Dựa theo bài phỏng vấn đăng tải trên MIT Technology Review của Howell O’Neill, phóng viên công nghệ và bảo mật mạng.

Thông thường, sự im lặng và sự kín đáo là hai phẩm chất bắt buộc phải có của ngành gián điệp. Suốt 9 năm trời, Hulio không hề công khai nhắc tới công ty hack trị giá tỷ đô của mình – ngay cả khi công cụ hack của anh có dính líu tới những vụ việc tai tiếng, và cả khi anh bị buộc tội đồng lõa với những hành vi lạm dụng nhân quyền. Gần đây, anh Hulio đã lên tiếng trả lời công chúng.

“Người ta không hiểu cách thức vận hành của hoạt động tình báo”, Hulio nói với tôi trong cuộc phỏng vấn điện thoại khi anh vẫn đang ở Tel Aviv, Israel. “Công việc chẳng dễ dàng gì. Không dễ chịu chút nào. Tình báo là hoạt động kinh doanh đáng ghê sợ mà đầy rẫy những tình huống đạo đức tiến thoái lưỡng nan”.

Công ty NSO Group do anh Hulio dẫn dắt là công ty spyware – phần mềm gián điệp lớn nhất thế giới. Nó nằm ở tâm điểm của ngành công nghệ đang ngày một phát triển lớn mạnh, nơi những công ty tiếng tăm tìm điểm yếu trong các phần mềm, phát triển nên những lỗ hổng nhằm khai thác thông tin và bán lại malware cho chính phủ các nước. Công ty có trụ sở đặt tại Israel có liên quan tới nhiều sự vụ tai tiếng trên toàn cầu.

CEO của NSO, Shalev Hulio.

Mười năm sau khi thành lập công ty, Hulio làm cái việc không ai làm việc trong ngành nghề bí mật này nghĩ tới: anh công khai nói về NSO Group, về ngành hack và về tính minh bạch sẽ ảnh hưởng ra sao tới các công ty spyware. Anh nhận định rằng đây là điều quan trọng nhất mà ngành hack có thể làm ở thời điểm hiện tại: “Chúng tôi bị nhiều bên buộc tội, mà cũng với những lý do vài phần xác đáng, rằng đã không đủ minh bạch trong các hoạt động của mình”.

Một nền văn hóa tồn tại trong tĩnh lặng

Với vị trí là cựu chỉ huy trong quân đội Israel và rồi trở thành một nhà đầu tư tập trung vào nghiên cứu, phát triển công ty cho phép truy cập điện thoại từ xa, Hulio nói rằng anh thành lập NSO Group hồi năm 2010, với sự hậu thuẫn từ những cơ quan tình báo Châu Âu. Hồi đó, NSO tự xưng là doanh nghiệp có khả năng tham gia chiến tranh mạng hàng đầu thế giới.

NSO bắt đầu nổi danh hồi năm 2016, khi nhóm nghiên cứu an ninh tại Citizen Lab chỉ ra mối liên hệ giữa Pegasus – sản phẩm flagship của NSO – với một vụ cài đặt spyware đình đám. NSO giữ im lặng, một phần là do quy định của cơ quan chủ quản: năm 2014, công ty tư nhân Francisco Partners mua lại NSO với cái giá 100 triệu USD, và họ áp đặt chính sách “không tiếp xúc với báo giới” một cách triệt để. Hulio nói rằng quy định này tạo ra một nền văn hóa tĩnh lặng nảy sinh nhiều vấn đề.

Phần cứng được các chuyên viên của NSO sử dụng.

“Không được tham gia phỏng vấn – chúng tôi không thể nói chuyện với nhà báo, ngoại trừ câu ‘không có bình luận gì thêm’”, Hulio nói. “Điều này tạo ra nhiều điều tiếng xoay quanh chúng tôi, bởi lẽ mỗi lần bị cáo buộc lạm dụng điều này khoản kia, chúng tôi cũng chẳng bình luận được gì”

Hulio nhận định đây là sai lầm mà các công ty tình báo tương tự NSO nên tránh trong tương lai. “Ngành hack nên minh bạch hơn. Mỗi công ty nên biết rõ mình đang bán [dữ liệu] cho ai, ai là khách hàng, mục đích sử dụng là gì”.

Thực tế, vụ hack làm nên danh tiếng NSO hồi 2016 – là gửi một tin nhắn kèm đường link cài spyware lên máy người nhận – cho chúng ta nói chung và các nhà nghiên cứu bảo mật nói riêng một cái nhìn rõ ràng hơn về những cách thức xâm nhập ngày một tinh vi. Tin nhắn kia sử dụng kỹ thuật “zero-click”, tức là lây nhiễm phần mềm độc hại lên máy nhận tin nhắn mà chẳng cần khổ chủ thực hiện hành động gì. Có những cách thức cài phần mềm gián điệp lên điện thoại mà tránh né được hệ thống báo động, chẳng cần nạn nhân phải trực tiếp làm gì mà chẳng để lại mấy dấu vết.

“Đề xuất từ các công ty hack là đây: tội phạm cũng như khủng bố có thể ẩn thân nhờ kỹ thuật mã hóa, nên các nước cần có cả khả năng đuổi theo những tên tội phạm này về tận hang ổ”, John Scott-Railton, nhà nghiên cứu lão thành tại Citizen Lab cho hay. “Các công ty bán những kỹ thuật hack này ngày càng im ắng. Không chỉ WhatsApp có lỗ hổng. Chúng tôi thấy những điểm yếu trên iMessage, phần mềm SS7, với khả năng truyền tải kỹ thuật zero-click. Việc xác định được quy mô vấn đề gần như bất khả thi. Chúng tôi chỉ có để phỏng đoán, và chỉ biết được một số người tham gia. Thị trường ngày một lớn mạnh, thế mà lại thiếu thông tin trầm trọng về các vụ lạm dụng”.

WhatsApp, một trong những dịch vụ nhắn tin được cho là an toàn.

Việc hiểu và đánh giá đúng toàn bộ quy mô ngành công nghiệp hack chưa bao giờ dễ dàng. Các kỹ thuật phát hiện và điều tra lại ngày một hiếm có hơn, khi mà các kỹ thuật hack ngày càng tinh vi và kín đáo. Vậy nên càng khó phát hiện các hành vi hack và lạm dụng.

Hulio đồng tình với nhận định rằng ngành công nghiệp hack lùi ngày một sâu vào bóng tối. Khi được hỏi về việc liệu những công ty đầu ngành đã nỗ lực giải trình minh bạch mọi thứ, thì anh lắc đầu:

“Thực tế, tôi thấy mọi thứ đang đi theo chiều ngược lại. Ngành công nghiệp hack đang ngày một tránh xa các quy định. Tôi nhận thấy nhiều công ty đang cố che giấu hoạt động của mình. Điều này làm tổn hại tới cả ngành công nghiệp nói chung”.

Tránh né việc phải minh bạch

Hulio khẳng định NSO đang đi theo hướng ngược lại, khi cố đi theo định hướng mới dưới trướng một ban điều hành mới. Mặc dù đang phải đối mặt với những cáo buộc lạm dụng Pegasus cũng như vướng vào vụ kiện liên quan tới ứng dụng nhắn tin WhatsApp, Hulio khăng khăng rằng công ty mình đang từng bước thay đổi. Ví dụ dễ thấy nhất là việc anh đang thẳng thắn nói chuyện với báo giới, bên cạnh những chính sách tự quản lý mới mà công ty đặt ra. Tuy nhiên, việc chuyển biến không đến dễ dàng thế khi mà NSO tiếp tục đối diện với những cáo buộc mới.

Hulio nói thêm rằng những công ty địch thủ của mình đang tránh né việc phải minh bạch và trách nhiệm phải giải trình bằng cách chuyển địa điểm vận hành tới những quốc gia dễ lách luật.

“Họ đang mở công ty tại những quốc gia không có cơ chế pháp luật chặt chẽ. Tôi thấy nhiều công ty cố gắng giấu hoạt động của mình bằng việc thay đổi danh tính nhiều lần. Hoặc là thông qua những cơ chế nhưng nghiên cứu phát triển ở một chi nhánh, thực hiện bán hàng qua một công ty thứ hai rồi triển khai hoạt động ở một công ty thứ ba nữa, nên là không thể lần được dấu vết hoạt động của họ”.

Bản thân NSO Group cũng như vậy, khi họ xuất hiện dưới nhiều cái tên khác như Q Cyber Technologies tại Israel hay OSY Technologies khi vận hành ở Luxembourg, NSO có cả cơ sở ở Bắc Mỹ dưới cái tên Westbridge. Nhân viên của NSO có trên toàn cầu. Suốt nhiều năm hoạt động, NSO tạo nên một mạng lưới rối rắm, khiến việc lần dấu các giao kèo, các hoạt động công ty gần như bất khả thi

Vậy “trách nhiệm giải trình” cụ thể là gì? Khi NSO Group xuất hiện lần đầu, Hiệp định Wassenaar, một thỏa thuận quan trọng về xuất khẩu vũ khí và đồ điện tử lưỡng dụng, chưa có luật về đồ điện tử cao cấp như máy tính và các thiết bị công nghệ thông tin. Trên quy mô toàn cầu, ngành công nghiệp hack giấu mình rất kỹ, mờ ám nên khó thấu hiểu mà khả năng và sức mạnh lại ngày một lớn.

“Có nhiều lỗ hổng. Không phải nước nào cũng tham gia Hiệp định Wassenaar. Tôi thực sự nghĩ việc đạt được thỏa thuận chung quốc tế là rất khó. Rõ ràng làm cái gì mang tính ‘quốc tế’ luôn là ý tưởng hay, nhưng phải nói rằng có những nước vận hành như những thiên đường thuế, có những quốc gia nới lỏng các quy định về xuất khẩu. Cần những quy trình toàn cầu về điều lệ cho những nước này”.

Ai nằm trong tầm ngắm của những phương thức hack tinh vi?

Từ khi NSO có tiếng, xuất hiện nhiều những vụ lạm dụng liên quan tới người sử dụng công nghệ của NSO. Mỗi khi xuất hiện lời cáo buộc, NSO sẽ tiến hành điều tra. Mỗi khi có xảy ra tranh chấp, NSO có thể đưa yêu cầu truy xuất bản ghi dữ liệu để chỉ ra mục tiêu. Theo lời Hulio, trong nhiều trường hợp, bên bị cáo buộc sẽ thừa nhận những điều được nêu, và rằng đối tượng là có thật – nhưng hành động của họ lại hợp pháp dưới pháp luật địa phương và hợp đồng mà họ ký. Vậy là NSO và bên sử dụng dịch vụ sẽ cùng thảo luận và chỉ ra liệu mục tiêu có hợp pháp hay không.

Nhiều bên chỉ trích NSO Group rằng Pegasus được dùng để chống lại nhiều đối tượng có sức ảnh hưởng lớn. Nhưng Hulio lại cho rằng bối cảnh ứng dụng Pegasus có thể thanh minh cho hành động được thực hiện. Hulio chỉ ra ví dụ về sự kiện bắt trùm ma túy người Mexico Joaquín “El Chapo” Guzmán. Có thông tin không chính thức chỉ ra rằng NSO Group có tham gia vào chiến dịch này suốt nhiều năm trời.

Sau khi vượt ngục thành công, El Chapo bị bắt lại sau một vụ đấu súng diễn ra tại thành phố Mexico hồi năm 2016.

“Chapo vượt ngục”, Hulio nói. “Những người như Chapo hay thủ lĩnh ISIS không mang smartphone trong người. Khi Chapo trốn thoát, họ nghĩ rằng rồi hắn sẽ gọi điện cho luật sư của mình, vậy nên hãy tiến hành theo dõi vị luật sư. Ông luật sư thì không phải người xấu – và tôi không nói rằng chúng tôi có liên quan đâu nhé. Bản thân luật sư thì không phải đối tượng phạm pháp, nhưng El Chapo, một tội phạm, sẽ gọi điện cho luật sư của mình, và cách duy nhất để bắt hắn là theo dõi liên lạc tới vị luật sư”.

Nhưng không phải lúc nào NSO cũng đối diện với những cáo buộc tương tự như trường hợp liên quan tới El Chapo. Rồi Hulio cũng nói rằng NSO thường bị cáo buộc những sự vụ liên quan tới những công ty spyware khác.

“Mỗi khi chúng tôi tiến hành bán một hệ thống cho khách hàng, nhiều câu hỏi khó được đưa ra, nhưng tôi không dám chắc các bên khác cũng làm vậy”, Hulio nói. “Tôi sẵn sàng đối diện bộ trưởng quốc phòng của một quốc gia hay bộ trưởng công an, hay thậm chí mật vụ của một quốc gia, và nghe những câu hỏi như: Mục đích của hệ thống là gì? Đối tượng là ai? Nhiệm vụ đó là gì? Đang điều tra những gì? Quá trình điều tra ra sao? Phân tích dữ liệu như thế nào? Ai là người đưa ra quyết định chọn mục tiêu? Luật pháp cụ thể của nước đang được hỏi là gì – vận hành ra sao? Những câu hỏi mà rất nhiều công ty không màng tới. Họ có hợp đồng – và họ muốn kinh doanh. Họ sẽ tiếp tục kinh doanh bởi nguồn tiền đầu vào vẫn dồi dào”.

Chúng ta đang đi vào một vòng luẩn quẩn, vướng trong búi tơ vò của những bí mật. Dòng tiền vẫn chảy, việc lạm dụng vẫn cứ diễn ra, và công cụ hack thì ngày một sinh sôi: chẳng ai chối cãi được những điều này.

Nhưng ai sẽ là người đứng ra chịu trách nhiệm khi những thế lực lớn có trong tay những spyware mạnh mẽ này để sử dụng lên đối thủ của mình? Màn đêm phủ ngày một rộng, để rồi ánh sáng sự thật ngày một thưa thớt hơn.

Nguồn genk.vn

​

E2fsprogs là một bộ các công cụ được thiết kế để bảo trì hệ thống tệp ext2, ext3 và ext4. Được cho là phần mềm cần thiết cho các hệ điều hành như Linux và Unix, phần mềm này được cài mặc định trên hầu hết các bản phân phối Linux.

Một trong những công cụ của E2fsprogs là chương trình nhị phân e2fsck để sửa lỗi các hệ thống tệp tin khi bị hỏng và từ đó các nhà nghiên cứu của Cisco Talos tìm thấy lỗ hổng out-of-bound write.

Việc tổ chức các thư mục trong chuẩn ext2, 3 và 4 sử dụng các cây hàm băm (hash trees) để chỉ có một ánh xạ duy nhất các file trong một thư mục. Các đầu vào hàm băm đối với cây hàm băm sẽ có cấu trúc hash_entry, trong khi (giá trị) các số của đầu vào hàm băm có trong num_array.

Theo Talos, để duy trì tính nguyên vẹn và dữ kiện của hash table (bảng băm), chỉ có duy nhất một cấu trúc cho tất cả đầu vào, một yêu cầu mà chương trình e2fsck thực thi bằng cách nối thêm tên của file thứ hai khi kết hợp với {~0, ~1, …, ~n}, tùy vào số lượng của các bản sao.

Một bộ đệm ngăn xếp tạm thời được sử dụng để lưu trữ tạm những tên bị thay đổi, sau đó ghi vào ổ đĩa và các bộ công cụ tiếp đó lặp lại hành động này trên mỗi cấu trúc hash_entry. Khi va chạm, độ dài của tên file hiện tại sẽ được trích xuất và sau đó hàm mutate_name được sử dụng để thay đổi tên.

Những gì các nhà nghiên cứu bảo mật phát hiện là quá trình có thể xảy ra bên ngoài vùng nhớ của ngăn xếp. Lỗi này nằm trong hàm rehash.c mutate_name() của chương trình e2fsck, dẫn đến chức năng phục hồi của thư mục bị lạm dụng để thực thi mã.

Một thư mục ext4 tự tạo có thể được dùng để gây ra lỗi ghi dữ liệu ngoài vùng nhớ ngăn xếp dẫn đến thực thi mã. Để kích thoạt lỗ hổng này, kẻ tấn công sẽ cần làm hỏng một phân vùng nào đó.

Trên hệ điều hành 64-bit, việc khai thác là không khả thi vì ngăn xếp không đủ lớn và yêu cầu phải có biện pháp kiểm soát dùng nhằm mở rộng ngăn xếp.

Còn trên các phiên bản 32-bit, kết quả cuối cùng lại phụ thuộc nhiều hơn vào nhị phân và cách nó được biên dịch.

Lỗ hổng CVE-2019-5188 có điểm CVSS là 7,5. Các phiên bản E2fsprogs 1.43.3 – 1.45.3 bị ảnh hưởng bởi lỗ hổng này và bản vá được được phát hành để xử lý lỗ hổng.

Nguồn Whitehat

Khóa học Chuyên Viên Quản Trị Website – ACWT

• Khóa học Chuyên gia An ninh mạng – AN2S
• Khóa học Hacker Mũ Trắng – AEH
• Khóa học Quản trị mạng nâng cao – MCSA

Lợi ích của lệnh htop

Bạn có thể theo dõi các tài nguyên hoặc tiến trình quan trọng của hệ thống trong thời gian thực. Màu sắc được sử dụng trong đầu ra giúp dễ đọc hơn nhiều so với đầu ra đơn sắc của lệnh top.

Ưu điểm của lệnh htop là:

• Hỗ trợ thao tác chuột
• Cho phép bạn cuộn cả chiều ngang và chiều dọc, để xem tất cả mọi tiến trình và hoàn thành các dòng lệnh
• Cho phép bạn kết thúc một quá trình mà không cần biết PID
• Bắt đầu nhanh hơn lệnh top
• Lệnh top yêu cầu bạn nhập PID hoặc giá trị ưu tiên để thay đổi mức ưu tiên hoặc gia hạn một tiến trình, còn htop thì không

Sử dụng lệnh htop

Lệnh này dễ dàng được gọi từ Command Prompt:

# htop

• 

  Lệnh htop trong Linux

  Việc sử dụng lệnh được chia thành 3 phần.

• Trong phần đầu tiên (góc trên bên trái), ta thấy các thanh hiển thị mức sử dụng bộ xử lý, bộ nhớ đang sử dụng và bộ nhớ swap (RAM ảo) đang sử dụng tương ứng.
• Phần thứ hai (góc trên bên phải) hiển thị thông tin tiêu chuẩn, chẳng hạn như tóm tắt nhiệm vụ, trung bình tải và thời gian hoạt động.
• Phần cuối cùng nằm dưới cùng, nơi bạn sẽ thấy 12 cột, gồm:
• PID – ID tiến trình
• USER – Tên người dùng của chủ sở hữu quy trình (hoặc ID người dùng nếu tên không thể được xác định)
• PRI – Mức ưu tiên nội bộ của kernel cho tiến trình
• NI – Nice value của một tiến trình – từ mức ưu tiên thấp, 19 đến mức ưu tiên cao, -20
• VIRT – Tổng dung lượng của chương trình trong bộ nhớ
• RES – Resident Set Size (bộ nhớ mà tiến trình sử dụng)
• SHR – Dung lượng của các trang chia sẻ tiến trình
• S – Trạng thái của tiến trình (S – ngủ/không hoạt động, R – đang chạy, D – disk sleep/trạng thái Sleep của ổ đĩa, Z – zombie, T – bị treo)
• W – Paging (cơ chế quản lí bộ nhớ cho phép các không gian địa chỉ thực cấp phát cho tiến trình nằm rải rác, không liên tục)
• CPU% – Phần trăm CPU tiến trình hiện đang sử dụng
• MEM% – Phần trăm bộ nhớ tiến trình hiện đang sử dụng
• TIME+ – Thời gian (tính theo giờ đồng hồ tiến trình đã dành cho thời gian hệ thống và người dùng)
• Command – Đường dẫn đầy đủ của lệnh

Như với hầu hết các lệnh Linux, cũng có các tùy chọn.

# htop [-dChusv]

• –d – delay (hiển thị độ trễ giữa các bản cập nhật, tính bằng 1/10 giây).
• –C – no-color (chế độ đơn sắc)
• –h – help (hiển thị thông báo trợ giúp và thoát)
• –u – user=USERNAME (chỉ hiển thị các tiến trình của một người dùng nhất định)
• –h – pid=PID (chỉ hiển thị các PID đã cho)
• –s – sort-key COLUMN (Sắp xếp theo cột này)
• –v – version (thông tin phiên bản đầu ra và thoát)

Bạn cũng có thể sử dụng các lệnh tương tác trong khi lệnh đang chạy để thay đổi cách sắp xếp/giao diện của cửa sổ, như:

• Mũi tên, Page Up, Page Down, Home, End – Cuộn danh sách tiến trình
• Dấu cách – gắn thẻ hoặc bỏ gắn thẻ một tiến trình
• U – Bỏ gắn thẻ tất cả các tiến trình
• s – theo dõi các cuộc gọi hệ thống
• F1 – Trợ giúp
• F2 – Thiết lập
• F3 – Tìm kiếm
• F4 – Bộ lọc
• F5 – Chế độ xem dạng cây
• F6 – Sắp xếp
• F7 – Tăng mức độ ưu tiên của tiến trình đã chọn
• F8 – Giảm mức ưu tiên của tiến trình đã chọn
• F9 – Triệt tiêu tiến trình
• F10 – Thoát (Esc cũng hoạt động)

Bạn cũng có thể sắp xếp các cột đơn giản bằng cách sử dụng chuột.

Cả người dùng Linux mới và có kinh nghiệm đều nên sử dụng lệnh man để xem tất cả các tính năng mà lệnh cung cấp.

# man htop

Lệnh này không chỉ là một tiện ích vô giá đối với bộ công cụ của người dùng Linux có kinh nghiệm, mà còn hữu ích cho người dùng Linux mới, giúp hiểu rõ hơn về cách thức hoạt động của Linux và khám phá nhiều điều thú vị.

Nguồn quantrimang.com

Một phiên bản mới của Ryuk Ransomware đã được phát hành sẽ cố tình tránh mã hóa các thư mục thường thấy trong các hệ điều hành * NIX.

Sau khi Thành phố New Orleans bị nhiễm ransomware, họ xác nhận rằng thành phố đã bị nhiễm Ryuk Ransomware bằng cách sử dụng một tệp thực thi có tên v2.exe.

Sau khi phân tích mẫu v2.exe, nhà nghiên cứu bảo mật Vitali Kremez đã chia sẻ một thay đổi thú vị trong ransomware; nó sẽ không còn mã hóa các thư mục được liên kết với các hệ điều hành * NIX.

Danh sách các thư mục Ryuk trong danh sách đen * NIX là:

• bin
• boot
• Boot
• dev
• etc
• lib
• initrd
• sbin
• sys
• vmlinuz
• run
• var

Thoạt nhìn, có vẻ lạ là phần mềm độc hại Windows sẽ liệt kê các thư mục * NIX khi mã hóa tệp.

Thậm chí xa lạ, Kremez nói với chúng tôi rằng anh ta đã được hỏi nhiều lần rằng liệu có một biến thể Unix của Ryuk hay không khi dữ liệu được lưu trữ trong các hệ điều hành này đã được mã hóa trong các cuộc tấn công của Ryuk.

Một biến thể Ryuk của Linux / Unix không tồn tại, nhưng Windows 10 có một tính năng gọi là Hệ thống con Windows cho Linux (WSL) cho phép bạn cài đặt các bản phân phối Linux khác nhau trực tiếp trong Windows. Các cài đặt này sử dụng các thư mục có cùng tên trong danh sách đen như được liệt kê ở trên.

Với sự phổ biến ngày càng tăng của WSL, các diễn viên Ryuk có khả năng đã mã hóa một máy Windows tại một số điểm cũng ảnh hưởng đến các thư mục hệ thống * NIX được sử dụng bởi WSL. Điều này sẽ khiến các cài đặt WSL này không còn hoạt động.

“Họ chắc chắn có các trường hợp ảnh hưởng đến môi trường WSL, có khả năng dẫn họ vào danh sách đen các thư mục NIX giống như với Windows. Nó mới đối với tôi và có thể giải thích tại sao Ryuk và Ryuk ảnh hưởng đến máy NIX thông qua WSL”, Kremez cho biết.

Vì mục tiêu của hầu hết các ransomware thành công là mã hóa dữ liệu của nạn nhân, nhưng không ảnh hưởng đến chức năng của hệ điều hành, thay đổi này có ý nghĩa.

Với các thư mục này được đưa vào danh sách đen, Ryuk loại bỏ thêm một vấn đề đau đầu mà họ sẽ cần phải giải quyết đối với một khách hàng trả tiền có cài đặt WSL bị phá hỏng.

Nguồn BleepingComputer

Khóa học Chuyên Viên Bảo Mật Mạng – ACST

• Khóa học Chuyên gia An ninh mạng – AN2S
• Khóa học Hacker Mũ Trắng – AEH
• Khóa học Quản trị mạng nâng cao – MCSA

Một nhóm các nhà nghiên cứu về an ninh mạng đã tiết lộ một lỗ hổng nghiêm trọng mới ảnh hưởng đến hầu hết các hệ điều hành giống Linux và Unix, bao gồm FreeBSD, OpenBSD, macOS, iOS và Android, có thể cho phép ‘kẻ tấn công mạng liền kề’ (network adjacent attackers) từ xa theo dõi và giả mạo VPN được mã hóa kết nối.

Lỗ hổng, được theo dõi là CVE-2019-14899, nằm trong ngăn xếp mạng của các hệ điều hành khác nhau và có thể được khai thác đối với cả hai luồng TCP IPv4 và IPv6.

Do lỗ hổng không phụ thuộc vào công nghệ VPN được sử dụng, cuộc tấn công hoạt động chống lại các giao thức mạng riêng ảo được triển khai rộng rãi như OpenVPN, WireGuard, IKEv2/IPSec và hơn thế nữa, các nhà nghiên cứu xác nhận.

Lỗ hổng này có thể bị kẻ tấn công mạng khai thác – kiểm soát điểm truy cập hoặc kết nối với mạng của nạn nhân – chỉ bằng cách gửi các gói mạng không được yêu cầu đến một thiết bị được nhắm mục tiêu và do thám lời đáp, ngay cả khi chúng được mã hóa.

Theo giải thích của các nhà nghiên cứu, mặc dù có các biến thể cho từng hệ điều hành bị ảnh hưởng, lỗ hổng cho phép kẻ tấn công:

• xác định địa chỉ IP ảo của nạn nhân được chỉ định bởi máy chủ VPN,
• xác định xem có kết nối hoạt động với một trang web nhất định không,
• xác định chính xác số seq và ack bằng cách đếm các gói được mã hóa và/hoặc kiểm tra kích thước của chúng và
• tiêm dữ liệu vào luồng TCP và hijack kết nối.

“Điểm truy cập sau đó có thể xác định IP ảo của nạn nhân bằng cách gửi các gói SYN-ACK đến thiết bị nạn nhân trên toàn bộ không gian IP ảo”, nhóm nghiên cứu cho biết trong lời khuyên của mình.

“Khi một SYN-ACK được gửi đến đúng IP ảo trên thiết bị nạn nhân, thiết bị sẽ phản hồi bằng RST; khi SYN-ACK được gửi đến IP ảo không chính xác, kẻ tấn công không nhận được gì.”

Trong khi giải thích các biến thể trong hành vi của các hệ điều hành khác nhau, như một ví dụ, các nhà nghiên cứu cho biết cuộc tấn công không hoạt động đối với các thiết bị macOS / iOS như mô tả.

Thay vào đó, kẻ tấn công cần “sử dụng cổng mở trên máy Apple để xác định địa chỉ IP ảo”. Trong thử nghiệm của họ, các nhà nghiên cứu sử dụng “cổng 5223, được sử dụng cho iCloud, iMessage, FaceTime, Game Center, Photo Stream và thông báo đẩy, v.v.”

Các nhà nghiên cứu đã thử nghiệm và khai thác thành công lỗ hổng chống lại các hệ điều hành và hệ thống init sau đây, nhưng họ tin rằng danh sách này có thể còn dài hơn khi các nhà nghiên cứu kiểm tra lỗ hổng trên nhiều hệ thống hơn.

• Ubuntu 19.10 (systemd)
• Fedora (systemd)
• Debian 10.2 (systemd)
• Arch 2019.05 (systemd)
• Manjaro 18.1.1 (systemd)
• Devuan (sysV init)
• MX Linux 19 (Mepis+antiX)
• Void Linux (runit)
• Slackware 14.2 (rc.d)
• Deepin (rc.d)
• FreeBSD (rc.d)
• OpenBSD (rc.d)

Các nhà nghiên cứu cho biết: “Hầu hết các bản phân phối Linux mà chúng tôi đã thử nghiệm đều dễ bị tấn công, đặc biệt là các bản phân phối Linux sử dụng phiên bản systemd được kéo sau ngày 28 tháng 11 năm ngoái, đã tắt tính năng lọc đường ngược”.

“Tuy nhiên, gần đây chúng tôi đã phát hiện ra rằng cuộc tấn công cũng hoạt động chống lại IPv6, do đó, việc lọc đường dẫn ngược lại không phải là một giải pháp hợp lý.”

Để giảm thiểu có thể, các nhà nghiên cứu đề nghị bật tính năng lọc đường ngược, thực hiện lọc bogon và mã hóa kích thước và thời gian gói để ngăn chặn kẻ tấn công thực hiện bất kỳ suy luận nào.

Mặc dù các nhà nghiên cứu chưa tiết lộ chi tiết kỹ thuật về lỗ hổng, họ đang lên kế hoạch xuất bản một phân tích chuyên sâu về lỗ hổng này và những hệ lụy liên quan của nó, sau khi các nhà cung cấp bị ảnh hưởng, bao gồm Systemd, Google, Apple, OpenVPN, WireGuard và các bản phân phối Linux khác nhau phát hành giải pháp thỏa đáng và các bản vá.

Nguồn vietsunshine

Lỗ hổng bảo mật này hiện đang được theo dõi với mã định danh CVE-2019-14899, có liên quan trực tiếp đến các bản phân phối và nhóm bảo mật hạt nhân Linux, cũng như một số nhóm khác chịu ảnh hưởng như Systemd, Google, Apple, OpenVPN và WireGuard. Cụ thể hơn, lỗ hổng ảnh hưởng đến hầu hết các bản phân phối Linux cũng như hệ điều hành Unix-like bao gồm FreeBSD, OpenBSD, macOS, iOS và Android. Dưới đây là danh sách (chưa đầy đủ) về các hệ điều hành dễ bị tổn thương bởi lỗ hổng cũng như các hệ thống init mà chúng đi kèm:

• Ubuntu 19.10 (systemd)
• Fedora (systemd)
• Debian 10.2 (systemd)
• Arch 2019.05 (systemd)
• Manjaro 18.1.1 (systemd)
• Devuan (sysV init)
• MX Linux 19 (Mepis+antiX)
• Void Linux (runit)
• Slackware 14.2 (rc.d)
• Deepin (rc.d)
• FreeBSD (rc.d)
• OpenBSD (rc.d)

Tất cả các mô hình triển khai VPN đều bị ảnh hưởng

Theo phát hiện của các chuyên gia tới từ Đại học New Mexico, lỗ hổng bảo mật này “cho phép kẻ tấn công xác định xem những đối tượng nào đang kết nối với VPN, địa chỉ IP ảo được gán bởi máy chủ VPN, và việc có hay không các kết nối tương thích với một website cụ thể. Ngoài ra, lỗ hổng cũng cho phép hacker xác định chính xác số seq và ack bằng cách đếm các gói được mã hóa, hoặc kiểm tra kích thước của chúng. Điều này cho phép chúng đẩy dữ liệu vào luồng TCP và chiếm quyền kiểm soát.

Các cuộc tấn công khai thác lỗ hổng CVE-2019-14899 này chủ yếu chống lại OpenVPN, WireGuard và IKEv2/IPSec, và rất có thể là cả với Tor. Ngoài ra, gần như tất cả các bản phân phối Linux sử dụng phiên bản systemd với cấu hình mặc định đều dễ bị tấn công.

Dưới đây là các bước cần thiết mà hacker sử dụng để thực hiện một cuộc tấn công khai thác lỗ hổng CVE-2019-14899 và chiếm quyền điều khiển kết nối VPN mục tiêu:

• Xác định địa chỉ IP ảo của máy khách VPN.
• Sử dụng địa chỉ IP ảo để suy luận thông tin về các kết nối đang hoạt động.
• Sử dụng trả lời được mã hóa cho các gói không được yêu cầu để xác định chuỗi và số xác nhận của kết nối đang hoạt động nhằm chiếm quyền điều khiển phiên TCP.

Nhóm nghiên cứu đang lên kế hoạch xuất bản một bài báo phân tích chuyên sâu về lỗ hổng này cũng như những tác động của nó sau khi tìm thấy cách ứng phó tối ưu nhất.

Nguồn quantrimang

Cụ thể, các lỗ hổng đã được tìm thấy trong 4 giải pháp triển khai VNC bao gồm: LibVNC, TightVNC 1.X, TurboVNC và UltraVNC, bởi nhóm nghiên cứu bảo mật khẩn cấp ICS CERT của Kaspersky. RealVNC – một trong những giải pháp VNC cực kỳ phổ biến nhưng không được phân tích bởi kỹ thuật đảo ngược không được chấp nhận.

Các hệ thống VNC này có thể được sử dụng trên nhiều hệ điều hành nổi tiếng, bao gồm nhưng không giới hạn ở Windows, Linux, macOS, iOS và Android.

Việc triển khai VNC bao gồm 2 phần, máy khách và máy chủ, cho phép người dùng truy cập từ xa vào hệ thống đang chạy máy chủ VNC với sự trợ giúp của máy khách VNC sử dụng giao thức RFB để truyền tải “hình ảnh màn hình, dữ liệu di chuyển chuột và nhấn phím”.

Hơn 600.000 máy chủ VNC có khả năng bị rò rỉ

Nhóm nghiên cứu ICS CERT của Kaspersky đã phát hiện ra hơn 600.000 máy chủ VNC có thể truy cập được từ xa qua Internet chỉ dựa trên những thông tin thu thập bằng công cụ tìm kiếm Shodan cho các thiết bị kết nối Internet – ước tính này không bao gồm các máy chủ VNC chạy trên local area networks.

Các lỗ hổng bảo mật của VNC mà nhóm tìm thấy đều là do sử dụng bộ nhớ không chính xác, với các cuộc tấn công khai thác dẫn đến từ chối dịch vụ, trục trặc, cũng như truy cập trái phép vào thông tin của người dùng và thực thi mã độc trên thiết bị mục tiêu. Rất nhiều lỗ hổng trong số này đã không bị phát hiện và khắc phục mặc dù đã tồn tại trong suốt nhiều năm qua.

Danh sách đầy đủ các lỗ hổng VNC được phát hiện bởi đội ngũ Kaspersky được liệt kê như sau:

LibVNC

• CVE-2018-6307
• CVE-2018-15126
• CVE-2018-15127
• CVE-2018-20019
• CVE-2018-20020
• CVE-2018-20021
• CVE-2018-20022
• CVE-2018-20023
• CVE-2018-20024
• CVE-2019-15681

TightVNC 1.X

• CVE-2019-8287
• CVE-2019-15678
• CVE-2019-15679
• CVE-2019-15680

TurboVNC

• CVE-2019-15683

UltraVNC

• CVE-2018-15361
• CVE-2019-8258
• CVE-2019-8259
• CVE-2019-8260
• CVE-2019-8261
• CVE-2019-8262
• CVE-2019-8263
• CVE-2019-8264
• CVE-2019-8265
• CVE-2019-8266
• CVE-2019-8267
• CVE-2019-8268
• CVE-2019-8269
• CVE-2019-8270
• CVE-2019-8271
• CVE-2019-8272
• CVE-2019-8273
• CVE-2019-8274
• CVE-2019-8275
• CVE-2019-8276
• CVE-2019-8277
• CVE-2019-8280

Kaspersky đưa ra những đề xuất sau nhằm ngăn chặn hoạt động khai thác các lỗ hổng bảo mật VNC này:

• Kiểm tra thiết bị có thể kết nối từ xa và chặn kết nối từ xa nếu không cần thiết.
• Kiểm kê tất cả các ứng dụng truy cập từ xa – không chỉ VNC – và kiểm tra xem các phiên bản của chúng có phải là mới nhất hay không. Nếu bạn nghi ngờ về độ tin cậy của ứng dụng, hãy ngừng sử dụng. Nếu bạn có ý định tiếp tục triển khai chúng, hãy nâng cấp lên phiên bản mới nhất.
• Bảo vệ máy chủ VNC của bạn bằng mật khẩu mạnh. Điều này sẽ làm cho việc tấn công khó khăn hơn nhiều.
• Không kết nối với các máy chủ VNC không tin cậy hoặc chưa được kiểm tra.

Nguồn quantrimang

Tất cả người dùng Linux chú ý

Một lỗ hổng được tìm thấy trong câu lệnh Sudo–một trong những câu lệnh quan trọng, mạnh và được sử dùng thường xuyên nhất, và cũng là câu lệnh cốt lõi được cài đặt trong rất nhiều hệ điều hành UNIX hay Linux-based.

Lỗ hổng dựa trên việc bỏ qua chính sách bảo mật, lệnh sudo có thể cho phép người dùng có ý định xấu hoặc các phần mềm độc hại có thể thực thi các lệnh dưới quyền cao nhất (quyền root) trên hệ thống Linux, mặc dù đã được cấu hình kĩ càng.

Sudo, viết tắt của “superuser do”, là một lệnh hệ thống cho phép người dùng chạy các ứng dụng hoặc lệnh với đặc quyền của người dùng khác mà không cần phải chuyển đổi evironment (môi trường), thường xuyên nhất là chạy lệnh dưới quyền root.

Theo mặc định, nhiều bản phân phối của hệ điều hành Linux, từ khóa ALL trong tệp /etc/sudoers, như trong ảnh dưới đây, cho phép những người dùng trong nhóm admin (quảng trị) hay sudo chạy bất kỳ lệnh nào như bất kỳ người dùng hợp lệ nào trên hệ thống.

Tuy nhiên, khi phân quyền là một trong những điều cơ bản trong mô hình bảo mật của hệ điều hành Linux, quản trị viên có thể cấu hình tệp sudoers để xác định người dùng nào có thể chạy lệnh nào cho người người dùng nào.

Cho nên, ngay cả khi người dùng thường đã bị hạn chế chạy một lệnh cụ thể hay bất kì, dưới quyền root, lỗ hổng có thể cho phép người dùng bỏ qua chính sách bảo mật và kiểm soát hoàn toàn hệ thống

“Người dùng có thể sử dụng lỗ hổng này thông qua một user với các đặc quyền sudo để chạy lệnh bằng quyền quản trị (root) ngay cả khi chính sách Runas không cho phép truy cập root và miễn từ khóa ALL được liệt kê đầu tiên trong Runas,” các nhà phát triển sudo nói.

Làm sao để khai thác lỗi này? Chỉ cần ID người Sudo -1 hoặc 4294967295

Lỗ hổng có mã cve là CVE-2019-14287 và được phát hiện bởi Joe Vennix bên bảo mật thông tin của Apple, lỗ hổng này rất là quan trọng vì sudo là được thiết kế để cho phép người dùng sửa mật khẩu đăng nhập của riêng họ để thực thi các lệnh như 1 người dùng khác mà không cần mật khẩu của người dùng đó.

Đáng chú ý ở đây là lỗ hổng này có thể bị kẻ tấn công khai thác để chạy các lệnh với quyền root chỉ bàng cách chỉ định ID người dùng là “-1” hoặc “4294967295”.

Bởi vì có một hàm chức năng giúp chuyển đổi id người dùng thành tên người dùng của nó và xử lý không chính xác, -1 hoặc 4294967295 sẽ được chuyển thành 0, và id của nó chính là người dùng root.

“Ngoài ra, dù ID người dùng được chỉ định qua option -u không tồn tại trong password database, nên không có mô-đun phiên PAM nào được chạy ”

Lỗ hổng này ảnh hưởng đến tất cả các phiên bản sudo trước bản 1.8.28 (bản phát hành mới nhất) , đã được phát hành trong ngày 15/10/2019.

Vì cuộc tấn công hoạt động trong một kịch bản dựa trên tệp cấu hình sudoers, và nó không ảnh hướng lớn đến phần lớn người dùng. Tuy nhiên, nếu bạn sửa dụng Linux, bạn nên cập nhật gói sudo lên phiên bản mới nhất ngay khi có sẵn.

Nguồn thehackernews.com

Lỗ hổng CVE-2019-17059 ảnh hưởng hệ điều hành dựa trên nền tảng CyberoamOS Linux, có thể được khai thác bằng cách gửi yêu cầu đặc biệt đến các bảng điều khiển Web Admin hoặc SSL VPN của sản phẩm.

Lỗ hổng bị lộ thông qua TheBestVPN, gần đây đã xuất bản một bài đăng chi tiết về điểm yếu và cách khai thác.

Theo Rob Mardisalu, đồng sáng lập và biên tập viên của TheBestVN cho biết, “trong hầu hết các môi trường mạng, các thiết bị Cyberoam được sử dụng như tường lửa và các cổng SSL VPN. Điều này cho phép kẻ tấn công đứng vững trong mạng. Nó giúp việc tấn công các máy chủ bên trong mạng dễ dàng hơn, và bởi các thiết bị Cyberoam thường được tin cậy trong các môi trường, do đó kẻ tấn công càng có lợi thế hơn.”

Có hơn 96.000 thiết bị Cyberoam tiếp xúc với internet, bao gồm cả những thiết bị của doanh nghiệp, tổ chức tài chính và giáo dục.

Lỗ hổng ảnh hưởng đến tường lửa Cyberoam chạy CyberoamOS 10.6.6 MR-5 trở về trước. Sophos cho biết, kể từ ngày 30 tháng 9, bản vá được gửi tự động tới khách hàng sử dụng cài đặt mặc định và bản sửa lỗi cũng sẽ được đưa vào phiên bản 10.6.6 MR-6 sắp tới của hệ điều hành.

Tiết lộ về lỗ hổng này mới chỉ xuất hiện vài tuần sau khi các nhà nhiên cứu công khai chi tiết về một số lỗ hổng ảnh hưởng dến các giải pháp VPN doanh nghiệp của Palo Alto Networks, Fortinet và Pulse Secure.

Theo các cơ quan tình báo ở Hoa Kỳ và Anh Quốc, các lỗ hổng này đã bị khai thác trên thực tế.

Nguồn whitehat.vn

Trước khi tìm hiểu về lỗ hổng, điều quan trọng là phải có một số thông tin cơ bản về cách hoạt động của lệnh sudo và cách nó được cấu hình.

Tìm hiểu về lệnh sudo

Khi thực thi các lệnh trên hệ điều hành Linux, người dùng không có đặc quyền có thể sử dụng lệnh sudo (super user do) để thực thi lệnh dưới dạng root, miễn là họ đã được cấp phép hoặc biết mật khẩu của người dùng root.

Lệnh sudo cũng có thể được cấu hình để cho phép người dùng chạy các lệnh như một người dùng khác, bằng cách thêm những lệnh đặc biệt vào file cấu hình /etc/sudoers.

Ví dụ, các lệnh dưới đây cho phép người dùng “test” chạy các lệnh /usr/bin/vim và /usr/bin/id như bất kỳ người dùng nào ngoài root.

test ALL = (ALL, !root) /usr/bin/vim
 
 test ALL = (ALL, !root) /usr/bin/id

Để user “test” thực thi một trong các lệnh trên, họ sẽ sử dụng lệnh sudo với tham số -u để chỉ định người dùng chạy lệnh. Ví dụ, lệnh sau sẽ khởi chạy VIM với tư cách là người dùng “bleeping-test”.

sudo -u bleeping-test vim

Khi tạo người dùng trong Linux, mỗi user được cung cấp một UID. Như được thấy dưới đây, người dùng “test” có UID là 1001 và “bleeping-test” có UID là 1002.

Người dùng có thể sử dụng các UID này thay vì tên user khi khởi chạy lệnh sudo. Ví dụ, lệnh bên dưới sẽ một lần nữa khởi chạy VIM dưới tư cách người dùng “bleeping-test” nhưng lần này bằng cách cung cấp UID của người dùng đó.

sudo -u#1002 vim

Lỗ hổng sudo

Nhà nghiên cứu bảo mật của Apple, Joe Vennix, đã phát hiện ra một lỗi cho phép người dùng khởi chạy lệnh sudo dưới quyền root bằng cách sử dụng UID -1 hoặc 4294967295 trong lệnh sudo.

Ví dụ, lệnh sau có thể sử dụng lỗi này để khởi chạy user /usr/bin/id dưới quyền root, mặc dù người dùng “test” đã bị từ chối thực hiện việc này trong file /etc/sudoers.

sudo -u#-1 id

Sử dụng lỗi này với lệnh /usr/bin/id để có quyền root được minh họa bên dưới.

Mặc dù lỗi này rất nghiêm trọng, nhưng điều quan trọng cần nhớ là nó chỉ có thể hoạt động nếu người dùng được cấp quyền truy cập vào lệnh thông qua file cấu hình sudoers. Nếu không (và hầu hết các bản phân phối Linux không làm như vậy theo mặc định), thì lỗi này sẽ không gây ra ảnh hưởng gì.

Tạo ra một cuộc tấn công

Để thực sự khai thác lỗ hổng này, người dùng cần phải có directive (chỉ thị) sudoer, được cấu hình cho một lệnh có thể khởi chạy các lệnh khác.

Trong ví dụ directive sudoers ở trên, ta có một lệnh như vậy: Lệnh VIM!

test ALL = (ALL, !root) /usr/bin/vim

Khi ở trong VIM, người dùng có thể khởi chạy một chương trình khác bằng cách sử dụng lệnh :!. Ví dụ, nếu trong VIM, bạn có thể nhập !ls để thực thi lệnh ls trong thư mục hiện tại.

Nếu sử dụng lệnh sudo -u#-1 vim để khai thác lỗ hổng này, VIM sẽ được khởi chạy dưới dạng root. Sau đó, bạn có thể xác nhận điều này bằng cách thực thi lệnh !whoami.

Bây giờ, VIM được khởi chạy dưới dạng root, bất kỳ lệnh nào được thực thi từ nó cũng được chạy dưới quyền root.

Điều này có thể dễ dàng được sử dụng để khởi chạy một shell root mà sau đó, có thể thực thi bất kỳ lệnh nào bạn muốn trên hệ thống bị xâm nhập. Cuộc tấn công này được minh họa trong hình dưới đây.

Mặc dù lỗi này rõ ràng là rất nghiêm trọng, nhưng nó chỉ có thể được sử dụng trong các cấu hình không chuẩn sẽ không ảnh hưởng đến đại đa số người dùng Linux.

Đối với những người sử dụng directive sudoers cho user, bạn nên nâng cấp lên sudo 1.8.28 trở lên càng sớm càng tốt.

Nguồn quantrimang.com