Nguyễn Đức Thao
Intern Writer
Các chuyên gia an ninh mạng đang liên tục cảnh báo về sự gia tăng đáng báo động của các cuộc tấn công tự động nhằm vào máy chủ PHP, thiết bị Internet Vạn Vật (IoT) và cả cổng đám mây. Những cuộc tấn công này được thực hiện bởi các mạng lưới máy tính ma (botnet) nổi tiếng như Mirai, Gafgyt và Mozi.
Đơn vị Nghiên cứu Mối đe dọa Qualys (TRU) cho biết, các chiến dịch tự động này đang khai thác triệt để các lỗ hổng đã biết (CVE) và những cấu hình đám mây sai sót. Mục đích của chúng là kiểm soát các hệ thống dễ bị tổn thương, từ đó mở rộng mạng lưới botnet.
Máy chủ PHP và Thiết bị IoT: Mục tiêu hấp dẫn của tin tặc
Theo công ty an ninh mạng Qualys, máy chủ PHP đang trở thành mục tiêu hàng đầu. Lý do là vì PHP được sử dụng rộng rãi trong các Hệ thống Quản lý Nội dung (CMS) phổ biến như WordPress và Craft CMS. Việc này tạo ra một "bề mặt tấn công" lớn, bởi nhiều hệ thống PHP gặp phải các vấn đề như cấu hình sai, plugin và theme lỗi thời, hay việc lưu trữ tệp không an toàn.
Tin tặc đang tích cực khai thác một số lỗ hổng quan trọng trong các khuôn khổ PHP, điển hình như:
Qualys nhấn mạnh: "Nếu Xdebug vô tình được kích hoạt trong môi trường sản xuất, kẻ tấn công có thể lợi dụng các phiên này để tìm hiểu sâu hơn về ứng dụng hoặc trích xuất dữ liệu nhạy cảm."
Bên cạnh đó, tin tặc vẫn không ngừng tìm kiếm thông tin đăng nhập, khóa API và mã thông báo truy cập trên các máy chủ lộ thiên, đồng thời tận dụng các lỗ hổng đã biết trong thiết bị IoT để biến chúng thành botnet. Các lỗ hổng này bao gồm:
CVE-2022-22947: Lỗ hổng thực thi mã từ xa trong Spring Cloud Gateway.
CVE-2024-3721: Lỗ hổng tiêm lệnh trong TBK DVR-4104 và DVR-4216.
Một lỗi cấu hình trong DVR MVPower TV-7104HE cho phép người dùng chưa xác thực thực hiện các lệnh hệ thống tùy ý.
Botnet lạm dụng dịch vụ đám mây và vai trò mới của chúng
Qualys cũng cho biết thêm, hoạt động quét tìm lỗ hổng thường bắt nguồn từ các cơ sở hạ tầng đám mây uy tín như Amazon Web Services (AWS), Google Cloud, Microsoft Azure, Digital Ocean và Akamai Cloud. Điều này cho thấy tin tặc đang lạm dụng các dịch vụ hợp pháp để trục lợi và che giấu nguồn gốc thực sự của mình.
Báo cáo kết luận rằng, "Với các bộ công cụ khai thác, khung botnet và công cụ quét phổ biến, ngay cả những kẻ tấn công cấp thấp cũng có thể gây ra thiệt hại đáng kể."
James Maude, Giám đốc Công nghệ tại BeyondTrust, nhận định: "Mặc dù trước đây botnet chủ yếu liên quan đến các cuộc tấn công từ chối dịch vụ phân tán (DDoS) hoặc khai thác tiền điện tử, nhưng hiện tại chúng đang đảm nhận vai trò mới trong hệ sinh thái mối đe dọa bảo mật danh tính."
Ông giải thích, việc kiểm soát một mạng lưới rộng lớn các địa chỉ IP của botnet cho phép kẻ tấn công thực hiện các cuộc tấn công nhồi nhét thông tin đăng nhập và rải mật khẩu quy mô lớn. Botnet cũng có thể giúp vượt qua các biện pháp kiểm soát định vị địa lý bằng cách sử dụng một nút mạng gần vị trí thực tế của nạn nhân, thậm chí dùng cùng một nhà cung cấp dịch vụ Internet (ISP) để tránh bị phát hiện đăng nhập bất thường.
Tiết lộ này được đưa ra sau khi NETSCOUT phân loại botnet DDoS-cho-thuê có tên AISURU là một loại phần mềm độc hại mới TurboMirai, có khả năng phát động các cuộc tấn công DDoS vượt quá 20 Terabit mỗi giây (Tbps). Botnet này chủ yếu bao gồm các thiết bị tại cơ sở khách hàng (CPE) như bộ định tuyến, camera quan sát và đầu ghi hình (DVR).
Theo NETSCOUT, các botnet này kết hợp khả năng tấn công DDoS chuyên dụng với các chức năng đa dụng khác như thu thập dữ liệu web bằng trí tuệ nhân tạo (AI), gửi thư rác và lừa đảo. Đáng chú ý, AISURU còn bao gồm một dịch vụ proxy dân dụng tích hợp, cho phép khách hàng trả phí định tuyến lưu lượng truy cập của họ qua các nút botnet. Việc biến thiết bị bị xâm nhập thành proxy dân dụng giúp khách hàng của botnet đạt được khả năng ẩn danh và hòa nhập với hoạt động mạng thông thường. Theo nhà báo an ninh Brian Krebs, các dịch vụ proxy lớn đã tăng trưởng theo cấp số nhân trong sáu tháng qua.
Để tự bảo vệ khỏi mối đe dọa ngày càng lớn này, người dùng và doanh nghiệp cần:
Đơn vị Nghiên cứu Mối đe dọa Qualys (TRU) cho biết, các chiến dịch tự động này đang khai thác triệt để các lỗ hổng đã biết (CVE) và những cấu hình đám mây sai sót. Mục đích của chúng là kiểm soát các hệ thống dễ bị tổn thương, từ đó mở rộng mạng lưới botnet.
Máy chủ PHP và Thiết bị IoT: Mục tiêu hấp dẫn của tin tặc
Theo công ty an ninh mạng Qualys, máy chủ PHP đang trở thành mục tiêu hàng đầu. Lý do là vì PHP được sử dụng rộng rãi trong các Hệ thống Quản lý Nội dung (CMS) phổ biến như WordPress và Craft CMS. Việc này tạo ra một "bề mặt tấn công" lớn, bởi nhiều hệ thống PHP gặp phải các vấn đề như cấu hình sai, plugin và theme lỗi thời, hay việc lưu trữ tệp không an toàn.
Tin tặc đang tích cực khai thác một số lỗ hổng quan trọng trong các khuôn khổ PHP, điển hình như:
- CVE-2017-9841: Lỗ hổng thực thi mã từ xa (RCE) trong PHPUnit.
- CVE-2021-3129: Lỗ hổng RCE trong Laravel.
- CVE-2022-47945: Lỗ hổng RCE trong ThinkPHP Framework.
Qualys nhấn mạnh: "Nếu Xdebug vô tình được kích hoạt trong môi trường sản xuất, kẻ tấn công có thể lợi dụng các phiên này để tìm hiểu sâu hơn về ứng dụng hoặc trích xuất dữ liệu nhạy cảm."
Bên cạnh đó, tin tặc vẫn không ngừng tìm kiếm thông tin đăng nhập, khóa API và mã thông báo truy cập trên các máy chủ lộ thiên, đồng thời tận dụng các lỗ hổng đã biết trong thiết bị IoT để biến chúng thành botnet. Các lỗ hổng này bao gồm:
CVE-2022-22947: Lỗ hổng thực thi mã từ xa trong Spring Cloud Gateway.
CVE-2024-3721: Lỗ hổng tiêm lệnh trong TBK DVR-4104 và DVR-4216.
Một lỗi cấu hình trong DVR MVPower TV-7104HE cho phép người dùng chưa xác thực thực hiện các lệnh hệ thống tùy ý.
Botnet lạm dụng dịch vụ đám mây và vai trò mới của chúng
Qualys cũng cho biết thêm, hoạt động quét tìm lỗ hổng thường bắt nguồn từ các cơ sở hạ tầng đám mây uy tín như Amazon Web Services (AWS), Google Cloud, Microsoft Azure, Digital Ocean và Akamai Cloud. Điều này cho thấy tin tặc đang lạm dụng các dịch vụ hợp pháp để trục lợi và che giấu nguồn gốc thực sự của mình.
Báo cáo kết luận rằng, "Với các bộ công cụ khai thác, khung botnet và công cụ quét phổ biến, ngay cả những kẻ tấn công cấp thấp cũng có thể gây ra thiệt hại đáng kể."
James Maude, Giám đốc Công nghệ tại BeyondTrust, nhận định: "Mặc dù trước đây botnet chủ yếu liên quan đến các cuộc tấn công từ chối dịch vụ phân tán (DDoS) hoặc khai thác tiền điện tử, nhưng hiện tại chúng đang đảm nhận vai trò mới trong hệ sinh thái mối đe dọa bảo mật danh tính."
Ông giải thích, việc kiểm soát một mạng lưới rộng lớn các địa chỉ IP của botnet cho phép kẻ tấn công thực hiện các cuộc tấn công nhồi nhét thông tin đăng nhập và rải mật khẩu quy mô lớn. Botnet cũng có thể giúp vượt qua các biện pháp kiểm soát định vị địa lý bằng cách sử dụng một nút mạng gần vị trí thực tế của nạn nhân, thậm chí dùng cùng một nhà cung cấp dịch vụ Internet (ISP) để tránh bị phát hiện đăng nhập bất thường.
Tiết lộ này được đưa ra sau khi NETSCOUT phân loại botnet DDoS-cho-thuê có tên AISURU là một loại phần mềm độc hại mới TurboMirai, có khả năng phát động các cuộc tấn công DDoS vượt quá 20 Terabit mỗi giây (Tbps). Botnet này chủ yếu bao gồm các thiết bị tại cơ sở khách hàng (CPE) như bộ định tuyến, camera quan sát và đầu ghi hình (DVR).
Theo NETSCOUT, các botnet này kết hợp khả năng tấn công DDoS chuyên dụng với các chức năng đa dụng khác như thu thập dữ liệu web bằng trí tuệ nhân tạo (AI), gửi thư rác và lừa đảo. Đáng chú ý, AISURU còn bao gồm một dịch vụ proxy dân dụng tích hợp, cho phép khách hàng trả phí định tuyến lưu lượng truy cập của họ qua các nút botnet. Việc biến thiết bị bị xâm nhập thành proxy dân dụng giúp khách hàng của botnet đạt được khả năng ẩn danh và hòa nhập với hoạt động mạng thông thường. Theo nhà báo an ninh Brian Krebs, các dịch vụ proxy lớn đã tăng trưởng theo cấp số nhân trong sáu tháng qua.
Để tự bảo vệ khỏi mối đe dọa ngày càng lớn này, người dùng và doanh nghiệp cần:
- Cập nhật thiết bị của mình ngay lập tức (bao gồm hệ điều hành, phần mềm và firmware IoT).
- Xóa bỏ các công cụ phát triển và gỡ lỗi (như Xdebug) khỏi môi trường sản xuất.
- Bảo mật các bí mật (secrets) bằng các công cụ chuyên dụng như AWS Secrets Manager hoặc HashiCorp Vault.
- Hạn chế quyền truy cập công khai vào cơ sở hạ tầng đám mây.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
