Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng (CISA), phối hợp với Cơ quan An ninh Quốc gia (NSA), Cục Điều tra Liên bang (FBI) cùng các đối tác quốc tế, đã công bố một Cảnh báo An ninh mạng (CSA) toàn diện. Cảnh báo này cung cấp hướng dẫn chi tiết cho các chuyên gia an ninh mạng trong việc phát hiện, săn lùng và giảm thiểu hoạt động của các nhóm APT Trung Quốc đã và đang khai thác các lỗ hổng CVE nghiêm trọng. Mục tiêu chính là bảo vệ cơ sở hạ tầng trọng yếu toàn cầu, bao gồm viễn thông, chính phủ, giao thông vận tải và lĩnh vực lưu trú.

Hướng dẫn của CISA, cùng các đối tác tại Úc, Canada và Vương quốc Anh, tổng hợp các quan sát kỹ thuật, các chỉ số thỏa hiệp (IOCs) và các khuyến nghị đối phó. Tài liệu này tập trung vào các nhóm APT Trung Quốc được nhà nước bảo trợ, thường được biết đến với các tên gọi như Salt Typhoon, RedMike và UNC5807. Những nhóm này đã hệ thống hóa việc khai thác các lỗ hổng CVE nghiêm trọng đã biết trong các bộ định tuyến xương sống (backbone routers) và thiết bị biên nhà cung cấp (provider-edge devices) để duy trì quyền truy cập dai dẳng vào các mạng lưới toàn cầu.

Mối đe dọa dai dẳng từ APT Trung Quốc

Các nhóm APT Trung Quốc, với sự hậu thuẫn của nhà nước, liên tục nhắm mục tiêu vào cơ sở hạ tầng quan trọng trên toàn thế giới. Phương thức hoạt động của chúng thường bao gồm việc lợi dụng các lỗ hổng CVE nghiêm trọng trong các thiết bị mạng cốt lõi để thiết lập chỗ đứng ban đầu và mở rộng quyền kiểm soát. Mục tiêu cuối cùng là duy trì quyền truy cập lâu dài, cho phép thu thập thông tin tình báo hoặc chuẩn bị cho các chiến dịch tấn công quy mô lớn hơn.

Các cuộc tấn công này không chỉ gây ra rủi ro mất mát dữ liệu mà còn đe dọa sự ổn định và tin cậy của các hệ thống mạng toàn cầu. Việc chiếm quyền điều khiển các thiết bị mạng cấp độ xương sống hoặc biên có thể dẫn đến khả năng giám sát lưu lượng truy cập, can thiệp vào hoạt động mạng, hoặc thậm chí là làm gián đoạn dịch vụ.

Chiến thuật Khai thác lỗ hổng CVE nghiêm trọng của APT Trung Quốc

Cảnh báo của CISA nhấn mạnh ba lỗ hổng CVE nghiêm trọng chính đã bị khai thác tích cực bởi các nhóm APT Trung Quốc. Việc hiểu rõ bản chất và tác động của từng lỗ hổng là rất quan trọng để triển khai các biện pháp phòng thủ hiệu quả.

Phân tích các lỗ hổng CVE nghiêm trọng bị khai thác

Các nhóm APT Trung Quốc đã khai thác một số lỗ hổng CVE nghiêm trọng cụ thể để xâm nhập vào mạng lưới mục tiêu, cho phép chúng thiết lập quyền kiểm soát và duy trì sự hiện diện lâu dài. Dưới đây là phân tích chi tiết về từng lỗ hổng:

• CVE-2023-20198: Lỗ hổng Bỏ qua Xác thực trong Cisco IOS XE

  Đây là một lỗ hổng bỏ qua xác thực nghiêm trọng ảnh hưởng đến hệ điều hành Cisco IOS XE. Lỗ hổng này cho phép kẻ tấn công không được xác thực, thông qua một yêu cầu HTTP được chế tạo đặc biệt, tạo một tài khoản người dùng có đặc quyền cấp 15. Kẻ tấn công có thể lợi dụng tài khoản này để thực hiện bất kỳ lệnh nào trên hệ thống bị ảnh hưởng, dẫn đến chiếm quyền kiểm soát hoàn toàn thiết bị.

  Ảnh hưởng: Kẻ tấn công có thể cài đặt mã độc, thay đổi cấu hình hệ thống, hoặc tạo các cửa hậu (backdoors) để duy trì quyền truy cập. Đây là một điểm xâm nhập lý tưởng cho các nhóm APT Trung Quốc muốn thiết lập quyền truy cập dai dẳng thông qua một lỗ hổng CVE nghiêm trọng.

  Tham khảo thêm thông tin chi tiết về CVE-2023-20198 tại NVD NIST.

• CVE-2024-21887: Lỗ hổng Command Injection trong Ivanti Connect Secure

  Lỗ hổng này là một lỗi chèn lệnh (command injection) trong thành phần web components của Ivanti Connect Secure và Ivanti Policy Secure Gateway. Một kẻ tấn công có thể gửi các yêu cầu được chế tạo đặc biệt tới các thiết bị bị ảnh hưởng để thực thi các lệnh tùy ý với quyền hạn cao trên hệ thống.

  Ảnh hưởng: Việc khai thác thành công lỗ hổng này cho phép kẻ tấn công thực thi mã từ xa (Remote Code Execution – RCE), cho phép chúng truy cập vào các tài nguyên nội bộ, thu thập thông tin nhạy cảm, hoặc di chuyển ngang (lateral movement) trong mạng. Đây là một lỗ hổng CVE nghiêm trọng mở ra cánh cửa cho các hành vi độc hại sâu rộng.

• CVE-2024-3400: Lỗ hổng Tạo Tệp Tùy ý trong Palo Alto Networks PAN-OS GlobalProtect

  Đây là một lỗ hổng tạo tệp tùy ý trong tính năng GlobalProtect Gateway của Palo Alto Networks PAN-OS. Kẻ tấn công không cần xác thực có thể khai thác lỗ hổng này để tải lên một tệp độc hại lên hệ thống, sau đó thực thi tệp đó. Lỗ hổng này đã được khai thác trong các cuộc tấn công zero-day.

  Ảnh hưởng: Việc tạo tệp tùy ý cho phép kẻ tấn công cài đặt mã độc hoặc các công cụ hậu khai thác (post-exploitation tools), thiết lập quyền kiểm soát lâu dài và thực hiện các hành động độc hại khác. Đây là một con đường trực tiếp để chiếm quyền điều khiển và duy trì sự hiện diện trong mạng mục tiêu thông qua một lỗ hổng CVE nghiêm trọng.

  Thông tin chi tiết về CVE-2024-3400 có thể được tìm thấy tại Palo Alto Networks Unit 42.

Chiến lược Săn lùng và Giảm thiểu Mối đe dọa

Để chống lại các cuộc tấn công tinh vi từ APT Trung Quốc, CISA đã công bố một kế hoạch săn lùng mối đe dọa (threat hunting playbook) chi tiết. Các nhà bảo vệ mạng được khuyến nghị thực hiện các bước sau:

• Kiểm tra nhật ký hệ thống và mạng: Tìm kiếm các dấu hiệu bất thường như đăng nhập không rõ nguồn gốc, thay đổi cấu hình đột ngột, hoặc lưu lượng truy cập đáng ngờ từ các thiết bị quản lý. Đặc biệt chú ý đến các nhật ký xác thực và các phiên SSH/HTTPS trên các thiết bị biên.
• Rà soát cấu hình thiết bị: Xác minh tính toàn vẹn của cấu hình trên các bộ định tuyến, tường lửa và các thiết bị mạng khác. So sánh với các cấu hình chuẩn đã biết để phát hiện bất kỳ thay đổi trái phép nào có thể chỉ ra sự xâm nhập hoặc cài đặt cửa hậu.
• Triển khai chữ ký phát hiện mới nhất: Đảm bảo các hệ thống phát hiện xâm nhập (IDS), hệ thống phòng chống xâm nhập (IPS) và giải pháp bảo mật điểm cuối (EDR) được cập nhật với các chữ ký và quy tắc mới nhất để nhận diện các IOCs liên quan đến các nhóm APT Trung Quốc này.
• Thực hiện phân đoạn mạng: Cô lập các hệ thống quan trọng và áp dụng các chính sách truy cập nghiêm ngặt. Phân đoạn mạng giúp hạn chế khả năng di chuyển ngang của kẻ tấn công ngay cả khi một phần mạng đã bị xâm nhập.
• Giám sát liên tục các điểm truy cập từ xa: Kiểm tra kỹ lưỡng các kết nối VPN, cổng quản lý từ xa và các dịch vụ truy cập mạng khác để phát hiện bất kỳ hoạt động truy cập trái phép hoặc tài khoản người dùng đáng ngờ nào.

Cảnh báo của CISA cũng nhấn mạnh tầm quan trọng của việc chia sẻ thông tin. Các tổ chức được khuyến khích báo cáo chi tiết về các vụ xâm nhập, bao gồm các vector truy cập ban đầu, cơ sở hạ tầng xuất dữ liệu (exfiltration infrastructure), và các chiến thuật, kỹ thuật, thủ tục (TTPs) được quan sát. Việc chia sẻ thông tin này giúp cộng đồng an ninh mạng nâng cao nhận thức tình hình chung và tinh chỉnh các chiến thuật phòng thủ.

Bằng cách tuân thủ kế hoạch săn lùng mối đe dọa và danh sách kiểm tra giảm thiểu của CISA, các nhà vận hành cơ sở hạ tầng quan trọng có thể giảm đáng kể rủi ro do các APT Trung Quốc gây ra. Việc chủ động ứng phó với các lỗ hổng CVE nghiêm trọng là chìa khóa để bảo vệ hệ thống. Điều này góp phần củng cố khả năng phục hồi của hệ sinh thái mạng toàn cầu và tăng cường an ninh mạng tổng thể.

Các Bước Khuyến nghị để Tăng cường An ninh mạng

Để chủ động bảo vệ hệ thống khỏi các mối đe dọa từ APT Trung Quốc và các nhóm tấn công tinh vi khác, các tổ chức cần thực hiện các biện pháp toàn diện để nâng cao an ninh mạng:

• Cập nhật bản vá bảo mật kịp thời: Luôn ưu tiên áp dụng các bản vá và cập nhật bảo mật cho tất cả các thiết bị và phần mềm, đặc biệt là các hệ thống được công bố có các lỗ hổng CVE nghiêm trọng đã biết. Đây là biện pháp phòng ngừa cơ bản nhưng hiệu quả nhất.
• Kiểm tra và cấu hình lại thiết bị: Định kỳ kiểm tra cấu hình bảo mật của các thiết bị mạng cốt lõi, đảm bảo rằng tất cả các tính năng bảo mật đều được kích hoạt và không có cấu hình mặc định dễ bị khai thác.
• Triển khai các biện pháp xác thực mạnh mẽ: Sử dụng xác thực đa yếu tố (MFA) cho tất cả các tài khoản quản trị và truy cập từ xa. Thực thi chính sách mật khẩu mạnh và thay đổi mật khẩu định kỳ.
• Thiết lập giám sát mạng toàn diện: Sử dụng các công cụ giám sát mạng và hệ thống quản lý thông tin và sự kiện bảo mật (SIEM) để thu thập, phân tích nhật ký và phát hiện các hoạt động đáng ngờ theo thời gian thực.
• Đào tạo và nâng cao nhận thức: Thường xuyên đào tạo nhân viên về các mối đe dọa an ninh mạng hiện tại, kỹ thuật lừa đảo (phishing) và các quy trình bảo mật nội bộ để tạo ra một tuyến phòng thủ vững chắc từ con người.
• Báo cáo các sự cố an ninh: Khi phát hiện bất kỳ dấu hiệu xâm nhập hoặc hoạt động độc hại nào, hãy báo cáo ngay lập tức cho các cơ quan chức năng có liên quan, như CISA, để đóng góp vào nỗ lực phòng thủ chung của cộng đồng an ninh mạng.

Việc thực hiện nhất quán các khuyến nghị này sẽ giúp các tổ chức tăng cường khả năng phục hồi trước các cuộc tấn công mạng và bảo vệ hiệu quả tài sản kỹ thuật số quan trọng, góp phần vào một không gian an ninh mạng an toàn hơn.