Một lỗ hổng CVE nghiêm trọng đã được phát hiện và đang bị khai thác tích cực trong các bộ định tuyến Sierra Wireless, đặc biệt là các thiết bị sử dụng hệ điều hành AirLink ALEOS. Cảnh báo này đã được Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) thêm vào danh mục Known Exploited Vulnerabilities (KEV) của họ. Quyết định này được đưa ra sau khi có bằng chứng rõ ràng về việc lỗ hổng CVE này đang bị lợi dụng trong thực tế, tạo ra rủi ro đáng kể cho các tổ chức vẫn sử dụng các thiết bị cũ.

Các cơ quan liên bang và các tổ chức tư nhân hiện đang được khuyến nghị thực hiện hành động ngay lập tức để bảo vệ mạng lưới của mình trước mối đe dọa cụ thể này. Việc khai thác đang diễn ra nhấn mạnh tầm quan trọng của việc chủ động trong an ninh mạng.

Phân tích Kỹ thuật Lỗ hổng CVE-2018-4063

Lỗ hổng CVE được theo dõi với mã định danh CVE-2018-4063, ảnh hưởng trực tiếp đến hệ điều hành Sierra Wireless AirLink ALEOS. Nó được mô tả là một lỗ hổng loại “Unrestricted Upload of File with Dangerous Type”, cho phép kẻ tấn công tải lên các tệp tin nguy hiểm mà không bị hạn chế kiểm soát kiểu tệp.

Các nhà nghiên cứu bảo mật đã xác định rằng vấn đề này cho phép một kẻ tấn công đã xác thực khai thác máy chủ web. Bằng cách gửi một yêu cầu HTTP được chế tạo đặc biệt, đối tượng đe dọa có thể tải các tệp độc hại trực tiếp lên thiết bị.

Sự thiếu kiểm soát loại tệp nghiêm ngặt trong quá trình tải lên là nguyên nhân cốt lõi. Điều này cho phép kẻ tấn công vượt qua các cơ chế phòng thủ thông thường và chèn mã độc vào hệ thống mục tiêu. Tải lên tệp độc hại có thể bao gồm các tập lệnh shell, các tệp thực thi hoặc các thành phần độc hại khác.

Một khi tệp độc hại được tải lên, nó có thể dẫn đến việc thực thi mã tùy ý trên máy chủ web. Khả năng thực thi mã từ xa (Remote Code Execution – RCE) này cung cấp cho kẻ tấn công quyền kiểm soát hoàn toàn đối với bộ định tuyến bị xâm nhập.

Mặc dù lỗ hổng này yêu cầu xác thực để kích hoạt, nhưng kẻ tấn công thường lợi dụng nó kết hợp với thông tin đăng nhập yếu hoặc mặc định. Điều này cho phép họ có được quyền truy cập ban đầu vào thiết bị và sau đó khai thác CVE-2018-4063. Việc này làm tăng đáng kể bề mặt tấn công và nguy cơ bị xâm nhập.

Mức độ nghiêm trọng của lỗ hổng này còn tăng thêm bởi khả năng cho phép truy cập liên tục và tiềm năng di chuyển ngang trong mạng. Kẻ tấn công có thể sử dụng bộ định tuyến bị chiếm quyền điều khiển làm bàn đạp để tiếp cận các hệ thống nội bộ khác, mở rộng phạm vi xâm nhập.

Cơ chế Khai thác Lỗ hổng CVE này

Quá trình khai thác bắt đầu với việc kẻ tấn công giành được thông tin xác thực hợp lệ, dù là thông qua phương pháp vét cạn (brute-force), thông tin đăng nhập mặc định chưa thay đổi, hoặc lừa đảo. Sau khi có quyền truy cập, kẻ tấn công sẽ gửi một yêu cầu HTTP POST được chế tạo đặc biệt đến máy chủ web của thiết bị.

Yêu cầu này sẽ chứa một tệp độc hại và được thiết kế để bỏ qua các kiểm tra loại tệp của ứng dụng. Ví dụ, nó có thể giả mạo loại MIME hoặc sử dụng các tiện ích mở rộng tệp không được dự đoán bởi hệ thống. Dưới đây là ví dụ minh họa về cấu trúc yêu cầu HTTP (không phải mã khai thác thực tế):

POST /upload_path HTTP/1.1
Host: [Target_IP_Address]
User-Agent: Mozilla/5.0
Accept: */*
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Content-Type: multipart/form-data; boundary=---------------------------974767299852498929531610575
Content-Length: [Calculated_Length]
Connection: close

-----------------------------974767299852498929531610575
Content-Disposition: form-data; name="file"; filename="shell.php"
Content-Type: application/x-php

<?php system($_GET['cmd']); ?>
-----------------------------974767299852498929531610575--

Tệp shell.php chứa mã PHP đơn giản cho phép thực thi lệnh hệ thống thông qua tham số GET. Nếu máy chủ web có khả năng xử lý PHP, kẻ tấn công sau đó có thể truy cập /upload_path/shell.php?cmd=whoami để thực thi lệnh whoami.

Đây chỉ là một ví dụ minh họa. Trong thực tế, các tệp độc hại có thể phức tạp hơn nhiều, bao gồm các backdoor hoặc các công cụ điều khiển từ xa hoàn chỉnh, cho phép chiếm quyền kiểm soát hệ thống bị xâm nhập một cách toàn diện.

Thiết bị Cuối Vòng Đời (EoL) và Hướng Dẫn Khẩn cấp của CISA

Một khía cạnh cảnh báo CVE cực kỳ quan trọng là trạng thái của phần cứng bị ảnh hưởng. CISA đã lưu ý rằng các sản phẩm Sierra Wireless AirLink bị ảnh hưởng có thể đã đạt đến trạng thái End-of-Life (EoL) hoặc End-of-Service (EoS).

Điều này có nghĩa là nhà cung cấp nhiều khả năng không còn phát hành các bản cập nhật bảo mật hoặc bản vá cho các thiết bị này. Do đó, lời khuyên tiêu chuẩn về việc “vá lỗi ngay lập tức” không còn phù hợp trong trường hợp này. Các thiết bị EoL/EoS không nhận được hỗ trợ kỹ thuật hoặc bảo mật từ nhà sản xuất, khiến chúng trở thành mục tiêu dễ dàng cho các cuộc tấn công khai thác lỗ hổng đã biết.

Thay vào đó, CISA đã khuyến nghị mạnh mẽ người dùng nên ngừng sử dụng các sản phẩm này. Việc tiếp tục sử dụng phần cứng EoL khiến mạng lưới tiếp xúc với các khai thác đã biết mà không thể khắc phục thông qua các bản cập nhật phần mềm. Điều này tạo ra một rủi ro bảo mật không thể chấp nhận được cho bất kỳ tổ chức nào.

Các thiết bị EoL thường chứa nhiều lỗ hổng công khai đã được tiết lộ, nhưng không bao giờ được vá. Khi một lỗ hổng CVE nghiêm trọng như CVE-2018-4063 bị khai thác tích cực trên các thiết bị như vậy, nguy cơ chiếm quyền điều khiển hệ thống trở nên rất cao.

Cần phải hiểu rằng việc cô lập các thiết bị EoL trong mạng cũng không đảm bảo an toàn tuyệt đối. Mặc dù nó có thể làm giảm nguy cơ lây lan, nhưng bản thân thiết bị vẫn là một điểm yếu cố hữu có thể bị khai thác để xâm nhập mạng lưới. Do đó, việc loại bỏ hoàn toàn là biện pháp bảo vệ hiệu quả nhất.

Yêu cầu Tuân thủ đối với Cơ quan Liên bang

Các cơ quan thuộc ngành Hành pháp Dân sự Liên bang (FCEB) đã được đặt ra một thời hạn nghiêm ngặt để loại bỏ các thiết bị này khỏi cơ sở hạ tầng của họ. Điều này nhằm tuân thủ Chỉ thị Hoạt động Bắt buộc (Binding Operational Directive – BOD) 22-01.

Chỉ thị BOD 22-01 tập trung vào việc quản lý các lỗ hổng đã biết và bị khai thác, yêu cầu các cơ quan liên bang phải thực hiện các biện pháp cụ thể để giải quyết những rủi ro này. Việc đưa lỗ hổng CVE-2018-4063 vào danh mục KEV của CISA trực tiếp kích hoạt các yêu cầu này.

Đối với các tổ chức ngoài chính phủ, mặc dù không bị ràng buộc bởi BOD 22-01, việc tuân thủ các khuyến nghị của CISA là rất quan trọng. Đây là một minh chứng rõ ràng về mức độ nghiêm trọng của mối đe dọa và sự cần thiết phải hành động quyết liệt. Việc bỏ qua các khuyến nghị này có thể dẫn đến việc hệ thống bị xâm nhập và hậu quả nghiêm trọng.

Trong bối cảnh mối đe dọa mạng ngày càng gia tăng, việc liên tục đánh giá và loại bỏ các thiết bị EoL/EoS khỏi môi trường sản xuất là một phần không thể thiếu của chiến lược an ninh mạng hiệu quả. Việc này giúp giảm thiểu đáng kể bề mặt tấn công và bảo vệ tài sản thông tin quan trọng của tổ chức.