Trong bối cảnh mối đe dọa ngày càng leo thang, việc xác định và vá các lỗ hổng CVE đang mở là ưu tiên hàng đầu của các đội ngũ bảo mật. Việc xác định chính xác các CVE nguy hiểm, đã bị khai thác bởi các tác nhân đe dọa và ransomware, là yếu tố thiết yếu để duy trì an ninh mạng.

Các nhà nghiên cứu tại Qualys gần đây đã nêu bật 20 lỗ hổng bị khai thác nhiều nhất, lưu ý rằng tin tặc đặc biệt tập trung vào các sản phẩm của Microsoft. Một số lỗ hổng từ danh sách này cũng xuất hiện trong Cảnh báo An ninh Mạng Liên hợp (CSA) mới nhất của CISA, được phát hành vào ngày 3 tháng 8 năm 2023.

Phân Tích Các Lỗ Hổng CVE Bị Khai Thác Hàng Đầu

Bối Cảnh Các Mối Đe Dọa Hiện Nay

Các nhóm bảo mật liên tục đối mặt với thách thức trong việc quản lý và xử lý hàng nghìn lỗ hổng được công bố hàng năm. Việc ưu tiên khắc phục các lỗ hổng đã biết đang bị khai thác là cực kỳ quan trọng để giảm thiểu rủi ro bảo mật tức thì.

Phản ứng chậm trễ hoặc bỏ qua các lỗ hổng CVE này có thể tạo điều kiện cho kẻ tấn công thực hiện các cuộc xâm nhập, leo thang đặc quyền, hoặc duy trì sự hiện diện trái phép trong hệ thống.

Cảnh Báo Từ Qualys và CISA

Nghiên cứu của Qualys cung cấp một cái nhìn sâu sắc về các chiến thuật của kẻ tấn công, chỉ ra rõ ràng xu hướng nhắm mục tiêu vào các hệ thống Microsoft. Điều này nhấn mạnh tầm quan trọng của việc kiểm tra và cập nhật các môi trường Microsoft.

Cảnh báo của CISA, được công bố tại CISA Joint Cybersecurity Advisory AA23-215A, xác nhận tính nghiêm trọng và sự cấp bách của việc giải quyết các lỗ hổng này. CISA khuyến nghị các tổ chức chủ động thực hiện các biện pháp phòng ngừa và khắc phục.

Danh Sách Chi Tiết 20 Lỗ Hổng CVE Bị Khai Thác Nhiều Nhất

Dưới đây là danh sách tổng hợp 20 lỗ hổng CVE được khai thác nhiều nhất, cùng với các liên kết đến NVD (National Vulnerability Database) để tham khảo chi tiết. Việc nắm vững thông tin về những lỗ hổng này là bước cơ bản để triển khai các biện pháp bản vá bảo mật hiệu quả.

• CVE-2017-11882: Lỗ hổng thực thi mã từ xa trong Microsoft Office Equation Editor. Đây là một lỗ hổng phổ biến, thường được khai thác qua các tài liệu độc hại. Chi tiết NVD
• CVE-2017-0199: Lỗ hổng thực thi mã từ xa trong Microsoft Office và WordPad. Tương tự như CVE-2017-11882, lỗ hổng này cũng được khai thác rộng rãi qua các file Office. Chi tiết NVD
• CVE-2012-0158: Lỗ hổng thực thi mã từ xa trong điều khiển MSCOMCTL.OCX của Microsoft Office. Đây là một trong những lỗ hổng CVE lâu đời nhưng vẫn còn được khai thác. Chi tiết NVD
• CVE-2017-8570: Lỗ hổng thực thi mã từ xa trong Microsoft Office thông qua các gói độc hại. Chi tiết NVD
• CVE-2020-1472 (ZeroLogon): Lỗ hổng leo thang đặc quyền nghiêm trọng trong Netlogon của Windows Server, cho phép kẻ tấn công chiếm quyền kiểm soát miền. Chi tiết NVD
• Các lỗ hổng liên quan đến SMBv1 (EternalBlue): CVE-2017-0144, CVE-2017-0145, CVE-2017-0143. Những lỗ hổng này cho phép thực thi mã từ xa và đã được sử dụng trong các cuộc tấn công ransomware quy mô lớn.
  • Chi tiết NVD – CVE-2017-0144
  • Chi tiết NVD – CVE-2017-0145
  • Chi tiết NVD – CVE-2017-0143
• CVE-2012-1723: Lỗ hổng thực thi mã từ xa trong Oracle Java SE. Chi tiết NVD
• Các lỗ hổng liên quan đến Microsoft Exchange Server (ProxyShell): CVE-2021-34473, CVE-2021-34523, CVE-2021-31207. Những lỗ hổng này cho phép thực thi mã từ xa trên các máy chủ Exchange dễ bị tổn thương.
  • Chi tiết NVD – CVE-2021-34473
  • Chi tiết NVD – CVE-2021-34523
  • Chi tiết NVD – CVE-2021-31207
• CVE-2019-11510: Lỗ hổng Path Traversal cho phép đọc file tùy ý trên Pulse Connect Secure. Lỗ hổng này thường được dùng để thu thập thông tin xác thực. Chi tiết NVD
• CVE-2021-44228 (Log4Shell): Lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng trong Apache Log4j. Đây là một trong những lỗ hổng zero-day gây chấn động toàn cầu. Chi tiết NVD
• CVE-2014-6271 (Shellshock): Lỗ hổng thực thi mã từ xa trong Bash shell. Ảnh hưởng đến nhiều hệ thống Linux/Unix và ứng dụng web. Chi tiết NVD
• CVE-2018-8174: Lỗ hổng thực thi mã từ xa trong công cụ VBScript của Microsoft. Chi tiết NVD
• CVE-2013-0074: Lỗ hổng leo thang đặc quyền trong Adobe Reader và Acrobat. Chi tiết NVD
• CVE-2012-0507: Lỗ hổng thực thi mã từ xa trong Oracle Java SE, tương tự CVE-2012-1723. Chi tiết NVD
• CVE-2019-19781: Lỗ hổng Path Traversal cho phép thực thi mã từ xa trên Citrix ADC và Gateway. Chi tiết NVD
• CVE-2018-0802: Lỗ hổng thực thi mã từ xa trong Microsoft Office Word. Chi tiết NVD
• CVE-2021-26855: Lỗ hổng thực thi mã từ xa trong Microsoft Exchange Server, là một phần của chuỗi ProxyLogon. Chi tiết NVD
• CVE-2019-2725: Lỗ hổng Deserialization cho phép thực thi mã từ xa trên Oracle WebLogic Server. Chi tiết NVD
• CVE-2018-13379: Lỗ hổng Path Traversal trong Fortinet FortiOS SSL VPN, cho phép đọc file hệ thống. Chi tiết NVD
• CVE-2021-26084: Lỗ hổng thực thi mã từ xa trong Atlassian Confluence Server và Data Center. Chi tiết NVD

Chiến Lược Giảm Thiểu Rủi Ro và Bảo Vệ Hệ Thống

Ưu Tiên Khắc Phục và Triển Khai Bản Vá Bảo Mật

Các nhà phân tích bảo mật tại Qualys đã khẩn trương khuyến cáo người dùng cần ngay lập tức xác định các tài sản dễ bị tổn thương bởi những lỗ hổng CVE này. Bước tiếp theo là ưu tiên khắc phục và sử dụng các giải pháp quản lý bản vá để giảm thiểu rủi ro bảo mật một cách hiệu quả.

Việc triển khai các bản vá bảo mật kịp thời và đầy đủ là tuyến phòng thủ quan trọng nhất chống lại các cuộc tấn công khai thác những lỗ hổng đã biết. Đảm bảo quy trình quản lý bản vá được tối ưu và tự động hóa càng nhiều càng tốt.

Tận Dụng Thông Tin Tình Báo Mối Đe Dọa (Threat Intelligence)

Để tối ưu hóa quy trình ưu tiên các lỗ hổng CVE có rủi ro cao, việc tận dụng thông tin tình báo mối đe dọa động là rất cần thiết. Các nền tảng như Qualys VMDR tích hợp khả năng này, giúp các tổ chức tập trung nguồn lực vào những mối đe dọa thực sự.

Việc liên tục theo dõi các nguồn tin tức bảo mật uy tín và các cảnh báo mới nhất về các lỗ hổng CVE đang bị khai thác sẽ giúp các đội ngũ bảo mật duy trì khả năng phòng thủ chủ động và hiệu quả. Luôn cập nhật kiến thức về các kỹ thuật khai thác mới nhất để tăng cường an ninh mạng.