Cảnh báo lỗ hổng bảo mật CVE-2024-9680 trong Firefox đang bị khai thác

Lỗ hổng này cho phép kẻ tấn công chiếm quyền điều khiển hệ thống thông qua việc khai thác bộ nhớ đã được giải phóng. Các nhà nghiên cứu từ ESET đã phát hiện ra rằng lỗ hổng này đang bị khai thác trong thực tế và cảnh báo rằng mức độ nguy hiểm của nó rất cao. Lỗ hổng này đặc biệt nguy hiểm vì khả năng gây ra các thiệt hại nghiêm trọng nếu không được xử lý kịp thời.

Lỗ hổng được đánh giá với điểm CVSS là 9.8, cho thấy mức độ nguy hiểm cực cao, và nếu bị khai thác thành công, có thể dẫn đến nhiều hậu quả nghiêm trọng, bao gồm:

• Chiếm quyền điều khiển hệ thống: Tin tặc có thể thực thi mã độc, qua đó chiếm toàn bộ quyền kiểm soát hệ thống bị tấn công.
• Rò rỉ dữ liệu nhạy cảm: Lỗ hổng có thể bị lợi dụng để truy cập trái phép vào các thông tin quan trọng và dữ liệu cá nhân của người dùng.
• Lan truyền trong mạng: Nếu hệ thống bị tấn công nằm trong một mạng lớn hơn, kẻ tấn công có thể sử dụng hệ thống này để xâm nhập sâu hơn vào các máy chủ khác trong mạng.
• Cài đặt mã độc bổ sung: Kẻ tấn công có thể tiếp tục cài đặt các phần mềm độc hại hoặc cài backdoor để duy trì quyền kiểm soát hệ thống.

Phương thức khai thác

Lỗ hổng này thuộc loại Use-After-Free, một trong những kỹ thuật phổ biến để thực thi mã độc bằng cách sử dụng bộ nhớ đã được giải phóng. Khi một ứng dụng vẫn sử dụng bộ nhớ sau khi nó đã bị giải phóng, kẻ tấn công có thể can thiệp vào vùng bộ nhớ đó và đưa mã độc vào, từ đó thực thi lệnh tùy ý trên hệ thống. Đặc biệt, lỗ hổng này xuất hiện trong Animation Timelines, một thành phần quan trọng của Web Animations API trong Firefox, có nhiệm vụ kiểm soát và đồng bộ hóa các hoạt động hoạt họa trên các trang web.

Khi tấn công thành công, mã độc được thực thi trong content process của Firefox, cho phép kẻ tấn công kiểm soát hệ thống và tiếp cận các tài nguyên hệ thống như tệp tin, thông tin nhạy cảm hoặc thậm chí là cài đặt thêm phần mềm độc hại khác. Những hệ thống không được vá có nguy cơ cao bị tin tặc lợi dụng để tiến hành tấn công sâu hơn hoặc làm tiền đề cho các cuộc tấn công phức tạp khác.

Dù hiện tại PoC chưa được công khai, việc Mozilla xác nhận lỗ hổng này đã bị khai thác trong thực tế cho thấy các tin tặc đã nhanh chóng lợi dụng điểm yếu này để tiến hành các cuộc tấn công mạng.

Bản vá

Mozilla đã phát hành một bản vá khẩn cấp cho lỗ hổng CVE-2024-9680 vào ngày 09/10/2024. Bản vá này đã được triển khai thông qua mã MFSA2024-51, và người dùng Firefox cần phải cập nhật ngay lập tức để bảo vệ hệ thống khỏi các cuộc tấn công có thể xảy ra. Các phiên bản cập nhật bao gồm:

• Firefox 131.0.2
• Firefox ESR 115.16.1
• Firefox ESR 128.3.1

Khuyến nghị

Để giảm thiểu rủi ro từ lỗ hổng CVE-2024-9680, các bước sau cần được thực hiện ngay lập tức:

• Áp dụng bản vá ngay lập tức: Người dùng Firefox nên cập nhật lên phiên bản mới nhất để vá lỗ hổng này càng sớm càng tốt. Đây là hành động ưu tiên hàng đầu để đảm bảo hệ thống không bị tấn công.
• Tạm ngừng sử dụng Firefox nếu không thể cập nhật: Nếu không thể cập nhật ngay, hãy tạm thời ngừng sử dụng Firefox, đặc biệt trên các hệ thống quan trọng, để tránh nguy cơ bị khai thác.
• Giám sát hệ thống và mạng: Theo dõi các hoạt động bất thường trên hệ thống, kiểm tra sự xuất hiện của các dấu hiệu khai thác hoặc mã độc.
• Sử dụng trình duyệt thay thế tạm thời: Nếu cần thiết, sử dụng trình duyệt khác như Chrome hoặc Edge trên các hệ thống quan trọng cho đến khi bản vá được cài đặt.

Nguồn: VNCERT/CC

---

Công ty CP Dịch vụ an toàn thông tin TP.HCM (HISSC) chuyên cung cấp các dịch vụ về an ninh mạng gồm:

• Điện toán đám mây.

• Mạng phân phối nội dung

• Giám sát an toàn thông tin mạng.

• Bảo vệ an toàn thông tin đầu cuối.

• Sao lưu, phục hồi dữ liệu.

• Diễn tập phòng chống tấn công mạng.

• Kiểm tra, đánh giá an toàn thông tin mạng.

• Đào tạo an toàn thông tin.

• Dịch vụ khác:

  • Triển khai tích hợp giải pháp công nghệ an toàn thông tin theo yêu cầu.
  • Cho thuê thiết bị an toàn thông tin, công nghệ thông tin

Liên hệ dịch vụ:

• Số điện thoại: (84-28) 3715 9999 – Phòng PTKD
• Email: sales@hissc.com.vn