Thông tin các mối đe dọa bảo mật trong tháng 03 - 2022

Thông tin các mối đe dọa bảo mật trong tháng 03 - 2022

Hàng tháng, Chúng tôi - GTSC tổng hợp lại các thông tin về bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài tổng hợp.

1       Các mối đe dọa nâng cao – Advanced Threats

1.1       Chiến dịch Operation Cache Panda tấn công chuỗi cung ứng chống lại ngành tài chính của Đài Loan

Ngày 21/02/2022, nhóm nghiên cứu của CyCraft sau khi thực hiện điều tra sự cố (Incident Response, IR) cho một số công ty tài chính của Đài Loan đã phát hiện ra một loạt các cuộc tấn công nghiêm trọng do các tin tặc (cấp nhà nước Trung Quốc) khai thác sơ hở trong hệ thống phần mềm tài chính. Những kẻ tấn công thực hiện các cuộc tấn công chuỗi cung ứng quy mô lớn nhắm mục tiêu vào hệ thống phần mềm của các tổ chức tài chính ở Đài Loan. Nhóm nghiên cứu CyCraft đã đặt tên cho chiến dịch này là Operation Cache Panda.

Trong chiến dịch Operation Cache Panda, đầu tiên, kẻ tấn công khai thác một lỗ hổng dịch vụ web trong giao diện quản lý hệ thống phần mềm bảo mật và tải lên ASPXCSharp WebShell thường được tin tặc Trung Quốc sử dụng. Sau đó, chúng sử dụng công cụ thâm nhập mạng nội bộ nổi tiếng Impacket để quét các máy tính trong mạng nội bộ, cố gắng cấy ghép chương trình cửa hậu DotNet trên quy mô lớn, và có ý định đánh cắp dữ liệu từ nạn nhân. Kẻ tấn công cũng sử dụng Remote Service/WMI để phát tán cửa hậu giữa các máy nội bộ. Khi chúng đã giành được quyền kiểm soát thành công máy chủ nội bộ, kẻ tấn công sẽ tạo Reverse Tunnel RDP, giúp dễ dàng điều khiển từ xa các máy chủ bị xâm nhập.

Indicators of Compromise (IoCs)

File

Log.aspx (WebShell)

SHA1:D42BF66485218F2ED76A8B1D63AF417FD2A82C8B

PresentationCache.exe (DotNet Downloader)

SHA1:4ECFC1A89B50CD8DC1B9424C3EFCF63E257525AA

PresentationCache.exe (DotNet Downloader)

SHA1:6E6C399BDA3C1F06ADE71053FDDD8FBEFA15029C

PresentationCache.exe (DotNet Downloader)

SHA1:EC30990EFD04B15926F2F9DB59F3BFDFEC413C23

PresentationFrom.dll (DotNet Library)

SHA1:7D8EDEDB3104FEE9A422FC4E97B1969DC31C4E66

PresentationFrom.dll (DotNet Library)

SHA1:CE2925BCD3188D3CB6F8BB67CD9D3F2D72FDDC05

PresentationFrom.dll (DotNet Library)

SHA1:BD6069BE81C70E918CF95BBDB30765A90A07FD98

PresentationStatic.dll (DotNet Library)

SHA1:333D9A94DC1A95D3C773BDE232D1BC2756C10518

PresentationStatic.dll (DotNet Library)

SHA1:6B47C2DEE1788017043B456C27E22193537B7A26

PresentationStatic.dll (DotNet Library)

SHA1:49E803BEAA4230E69A216B91757E35840D0C8683

PresentationCheck.bin (DogCheck)

SHA1:A9541DEB16FFB41B6B4744D409597F9C62F7110E

PresentationCheck.bin (DogCheck)

SHA1:B6626AE6ED2F24FB82E262A2B766F2E5FD7E5230

x86.bin (Quasar RAT)

SHA1:7CB09DC4BC7DD68D6AACE7A9628634248F18EBA5

C2-Server

dowon.microsofts.top

dowon.08mma.com

cahe.microsofts.org

cache.microsofts.cc

cahe.3mmlq.com

cahe.7cnbo.com

43.245.196.120

43.245.196.121

43.245.196.122

43.245.196.123

43.245.196.124

23.224.75.91

104.155.228.182

1.2     Nhóm APT MuddyWater được chính phủ Iran tài trợ tiến hành các hoạt động không gian mạng chống lại chính phủ và mạng thương mại toàn cầu

Ngày 24/02/2022, Cục Điều tra Liên bang (FBI), Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA), Lực lượng Sứ mệnh Quốc gia Không gian mạng của Bộ Chỉ huy Mạng Hoa Kỳ (CNMF) và Trung tâm An ninh Mạng Quốc gia của Vương quốc Anh (NCSC-UK) đã quan sát thấy một nhóm APT do chính phủ Iran tài trợ, được gọi là MuddyWater, thực hiện các hoạt động gián điệp và tấn công mạng nhắm vào một loạt các tổ chức chính phủ và tư nhân trong các lĩnh vực — bao gồm viễn thông, quốc phòng, chính quyền địa phương và dầu khí tự nhiên — ở Châu Á, Châu Phi, Châu Âu và Bắc Mỹ.

MuddyWater nổi tiếng với việc khai thác các lỗ hổng đã công khai (1-day) và sử dụng các chiến lược và công cụ mã nguồn mở để truy cập vào dữ liệu nhạy cảm trên hệ thống của nạn nhân và triển khai ransomware. Những tác nhân này cũng duy trì kết nối trong hệ thống của nạn nhân thông qua các chiến thuật như side-loading dynamic link libraries (DLL) và làm xáo trộn các tập lệnh PowerShell để ẩn các chức năng lệnh và điều khiển (C2). FBI, CISA, CNMF và NCSC-UK cũng quan sát thấy MuddyWater sử dụng nhiều phần mềm độc hại khác nhau — các biến thể của PowGoop, Small Sieve, Canopy (còn được gọi là Starwhale), Mori và POWERSTATS — cùng với các công cụ khác.

Ngày 10/3, nhóm nghiên cứu của Cisco Talos cũng đã tiết lộ các chiến dịch của MuddyWater đã sử dụng các chuỗi lây nhiễm dựa trên tệp thực thi và maldocs để phân phối phần mềm độc hại, trình tải dựa trên PowerShell, remote access trojan (RAT),…

Indicator of Compromise (IoCs)

Danh sách đầy đủ IoCs và phân tích kỹ thuật xem thêm tại link:

https://www.cisa.gov/uscert/ncas/alerts/aa22-055a

https://blog.talosintelligence.com/2022/03/iranian-supergroup-muddywater.html

 

1.3     Nhóm APT41 nhắm mục tiêu đến các tổ chức Chính phủ của các Tiểu bang Hoa Kỳ

Ngày 08/03/2022, nhóm nghiên cứu của Mandiant đã công bố công bố chi tiết một chiến dịch của nhóm APT 41 đã xâm nhập thành công ít nhất sáu hệ thống mạng của các tiểu bang Hoa Kỳ. Trong khoảng thời gian từ tháng 05/2021 đến tháng 02/2022, APT41 đã khai thác các ứng dụng web dễ bị tấn công trên Internet, thường được viết bằng ASP.NET. Chúng chủ yếu khai thác các lỗ hổng .NET deserialization cùng với các lỗ hổng khác như SQL injection và directory traversal. Đặc biệt, chúng cũng sử dụng lỗ hổng zero-day (chưa được biết đến trước đây) trong một ứng dụng thương mại USAHerds (CVE-2021-44207), zero-day nổi tiếng Log4shell (CVE-2021-44228) chỉ sau vài giờ lỗ hổng được công bố.

Sau khi có được quyền truy cập ban đầu vào một máy chủ kết nối internet, APT41 đã thực hiện trinh sát mở rộng và thu thập thông tin đăng nhập. Chúng triển khai tệp nhị phân BADPOTATO bị xáo trộn bởi ConfuserEx để leo thang đặc quyền NT AUTHORITY\SYSTEM cục bộ . Sau khi nâng cấp lên đặc quyền, chúng sao chép tổ hợp registry SAM và SYSTEM cục bộ vào một thư mục để thu thập thông tin xác thực. APT41 cũng đã sử dụng Mimikatz để thực thi lệnh lsadump::sam trên tổ hợp registry để lấy thông tin xác thực được lưu trữ cục bộ và giá trị NTLM hashes.

Indicators of Compromise (IoCs)

File hash

e024ccc4c72eb5813cc2b6db7975e4750337a1cc619d7339b21fdbb32d93fd85

d7e8cc6c19ceebf0e125c9f18b50167c0ee65294b3fce179fdab560e3e8e0192

ebf28e56ae5873102b51da2cc49cbbe43192ca2f318c4dfc874448d9b85ebd00

062a7399100454c7a523a938293bef7ddb0bc10636ed402be5f9797d8cc3c57e

a4647fcb35c79f26354c34452e4a03a1e4e338a80b2c29db97bba4088a208ad0

C2-Server

194.195.125.121

194.156.98.12 

54.248.110.45

45.153.231.31

185.118.167.40

104.18.6.251

104.18.7.251

20.121.42.11

34.139.13.46

54.80.67.241

149.28.15.152

18.118.56.237

107.172.210.69

172.104.206.48

67.205.132.162

45.84.1.181

cdn.ns.time12.cf

east.winsproxy.com

afdentry.workstation.eu.org

ns1.entrydns.eu.org

subnet.milli-seconds.com

work.viewdns.ml

work.queryip.cf

103.238.225.37

182.239.92.31

microsoftfile.com

down-flash.com

libxqagv.ns.dns3.cf

1.4    Nhóm TA416 gia tăng hoạt động chống lại các chính phủ châu Âu khi xung đột ở Ukraine leo thang

Ngày 07/03/2022, nhóm nghiên cứu của Proofpoint đã công bố những hoạt động của nhóm APT TA416, có quan hệ với nhà nước Trung Quốc, mà họ quan sát được từ năm 2020 đến nay. Đầu tiên, chúng sử dụng kỹ thuật trinh sát các lỗi web (tracking pixels) để xác định mục tiêu nào dễ bị khai thác khi họ có thói quen mở các email có nội dung lừa đảo. Lỗi web này sẽ cho phép chúng nhúng một đối tượng hyperlinked trong nội dung email, mà khi được bật, nó sẽ cố gắng truy xuất tệp hình ảnh từ máy chủ do nhóm APT kiểm soát. Điều này cung cấp một "dấu hiệu" cho kẻ tấn công và chỉ ra rằng tài khoản được nhắm mục tiêu là hợp lệ. Tiếp theo, TA416 phân phối các URL độc hại để cài đặt các tải trọng phần mềm độc hại PlugX khác nhau.

Tần suất hoạt động của các chiến dịch này, đặc biệt là các chiến dịch chống lại các chính phủ châu Âu, đã tăng mạnh kể từ khi quân đội Nga bắt đầu tập trung ở biên giới Ukraine.

Việc sử dụng kỹ thuật trinh sát lỗi web cho thấy TA416 đang sáng suốt hơn về việc mục tiêu nào được chọn để phân phối tải trọng phần mềm độc hại. Trước đây, nhóm chủ yếu phân phối URL lỗi web cùng với URL phần mềm độc hại để xác nhận người nhận. Vào năm 2022, nhóm bắt đầu lập hồ sơ người dùng đầu tiên và sau đó cung cấp các URL phần mềm độc hại. Đây có thể là một nỗ lực của TA416 nhằm tránh việc các công cụ độc hại của họ bị phát hiện và tiết lộ công khai. Bằng cách thu hẹp mục tiêu từ các chiến dịch lừa đảo rộng rãi để tập trung vào các mục tiêu đã được chứng minh là hoạt động và sẵn sàng mở email, TA416 tăng cơ hội thành công khi phân phối các phần mềm độc hại nguy hiểm.

Indicators of Compromise (IoCs)

Danh sách đầy đủ IoCs và phân tích kỹ thuật xem thêm tại link:

https://www.proofpoint.com/us/blog/threat-insight/good-bad-and-web-bug-ta416-increases-operational-tempo-against-european

 

2     Malware

2.1     Tổng hợp, phân tích một số mẫu mã độc tấn công vào một số tổ chức ở Việt Nam

2.1.1     Mã độc tấn công tổ chức đơn vị Nhà nước Việt Nam

Thời điểm cuối tháng 02/2022, nhóm phân tích của GTSC ghi nhận mẫu mã độc được gửi tới người dùng làm việc tại tổ chức đơn vị Nhà nước. Mã độc có tên quyet-dinh-03-2022-qd-ttg-thu-tuong-chinh-phu với phần mở rộng của file là .exe. Khi mã độc thực thi, nó sẽ giải nén ra 2 file khác lần lượt là quyet-dinh-03-2022-qd-ttg-thu-tuong-chinh-phu.docx update.exe tại đường dẫn C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp. Tiến trình WINWORD thực thi mở tài liệu quyet-dinh-03-2022-qd-ttg-thu-tuong-chinh-phu.docx tại đường C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp nhằm lừa nạn nhân.

File update.exe sau khi thực thi sẽ kết nối tới C2 tại địa chỉ 103[.]143[.]209[.]16

Indicators of Compromise (IoCs):

File:

-       quyet-dinh-03-2022-qd-ttg-thu-tuong-chinh-phu.exe [SHA256: 6167a4fa5bdae268993a7f44f0eb2359f5b890141be3bbd7613260444c35ec70]

-       update.exe [SHA256: 96945754555d639f6c8635bff9f6595ac615a71ca9cdbb6fe64b2ee1b8559497]

Path: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp

C2:

            IP: 103[.]143[.]209[.]16

URL:

http://103[.]143.209.16/poMdDDxDkOkkML/update.php http://103[.]143.209.16/poMdDDxDkOkkML/plplpMj.php

2.1.2    Phân tích mẫu mã độc thu được trong quá trình xử lý sự cố

Đầu tháng 03/2022, trong quá trình xử lý sự cố bên phía 1 đối tác, đội ngũ kỹ thuật của GTSC có thu thập và tiến hành phân tích 1 mẫu mã độc do kẻ tấn công drop xuống hệ thống nạn nhân. Sau quá trình khai thác ban đầu, file mã độc được tải vào hệ thống trong nội bộ tại đường dẫn C:\Windows\System32. Mã độc là DLL được load vào tiến trình svchost.exe

Filename: appmgmt.dll

SHA256: fad92529dfffcec6b4f22e1b782a844065586d8d455ec4579f70fe0a8e9ffdc5

Size: 148.50 KB (152064 bytes)

Hàm export ServiceMain trong dll độc hại thực hiện các nhiệm vụ sau:

-       Kiểm tra file tại đường dẫn \\Installer\\168e3.msi, nếu file tồn tại, mã độc đọc file và giải mã file. Nghi ngờ file 168e3.msi chứa địa chỉ C2 của kẻ tấn công. Tuy nhiên trong quá trình rà soát file không tồn tại trên hệ thống.

-       Nếu file không tồn tại mã độc sẽ mở port 445 tại địa chỉ 0.0.0.0 (địa chỉ này cho phép kết nối từ mọi địa chỉ IP cục bộ) nhằm lắng nghe kết nối từ kẻ tấn công. Kẻ tấn công thực hiện cách này để gửi nhận dữ liệu tới máy chủ bị compromised

-       Sau quá trình mở port, tại hàm đã đổi tên Set_key() (hàm tên mặc định sub180001CB0) kẻ tấn công kiểm tra phiên bản của máy thông qua hàm GetVersion nhằm ghi key chính xác cho từng hệ thống cụ thể. Sau khi kiểm tra phiên bản. Mã độc giải mã dữ liệu bị mã hóa bằng hàm decrypt(), ghi giá trị vào biến Subkey và thực hiện ghi key

 

-       Hàm Sub180001290 thực hiện gửi nhận dữ liệu. Các câu lệnh được thực thi thông qua hàm WinExec().

Indicators of Compromise (IoCs):

Filename: appmgmt.dll

SHA256: fad92529dfffcec6b4f22e1b782a844065586d8d455ec4579f70fe0a8e9ffdc5

Registry key

v2.10|Action=Allow|Active=TRUE|Dir=In|Protocol=17|LPort=%d|Name=Core Networking - RRAS-L2UP|

Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AppMgmt\Parameters\

3     CVE và các khuyến nghị bảo mật

3.1     Microsoft Patch Tuesday – February 2022

Trong tháng 3, Microsoft đã phát hành các bản vá cho 71 CVE mới trong các sản phẩm của Microsoft Windows và Windows Components, Azure Data Explorer, Kestrel Web Server, Microsoft Edge (Chromium-based), Windows Codecs Library, Microsoft Dynamics, Microsoft Dynamics GP, Microsoft Office and Office Components, Windows Hyper-V Server, SQL Server, Visual Studio Code và Microsoft Teams. 

Dưới đây là một số CVE nổi bật được đánh giá ở mức độ Critical và Improtant:

3.1.1     CVE-2022-23277 - Microsoft Exchange Server Remote Code Execution Vulnerability

CVSS v3: 8.8

Mô tả: lỗ hổng tồn tại trên nền tảng Microsoft Exchange được đánh giá mức độ Critical. Cho phép kẻ tấn công thực thi mã từ xa (RCE) với đặc quyền cao. Lỗ hổng yêu cầu xác thực trong quá trình khai thác.

Phiên bản ảnh hưởng: 

-       Microsoft Exchange Server 2019 Cumulative Update 11

-       Microsoft Exchange Server 2016 Cumulative Update 22

-       Microsoft Exchange Server 2019 Cumulative Update 10

-       Microsoft Exchange Server 2016 Cumulative Update 21

-       Microsoft Exchange Server 2013 Cumulative Update 23

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-23277

3.1.2    CVE-2022-24508 - Windows SMBv3 Client/Server Remote Code Execution Vulnerability

CVSS v3: 8.8

 

Mô tả: lỗ hổng tồn tại trong giao thức SMB được đánh giá mức độ Improtant. Cho phép kẻ tấn công thực thi mã từ xa. Lỗ hổng yêu cầu xác thực trong quá trình khai thác. Ngoài ra, lỗ hổng được đánh giá là có nhiều khả năng bị khai thác. Microsoft cũng đưa các biện pháp giảm thiểu lỗ hổng trong trường hợp chưa thể cài đặt bản nhập (thông tin chi tiết xem tại link tham khảo)

Phiên bản ảnh hưởng: 

-       Windows 10 Version 21H1 for 32-bit Systems

-       Windows 10 Version 21H1 for ARM64-based Systems

-       Windows 10 Version 21H1 for x64-based Systems

-       Windows 10 Version 20H2 for 32-bit Systems

-       Windows 10 Version 20H2 for x64-based Systems

-       Windows Server 2022 Azure Edition Core Hotpatch

-       Windows Server 2022 (Server Core installation)

-       Windows 10 Version 21H2 for x64-based Systems

-       Windows 10 Version 21H2 for ARM64-based Systems

-       Windows 10 Version 21H2 for 32-bit Systems

-       Windows 11 for ARM64-based Systems

-       Windows 11 for x64-based Systems

-       Windows Server, version 20H2 (Server Core Installation)

-       Windows 10 Version 20H2 for ARM64-based Systems

Khuyến nghị: Cài đặt cập nhật bản vá hoặc thực hiện các biện pháp giảm thiểu theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-24508

3.1.3    CVE-2022-21990 - Remote Desktop Client Remote Code Execution Vulnerability

CVSS v3: 8.8

Mô tả: lỗ hổng ảnh hưởng đến Remote Desktop client được đánh giá mức độ Improtant. Để khai thác lỗ hổng, kẻ tấn công cần tạo một Remote Desktop server độc hại, lừa nạn nhân thực hiện kết nối tới. Sau khi kết nối, mã độc hại của kẻ tấn công sẽ được thực thi, cho phép kẻ tấn công chiếm quyền điều khiển hệ thống.

Phiên bản ảnh hưởng

-       Windows 10 Version 21H2 for ARM64-based Systems

-       Windows 10 Version 21H2 for 32-bit Systems

-       Windows 11 for ARM64-based Systems

-       Windows Server 2016 (Server Core installation)

-       Windows Server 2016

-       Windows 10 Version 1607 for x64-based Systems

-       Windows 10 Version 1607 for 32-bit Systems

-       Windows 10 for x64-based Systems

-       Windows 10 for 32-bit Systems

-       Windows 10 Version 21H2 for x64-based Systems

-       Windows 11 for x64-based Systems

-       Windows Server, version 20H2 (Server Core Installation)

-       Windows 10 Version 20H2 for ARM64-based Systems

-       Windows 10 Version 20H2 for 32-bit Systems

-       Windows 10 Version 20H2 for x64-based Systems

-       Windows Server 2022 (Server Core installation)

-       Windows Server 2022

-       Windows 10 Version 21H1 for 32-bit Systems

-       Windows 10 Version 21H1 for ARM64-based Systems

-       Windows 10 Version 21H1 for x64-based Systems

-       Remote Desktop client for Windows Desktop

-       Windows 10 Version 1909 for ARM64-based Systems

-       Windows 10 Version 1909 for x64-based Systems

-       Windows 10 Version 1909 for 32-bit Systems

-       Windows Server 2019 (Server Core installation)

-       Windows Server 2019

-       Windows 10 Version 1809 for ARM64-based Systems

-       Windows 10 Version 1809 for x64-based Systems

-       Windows Server 2012 R2 (Server Core installation)

-       Windows Server 2012 R2

-       Windows Server 2012 (Server Core installation)

-       Windows Server 2012

-       Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

-       Windows Server 2008 R2 for x64-based Systems Service Pack 1

-       Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

-       Windows Server 2008 for x64-based Systems Service Pack 2

-       Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

-       Windows Server 2008 for 32-bit Systems Service Pack 2

-       Windows RT 8.1

-       Windows 8.1 for x64-based systems

-       Windows 8.1 for 32-bit systems

-       Windows 7 for x64-based Systems Service Pack 1

-       Windows 7 for 32-bit Systems Service Pack 1

-       Windows 10 Version 1809 for 32-bit Systems

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21990

3.2   Ứng dụng web và các sản phẩm khác

3.2.1    Multiple vulnerabilities (CVE-2022-26500, CVE-2022-26501) in Veeam Backup & Replication

CVSS v3: 9.8

Mô tả: Lỗ hổng tồn tại ở Veeam Distribution Service được đánh giá ở mức độ Critical cho phép người dùng có thể truy cập tới các internal API mà không cần xác thực. Khi đó, kẻ tấn công có thể gửi payload độc hại tới internal API này và thực thi các đoạn mã độc hại, chiếm quyền hệ thống  

Phiên bản ảnh hưởng:

-           Ảnh hưởng tới sản phẩm Veeam Backup & Replication các phiên bản 9.5, 10 và 11

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng: https://www.veeam.com/kb4288

3.2.2  CVE-2022-22947 Spring Cloud Gateway code injection vulnerability

 CVSS: 10

Mô tả: Lỗ hổng được đánh giá mức độ Critical. Các ứng dụng sử dụng Spring Cloud Gateway tồn tại lỗ hổng code injection cho phép kẻ tấn công thực thi mã từ xa 

Phiên bản ảnh hưởng:

Spring Cloud Gateway phiên bản:

-           3.1.0

-           3.0.0 to 3.0.6

-           Các phiên bản thấp hơn hoặc các phiên bản không hỗ trợ đều bị ảnh hưởng bởi lỗ hổng.

Khuyến nghị: Cài đặt cập nhật bản vá hoặc thực hiện các biện pháp giảm thiểu theo hướng dẫn của hãng:

https://tanzu.vmware.com/security/cve-2022-22947

 

3.2.3  CVE-2022-0847 - Dirty Pipe - kernel arbitrary file manipulation

CVSS v3: 7.8

Mô tả: Lỗ hổng với định danh CVE-2022-0847 là lỗ hổng tồn tại ở Linux kernel từ phiên bản 5.8, cho phép kẻ tấn công ghi đè dữ liệu vào các tệp tùy ý. Việc ghi đè dữ liệu cũng giúp kẻ tấn công có thể lợi dụng để leo thang đặc quyền lên quyền root. Lỗ hổng đã được fix ở Linux phiên bản 5.16.11, 5.12.25 và 5.10.102. PoC khai thác lỗ hổng đã được public trên Internet:

https://haxx.in/files/dirtypipez.c

https://github.com/Arinerron/CVE-2022-0847-DirtyPipe-Exploit

Phiên bản bị ảnh hưởng:

            Kernel phiên bản 5.8 và các phiên bản sau đó

 

Khuyến nghị: Cập nhật các bản vá bảo mật theo hướng dẫn  hãng, một số phiên bản như 5.16.11, 5.15.25 và 5.10.102 đã fixed được lỗ hổng này

            https://dirtypipe.cm4all.com/

            https://access.redhat.com/security/vulnerabilities/RHSB-2022-002

 

 

 

Các gói dịch vụ

Liên hệ

Name
Email
Phone
Message