóm APT đang tích cực khai thác lỗ hổng mới trong VPN, Pulse Secure khuyến nghị người dùng ngay lập tức cập nhật các bản vá để giảm thiểu mức độ ảnh hưởng nghiêm trọng của lỗ hổng zero-day.
Mai Hương