Cảnh báo lỗ hổng nghiêm trọng CVE-2024-11667 trong Firewall Zyxel tạo nguy cơ bị tấn công ransomware Helldown

CERT-Bund và Zyxel vừa phát hiện một lỗ hổng nghiêm trọng (CVE-2024-11667) trong các dòng firewall của Zyxel sử dụng firmware ZLD (phiên bản từ 4.32 đến 5.38). Lỗ hổng này cho phép kẻ tấn công khai thác qua kỹ thuật directory traversal, tải lên hoặc tải xuống tệp trái phép bằng URL được tuỳ chỉnh.

Lỗ hổng hiện đang bị khai thác tích cực trong thực tế để triển khai ransomware Helldown, nhắm vào các tổ chức tại Đức và có nguy cơ lan rộng.

Chi tiết Kỹ thuật

CVE-2024-11667 (CVSS: 9.1)

Loại lỗ hổng: Directory Traversal

Vị trí ảnh hưởng:

  • Firmware ZLD của Zyxel, từ phiên bản 4.32 đến 5.38.
  • Kích hoạt khi bật các dịch vụ Remote Management hoặc SSL VPN.
  • Thiết bị bị ảnh hưởng: Các dòng Zyxel ATP và USG FLEX firewall (chế độ On-Premise).
  • Không bị ảnh hưởng: Các thiết bị quản lý qua Nebula Cloud.

Phương thức tấn công

1. Directory Traversal:

  • Kẻ tấn công sử dụng URL tuỳ chỉnh để vượt qua các ràng buộc về đường dẫn.
  • Cho phép tải xuống hoặc tải lên các tệp trái phép trong hệ thống.

2. Tạo tài khoản trái phép:

  • Sử dụng cấu hình NAT hoặc chính sách mạng để tạo tài khoản VPN trái phép, ví dụ: SUPPORT87.
  • Điều chỉnh quyền truy cập WAN-to-LAN.

3. Triển khai Ransomware Helldown:

  • Ransomware được tải lên thông qua đường dẫn tệp mở.
  • Mã hóa dữ liệu nhạy cảm, dẫn đến gián đoạn hoạt động mạng.

Tác động

Khai thác lỗ hổng này có thể dẫn đến:

1. Rò rỉ dữ liệu:

  • Rò rỉ thông tin cấu hình hệ thống.
  • Đánh cắp thông tin đăng nhập để tấn công các tài nguyên nội bộ.

2. Thay đổi chính sách bảo mật:

  • Tạo tài khoản VPN trái phép, ví dụ: SUPPORT87.
  • Thay đổi rule NAT cho phép truy cập từ WAN tới LAN.

3. Mã độc và gián đoạn dịch vụ:

  • Triển khai ransomware Helldown, dẫn đến mã hóa dữ liệu.
  • Ngắt quãng hoạt động mạng và dịch vụ bảo mật.

Khuyến nghị

1. Cập nhật Firmware

Nâng cấp ngay firmware ZLD lên phiên bản 5.39 hoặc mới hơn để vá lỗ hổng.

2. Thay đổi Thông tin Đăng nhập

Đặt lại toàn bộ mật khẩu cho:

  • Tài khoản quản trị.
  • Tài khoản người dùng (Local và Active Directory).
  • Thay đổi khóa VPN Pre-Shared và thông tin xác thực máy chủ xác thực bên ngoài.

3. Tăng cường Bảo mật

  • Tắt các dịch vụ Remote Management và SSL VPN nếu không cần thiết.
  • Giới hạn quyền truy cập qua IP tin cậy.
  • Bật xác thực hai yếu tố (2FA) cho quản trị viên và người dùng.

4. Kiểm tra và Giám sát

Phát hiện dấu hiệu bị xâm nhập:

  • Tìm các tài khoản VPN lạ như SUPPORT87.
  • Kiểm tra log hoạt động trong SecuReporter.
  • Kiểm tra các rule NAT và chính sách mạng bất thường.

Xử lý thiết bị bị xâm nhập:

  • Xóa tài khoản trái phép.
  • Ngắt kết nối các session đáng ngờ.

5. Sao lưu dữ liệu

Thực hiện sao lưu định kỳ và lưu trữ ngoại tuyến để phòng trường hợp bị ransomware.

Nguồn: VNCERT/CC

Công ty CP Dịch vụ an toàn thông tin TP.HCM (HISSC) chuyên cung cấp các dịch vụ về an ninh mạng gồm:

  • Điện toán đám mây.

  • Mạng phân phối nội dung

  • Giám sát an toàn thông tin mạng.

  • Bảo vệ an toàn thông tin đầu cuối.

  • Sao lưu, phục hồi dữ liệu.

  • Diễn tập phòng chống tấn công mạng.

  • Kiểm tra, đánh giá an toàn thông tin mạng.

  • Đào tạo an toàn thông tin.

  • Dịch vụ khác:

    • Triển khai tích hợp giải pháp công nghệ an toàn thông tin theo yêu cầu.
    • Cho thuê thiết bị an toàn thông tin, công nghệ thông tin

Liên hệ dịch vụ: