Cảnh báo lỗ hổng nghiêm trọng CVE-2024-11667 trong Firewall Zyxel tạo nguy cơ bị tấn công ransomware Helldown

Thứ năm - 05/12/2024 15:17 126 0
Trung tâm ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT/CC), Cục An toàn thông tin cảnh báo về lỗ hổng nghiêm trọng CVE-2024-11667 trong Firewall Zyxel tạo nguy cơ bị tấn công ransomware Helldown nhằm cung cấp thêm thông tin cần thiết để quản trị viên cũng như người dùng có thể thực hiện các biện pháp bảo mật một cách kịp thời và hiệu quả.
 
CVE-2024-11667 (CVSS: 9.1)

Loại lỗ hổng: Directory Traversal

Vị trí ảnh hưởng:

Firmware ZLD của Zyxel, từ phiên bản 4.32 đến 5.38.
Kích hoạt khi bật các dịch vụ Remote Management hoặc SSL VPN.
Thiết bị bị ảnh hưởng: Các dòng Zyxel ATP và USG FLEX firewall (chế độ On-Premise).
Không bị ảnh hưởng: Các thiết bị quản lý qua Nebula Cloud.

Phương thức tấn công

1. Directory Traversal:
    Kẻ tấn công sử dụng URL tuỳ chỉnh để vượt qua các ràng buộc về đường dẫn.
    Cho phép tải xuống hoặc tải lên các tệp trái phép trong hệ thống.
2. Tạo tài khoản trái phép:
    Sử dụng cấu hình NAT hoặc chính sách mạng để tạo tài khoản VPN trái phép, ví dụ: SUPPORT87.
    Điều chỉnh quyền truy cập WAN-to-LAN.
3. Triển khai Ransomware Helldown:
    Ransomware được tải lên thông qua đường dẫn tệp mở.
    Mã hóa dữ liệu nhạy cảm, dẫn đến gián đoạn hoạt động mạng.

Tác động

Khai thác lỗ hổng này có thể dẫn đến:

1. Rò rỉ dữ liệu:
    Rò rỉ thông tin cấu hình hệ thống.
    Đánh cắp thông tin đăng nhập để tấn công các tài nguyên nội bộ.
2. Thay đổi chính sách bảo mật:
   Tạo tài khoản VPN trái phép, ví dụ: SUPPORT87.
   Thay đổi rule NAT cho phép truy cập từ WAN tới LAN.
3. Mã độc và gián đoạn dịch vụ:
   Triển khai ransomware Helldown, dẫn đến mã hóa dữ liệu.
   Ngắt quãng hoạt động mạng và dịch vụ bảo mật.

Khuyến nghị

Nhằm đảm bảo an toàn thông tin cho hệ thống thông tin của đơn vị, góp phần đảm bảo an toàn cho không gian mạng Việt Nam, Trung tâm VNCERT/CC khuyến nghị người dùng và quản trị viên nên:

1. Cập nhật Firmware
    Nâng cấp ngay firmware ZLD lên phiên bản 5.39 hoặc mới hơn để vá lỗ hổng.
2. Thay đổi Thông tin Đăng nhập
    Đặt lại toàn bộ mật khẩu cho:
    Tài khoản quản trị.
    Tài khoản người dùng (Local và Active Directory).
    Thay đổi khóa VPN Pre-Shared và thông tin xác thực máy chủ xác thực bên ngoài.
3. Tăng cường Bảo mật
   Tắt các dịch vụ Remote Management và SSL VPN nếu không cần thiết.
   Giới hạn quyền truy cập qua IP tin cậy.
   Bật xác thực hai yếu tố (2FA) cho quản trị viên và người dùng.
4. Kiểm tra và Giám sát
   Phát hiện dấu hiệu bị xâm nhập:
   Tìm các tài khoản VPN lạ như SUPPORT87.
   Kiểm tra log hoạt động trong SecuReporter.
   Kiểm tra các rule NAT và chính sách mạng bất thường.
   Xử lý thiết bị bị xâm nhập:
   Xóa tài khoản trái phép.
   Ngắt kết nối các session đáng ngờ.
5. Sao lưu dữ liệu
   Thực hiện sao lưu định kỳ và lưu trữ ngoại tuyến để phòng trường hợp bị ransomware.

Tác giả: VNCERT/CC

Nguồn tin: vncert.vn

Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây