Phòng ATTT Tuần 15/2019 BẢN TIN NỘI BỘ CẬP NHẬT VỀ AN TỒN THƠNG TIN VÀ CẢNH BÁO LỖ HỔNG BẢO MẬT Báo động tảng website WordPress bị hacker công lừa đảo Cuối tháng 3/2019, thông tin plugin (thành phần mở rộng cài đặt thêm) có tên “Yuzo Related Posts” cài 60.000 website bị xóa bỏ khỏi thư viện plugin Wordpress.org sau chứa lỗ hổng khơng có vá tiết lộ nhà nghiên cứu bảo mật gây xôn xao cộng đồng công nghệ Về chất, lỗ hổng cho phép thực công dạng Stored-XSS bị lợi dụng để công website sử dụng tảng WordPress có cài đặt plugin Với việc sử dụng lỗ hổng này, cơng vượt qua chế bảo vệ Wordfence (“tường lửa” WordPress) khiến kẻ công không cần quyền xác thực chèn nội dung độc hại, ví dụ đoạn mã Javascript vào cấu hình plugin Lỗ hổng lợi dụng để công thay đổi giao diện để lừa đảo người dùng 11 ngày sau lỗ hổng bị phát hiện, hacker tuyên bố bắt đầu khai thác trang web có cài đặt “Yuzo Related Posts” Khi người dùng truy cập website bị khai thác, đoạn mã javascript từ máy chủ hellofromhony.com chuyển hướng họ tới website lừa đảo chứa mã độc Phân tích SecurityBox cho thấy hình thức cơng có nhiều điểm tương đồng với công dựa vào lỗ hổng phát trước có tên Social Warfare Easy WP SMTP (mã độc lưu trữ máy chủ hellofromhony.org có địa IP 176.123.9[.]53) Cả công sử dụng lỗ hổng Stored-XSS chuyển hướng người dùng tới website độc hại để tiến hành lừa đảo Do đó, kỹ thuật cơng quy trình khai thác cho lỗ hổng khả lớn tin tặc gây Trước thực trạng đáng lo ngại trên, phía SecurityBox khuyến cáo chủ sở hữu trang web cài đặt plugin Yuzo Related Posts phải gỡ bỏ có vá sửa lỗi thức Với khách hàng sử dụng miễn phí, thời gian chờ đợi cập nhật 30 ngày nên việc gỡ bỏ khỏi website tránh rủi ro bị công Khuyến nghị: Phòng ATTT khuyến nghị: Người dùng quản trị viên cần gỡ bỏ plugin “Yuzo Related Posts” trình duyệt để đảm bảo an tồn thơng tin Link tham khảo: https://ictnews.vn/cntt/bao-mat/bao-dong-nen-tang-websitewordpress-bi-hacker-tan-cong-lua-dao-181211.ict Phòng ATTT Tuần 15/2019 Lỗi bảo mật giao thức WPA3 giúp hacker lấy mật Wi-Fi "WPA" viết tắt Wi-Fi Protected Access, giao thức bảo mật cho mạng Wi-Fi Giao thức Wi-Fi Protected Access III (WPA3) đưa nỗ lực giải thiếu sót kỹ thuật giao thức WPA2, từ lâu coi khơng an tồn dễ bị KRACK (Tấn cơng cài đặt lại khóa) WPA3 giới thiệu mang lại bảo vệ mạnh mẽ người dùng chọn mật ngắn khơng phức tạp Nói cách khác, bạn sử dụng mật yếu, tiêu chuẩn WPA3 bảo vệ chống lại công bruteforce Đây kiểu công mà máy khách cố gắng đoán mật khẩu, hành động lặp lặp lại tìm mật xác Mathy Vanhoef, nhà nghiên cứu bảo mật phát KRACK, tỏ thích cải tiến bảo mật WPA3 Tuy nhiên, cơng nghệ có nhiều lỗ hổng, WPA3 Mặc dù WPA3 dựa vào giao thức kết nối-giao tiếp an toàn hơn, gọi Dragonfly nhằm bảo vệ mạng Wi-Fi chống lại công ngoại tuyến Các nhà nghiên cứu bảo mật Mathy Vanhoef Eyal Ronen tìm thấy điểm yếu việc triển khai sớm WPA3-Personal, cho phép kẻ công khôi phục mật Wi-Fi dễ dàng cách sử dụng kỹ thuật liên quan đến abusing timing (mã lỗi CVE-2019-9494) lấy cache-based side-channel (mã lỗi CVE-2019-9494) Cụ thể, kẻ cơng đọc thơng tin WPA3 cho mã hóa an tồn Điều bị lạm dụng để đánh cắp thông tin nhạy cảm số thẻ tín dụng, mật khẩu, tin nhắn trị chuyện, email, "Để công phân vùng lưu trữ mật khẩu, cần ghi lại số lần liên kết với địa MAC khác Chúng tơi kết nối với địa MAC khác cách nhắm mục tiêu nhiều khách hàng mạng (ví dụ: thuyết phục nhiều người dùng tải xuống ứng dụng độc hại) Hoặc trường hợp cơng thiết bị, chúng tơi thiết lập trạm lừa đảo có SSID địa MAC giả mạo." - Hai nhà nghiên cứu cho biết Bên cạnh đó, nghiên cứu ghi nhận công từ chối dịch vụ (DoS) khởi chạy cách khởi động số lượng lớn kết nối với Access Point hỗ trợ WPA3, bỏ qua chế chống tắc nghẽn SAE cho để ngăn chặn công DoS Hiện nghiên cứu báo cáo cho WiFi Alliance, tổ chức phi lợi nhuận chứng nhận tiêu chuẩn WiFi sản phẩm Wi-Fi phù hợp Họ thừa nhận vấn đề làm việc với nhà cung cấp để vá thiết bị chứng nhận WPA3 có Khuyến nghị: Phòng ATTT khuyến nghị: Người dùng cần cập nhật vá thiết bị accesspoint hỗ trợ WPA3 từ nhà sản xuất để đảm bảo an tồn thơng tin Link tham khảo: https://vietnamnet.vn/vn/cong-nghe/bao-mat/loi-bao-mattrong-giao-thuc-wpa3-giup-hacker-lay-mat-khau-wi-fi-521488.html Phịng ATTT Tuần 15/2019 Ngân hàng phải hướng dẫn khách hàng giao dịch trực tuyến an toàn Ngân hàng Nhà nước Việt Nam vừa ban hành văn việc đẩy mạnh toán điện tử lĩnh vực dịch vụ cơng Theo đó, tiếp tục trọng nghiên cứu triển khai áp dụng giải pháp công nghệ tiên tiến để cải tiến quy trình nghiệp vụ, tối ưu hóa quy trình xử lý nhằm cung ứng đa dạng sản phẩm, dịch vụ toán chất lượng, phù hợp với nhu cầu tổ chức, cá nhân với chi phí hợp lý để tốn thuận tiện, nhanh chóng, an tồn khoản phí, lệ phí, tốn hóa đơn điện, nước, học phí, viện phí Nghiên cứu giải pháp mơ hình kết nối phù hợp, hiệu ngân hàng, tổ chức cung ứng dịch vụ trung gian toán với Cổng dịch vụ công quốc gia, Hệ thống cửa điện tử Bộ, ngành, địa phương, quan, đơn vị liên quan nhằm đơn giản hóa thủ tục tạo điều kiện toán điện tử khoản phí, lệ phí, tốn hóa đơn điện, nước, học phí, viện phí cách nhanh chóng, an tồn Hướng dẫn phổ biến đầy đủ, kịp thời cho khách hàng biết quy trình thủ tục, thao tác thực biện pháp đảm bảo an toàn thực giao dịch tốn điện tử nói chung tốn trực tuyến khoản phí, lệ phí, tốn hóa đơn điện, nước, học phí, viện phí Thiết lập phận hỗ trợ tiếp nhận xử lý kịp thời vướng mắc, tra soát, khiếu nại phát sinh có qúa trình thực Bên cạnh đó, đạo chi nhánh, đơn vị trực thuộc thường xuyên kiểm tra điều kiện hạ tầng kỹ thuật, chương trình phần mềm phục vụ tốn điện tử, đảm bảo thực lệnh toán nộp phí, lệ phí, tốn hóa đơn điện, nước, học phí, viện phí, khách hàng cách xác, kịp thời, thơng suốt an tồn theo quy định Trường hợp có phát sinh sai sót tra soát, khiếu nại phải kiểm tra, xác định nguyên nhân phối hợp chặt chẽ với đơn vị liên quan để phản hồi, giải thích rõ lý cho khách hàng biết Link tham khảo: https://ictnews.vn/cntt/bao-mat/ngan-hang-phai-huong-dankhach-hang-giao-dich-truc-tuyen-an-toan-181109.ict Phòng ATTT Tuần 15/2019 TECHNICAL PAGES: Chi tiết thông tin số lỗ hổng sản phẩm/dịch vụ phổ biến Việt Nam tuần, cụ thể sau: STT Sản phẩm/ dịch vụ IBM Apple Jenkins Cisco Mã lỗi quốc tế Mô tả ngắn CVE-2018-1936 CVE-2019-4014 CVE-2018-1640 CVE-2018-1906 CVE-2018-1917 CVE-2018-1618 CVE-2018-1622 Nhóm 18 lỗ hổng số sản phẩm, ứng dụng IBM (API Connect, DB2 Linux/ Windows, Rational Engineering Lifecycle Manage, IBM SDK, WebSphere Application Server ) cho phép đối tượng công thực thu thập thông tin, khai thác lỗi tràn đệm để chèn thực thi mã lệnh, cơng leo thang CVE-2018-4126 Nhóm 185 lỗ hổng CVE-2018-4327 số sản phẩm Apple Một CVE-2018-4268 ứng dụng độc hại truy cập tài CVE-2018-4291 khoản, tự động mở khóa … AppleIDs người dùng cục thực thi mã tùy ý với đặc quyền hệ thống Sự cố ảnh hưởng đến phiên trước IOS 12, macOS Mojave 10.14, tvOS 12, watchOS 5, Itunes 12.9 cho Windows, iCloud CVE-2019-10298 Nhóm 72 lỗ hổng phần CVE-2019-1003096 mềm Jenkins (phần mềm sử CVE-2019-1003098 dụng phát triển phần CVE-2019-10294 mềm) cho phép đối tượng CVE-2019-10289 công thu thập thông tin xác thực lưu trữ cấu hình Plugin, số lỗ hổng cho phép chèn thực thi mã lệnh CVE-2019-1827 Nhóm 02 lỗ hổng số CVE-2019-1828 sản phẩm Cisco (các dòng … switch Nexus, NX-OS, FXOS Software, ) cho phép truy cập thông tin nhạy cảm lưu trữ Ghi Đã có thơng tin xác nhận vá Đã có thơng tin xác nhận vá Chưa có thơng tin xác nhận vá Đã có thơng tin xác nhận vá Phòng ATTT Tuần 15/2019 hệ thống, chèn thực thi mã lệnh để chiếm quyền kiểm soát thiết bị Danh sách IP/tên miền độc hại có nhiều kết nối từ Việt Nam STT Tên miền/IP plpanaifheaighai.com n.hmiblgoja.ru ajkeahkcueafuiaeuf.ru iuefgauiaiduihgs.com mokoaehaeihgiaheih.ru 43trfdsds.com bszotsjovih.com https://kisscherrygirls.com/xefyzznumsa mel.cloudcontentsmak.com 10 strikotunrev.top Các cán kỹ thuật đầu mối ATTT cần thực hiện: - Xử lý lỗ hổng phát bảng (nếu có) - Chặn, xử lý truy nhập tới tên miền độc hại bảng