SECUITY365

LastPass đã tiết lộ thêm thông tin về một “cuộc tấn công thứ hai có phối hợp”, trong đó một tác nhân đe dọa đã truy cập và đánh cắp dữ liệu từ các máy chủ lưu trữ đám mây AWS của Amazon trong hơn hai tháng.

LastPass  đã tiết lộ một vi phạm  vào tháng 12, trong đó các tác nhân đe dọa đã đánh cắp dữ liệu kho mật khẩu được mã hóa một phần và thông tin khách hàng. Công ty hiện đã tiết lộ cách thức các tác nhân đe dọa thực hiện cuộc tấn công này, nói rằng họ đã sử dụng  thông tin bị đánh cắp trong một vụ vi phạm vào tháng 8 , thông tin từ một vụ vi phạm dữ liệu khác và một lỗ hổng thực thi mã từ xa để cài đặt keylogger trên máy tính của một kỹ sư DevOps cấp cao.

LastPass cho biết cuộc tấn công phối hợp thứ hai này đã sử dụng dữ liệu bị đánh cắp từ lần vi phạm đầu tiên để giành quyền truy cập vào các bộ chứa Amazon S3 được mã hóa của công ty.

Vì chỉ có bốn kỹ sư DevOps của LastPass có quyền truy cập vào các khóa giải mã này nên tác nhân đe dọa đã nhắm mục tiêu vào một trong các kỹ sư. Cuối cùng, tin tặc đã cài đặt thành công keylogger trên thiết bị của nhân viên bằng cách khai thác lỗ hổng thực thi mã từ xa trong gói phần mềm phương tiện của bên thứ ba.

“Kẻ đe dọa đã có thể lấy được mật khẩu chính của nhân viên khi nó được nhập, sau khi nhân viên đó xác thực bằng MFA và có quyền truy cập vào kho tiền công ty LastPass của kỹ sư DevOps,” một tư vấn bảo mật mới được công bố hôm nay cho  biết  .

“Sau đó, kẻ đe dọa đã xuất các mục nhập kho tiền công ty gốc và nội dung của các thư mục được chia sẻ, chứa các ghi chú bảo mật được mã hóa với các khóa truy cập và giải mã cần thiết để truy cập các bản sao lưu sản xuất AWS S3 LastPass, các tài nguyên lưu trữ dựa trên đám mây khác và một số bản sao lưu cơ sở dữ liệu quan trọng có liên quan .”

Việc sử dụng thông tin xác thực hợp lệ khiến các nhà điều tra của công ty khó phát hiện hoạt động của kẻ đe dọa, cho phép tin tặc truy cập và đánh cắp dữ liệu từ các máy chủ lưu trữ đám mây của LastPass trong hơn hai tháng, từ ngày 12 tháng 8 năm 2022 đến ngày 26 tháng 10 năm 2022.

LastPass cuối cùng đã phát hiện ra hành vi bất thường thông qua AWS GuardDuty Alerts khi kẻ đe dọa cố gắng sử dụng vai trò Quản lý truy cập và nhận dạng đám mây (IAM) để thực hiện hoạt động trái phép.

Công ty cho biết kể từ đó họ đã cập nhật trạng thái bảo mật của mình, bao gồm luân phiên thông tin đăng nhập nhạy cảm và khóa/mã thông báo xác thực, thu hồi chứng chỉ, thêm nhật ký và cảnh báo bổ sung cũng như thực thi các chính sách bảo mật chặt chẽ hơn.

Một lượng lớn dữ liệu đã được truy cập

Là một phần của tiết lộ ngày hôm nay, LastPass đã công bố thông tin chi tiết hơn về thông tin khách hàng nào đã bị đánh cắp trong cuộc tấn công.

Tùy thuộc vào khách hàng cụ thể, dữ liệu này rất rộng và đa dạng, từ hạt giống Xác thực đa yếu tố (MFA), bí mật tích hợp API MFA và đến Khóa thành phần kiến ​​thức phân tách (“K2”) dành cho khách hàng doanh nghiệp được liên kết.

Dưới đây là danh sách đầy đủ các dữ liệu bị đánh cắp, với biểu đồ chi tiết hơn và dễ đọc hơn trên trang hỗ trợ.

Tóm tắt dữ liệu được truy cập trong Sự cố 1:

• Kho lưu trữ mã nguồn và phát triển dựa trên đám mây theo yêu cầu – bao gồm 14 trong số 200 kho lưu trữ phần mềm.
• Các tập lệnh nội bộ từ các kho lưu trữ – những tập lệnh này chứa các bí mật và chứng chỉ LastPass.
• Tài liệu nội bộ – thông tin kỹ thuật mô tả cách thức hoạt động của môi trường phát triển.

Tóm tắt dữ liệu được truy cập trong Sự cố 2:

• Bí mật DevOps – bí mật bị hạn chế được sử dụng để có quyền truy cập vào bộ lưu trữ sao lưu dựa trên đám mây của chúng tôi.
• Lưu trữ sao lưu dựa trên đám mây – chứa dữ liệu cấu hình, bí mật API, bí mật tích hợp của bên thứ ba, siêu dữ liệu khách hàng và sao lưu tất cả dữ liệu kho tiền của khách hàng. Tất cả dữ liệu kho tiền nhạy cảm của khách hàng, ngoài URL, đường dẫn tệp đến phần mềm LastPass Windows hoặc macOS đã cài đặt và một số trường hợp sử dụng nhất định liên quan đến địa chỉ email, đều được mã hóa bằng mô hình Kiến thức Zero của chúng tôi và chỉ có thể được giải mã bằng khóa mã hóa duy nhất lấy từ chủ của mỗi người dùng mật khẩu. Xin nhắc lại, mật khẩu chính của người dùng cuối không bao giờ được LastPass biết đến và không được LastPass lưu trữ hoặc duy trì – do đó, chúng không được đưa vào dữ liệu bị lọc.
• Sao lưu Cơ sở dữ liệu liên kết/MFA của LastPass – chứa các bản sao của hạt LastPass Authenticator, số điện thoại được sử dụng cho tùy chọn sao lưu MFA (nếu được bật), cũng như thành phần kiến ​​thức phân tách (“khóa”) được sử dụng cho liên kết LastPass (nếu được bật) . Cơ sở dữ liệu này đã được mã hóa, nhưng khóa giải mã được lưu trữ riêng được bao gồm trong các bí mật bị tác nhân đe dọa đánh cắp trong sự cố thứ hai.

Tất cả các bản tin hỗ trợ ngày nay đều không dễ tìm, không có bản tin nào được liệt kê trong các công cụ tìm kiếm, vì công ty đã thêm <meta name="robots" content="noindex">các thẻ HTML vào tài liệu để ngăn chúng được lập chỉ mục bởi các công cụ tìm kiếm.

LastPass cũng đã phát hành một tệp PDF có tiêu đề ” Bạn nên thực hiện những hành động nào để bảo vệ bản thân hoặc doanh nghiệp của mình “, trong đó có các bước tiếp theo mà khách hàng có thể thực hiện để bảo vệ môi trường của họ.

Theo BC / Security365

Các phiên bản bị Trojan hóa của các ứng dụng hợp pháp đang được sử dụng để triển khai phần mềm độc hại khai thác tiền điện tử lẩn tránh trên các hệ thống macOS.

Jamf Threat Labs, công ty đã phát hiện ra và cho biết công cụ khai thác tiền ảo XMRig đã được thực thi dưới dạng Final Cut Pro, một phần mềm chỉnh sửa video của Apple, có chứa một sửa đổi trái phép.

“Phần mềm độc hại này sử dụng Dự án Internet vô hình (i2p) […] để tải xuống các thành phần độc hại và gửi tiền khai thác được đến ví của kẻ tấn công”, các nhà nghiên cứu của Jamf, Matt Benyo, Ferdous Saljooki và Jaron Bradley cho biết trong một báo cáo được chia sẻ với THN.

Một lặp lại trước đó của chiến dịch đã được Trend Micro ghi lại cách đây đúng một năm, chỉ ra việc sử dụng i2p của phần mềm độc hại để che giấu lưu lượng mạng và suy đoán rằng nó có thể đã được phân phối dưới dạng tệp DMG cho Adobe Photoshop CC 2019. Công ty quản lý thiết bị Apple cho biết nguồn gốc của các ứng dụng đánh cắp tiền điện tử có thể được truy tìm từ Pirate Bay, với các lần tải lên sớm nhất có từ năm 2019.

Kết quả là việc phát hiện ra ba thế hệ phần mềm độc hại, lần đầu tiên được quan sát thấy vào tháng 8 năm 2019, tháng 4 năm 2021 và tháng 10 năm 2021, cho thấy sự phát triển về mức độ tinh vi và khả năng tàng hình của chiến dịch.

Một ví dụ về kỹ thuật trốn tránh là tập lệnh shell giám sát danh sách các quy trình đang chạy để kiểm tra sự hiện diện của Trình giám sát hoạt động và nếu có, hãy chấm dứt quy trình khai thác.

Quy trình khai thác độc hại dựa trên việc người dùng khởi chạy ứng dụng vi phạm bản quyền, theo đó mã được nhúng trong tệp thực thi kết nối với máy chủ do tác nhân kiểm soát qua i2p để tải xuống thành phần XMRig.

Khả năng ẩn nấp của phần mềm độc hại, cùng với thực tế là người dùng chạy phần mềm bẻ khóa sẵn sàng làm điều gì đó bất hợp pháp, đã làm cho vectơ phân phối trở nên hiệu quả cao trong nhiều năm.

Tuy nhiên, Apple đã thực hiện các bước để chống lại sự lạm dụng đó bằng cách yêu cầu các ứng dụng được công chứng kiểm tra Gatekeeper nghiêm ngặt hơn trong macOS Ventura, do đó ngăn chặn các ứng dụng giả mạo được khởi chạy.

Các nhà nghiên cứu của Jamf lưu ý: “ macOS Ventura không ngăn người khai thác thực thi. “Vào thời điểm người dùng nhận được thông báo lỗi, phần mềm độc hại đó đã được cài đặt.” (THN – Bản Tin An Toàn Thông Tin)

Microsoft cho biết quản trị viên nên loại bỏ một số  loại trừ chống vi-rút được đề xuất trước đây  cho máy chủ Exchange để tăng cường bảo mật cho máy chủ.

Như công ty đã giải thích, các loại trừ nhắm mục tiêu các tệp ASP.NET tạm thời và thư mục Inetsrv cũng như các quy trình PowerShell và w3wp là không bắt buộc vì chúng không còn ảnh hưởng đến tính ổn định hoặc hiệu suất.

Tuy nhiên, quản trị viên nên chú ý quét các vị trí và quy trình này vì chúng thường bị lạm dụng trong các cuộc tấn công nhằm triển khai phần mềm độc hại.

Nhóm Exchange  cho biết : “Việc giữ các loại trừ này có thể ngăn chặn việc phát hiện các mô-đun webshell và cửa hậu IIS, vốn là những vấn đề bảo mật phổ biến nhất” .

“Chúng tôi đã xác thực rằng việc xóa các quy trình và thư mục này không ảnh hưởng đến hiệu suất hoặc độ ổn định khi sử dụng Bộ bảo vệ Microsoft trên Exchange Server 2019 chạy các bản cập nhật Exchange Server mới nhất.”

Bạn cũng có thể xóa các loại trừ này một cách an toàn khỏi các máy chủ đang chạy Exchange Server 2016 và Exchange Server 2013 nhưng bạn nên theo dõi chúng và sẵn sàng giảm thiểu mọi sự cố có thể xảy ra.

Danh sách loại trừ thư mục và quy trình cần được xóa khỏi trình quét chống vi-rút cấp tệp bao gồm:

Điều này xảy ra sau khi các tác nhân đe dọa  đã sử dụng các mô-đun  và  tiện ích mở rộng  máy chủ web IIS độc hại   để tạo cửa hậu cho các máy chủ Microsoft Exchange chưa được vá lỗi trên toàn thế giới.

Để chống lại các cuộc tấn công bằng các chiến thuật tương tự, bạn phải luôn cập nhật máy chủ Exchange của mình, sử dụng các giải pháp bảo mật và chống phần mềm độc hại, hạn chế quyền truy cập vào thư mục ảo IIS, ưu tiên cảnh báo và thường xuyên kiểm tra tệp cấu hình và thư mục bin để tìm tệp đáng ngờ.

Redmond gần đây cũng kêu gọi khách hàng  luôn cập nhật các máy chủ Exchange tại chỗ  bằng cách áp dụng Bản cập nhật tích lũy (CU) mới nhất để sẵn sàng triển khai các bản cập nhật bảo mật khẩn cấp.

Bạn cũng nên luôn chạy  tập lệnh Trình kiểm tra tình trạng máy chủ Exchange  sau khi triển khai các bản cập nhật để phát hiện các sự cố cấu hình phổ biến hoặc các sự cố khác có thể được khắc phục bằng thay đổi cấu hình môi trường đơn giản.

Như các nhà nghiên cứu bảo mật tại Shadowserver Foundation đã phát hiện vào tháng 1, hàng chục nghìn máy chủ Microsoft Exchange tiếp xúc với Internet (hơn 60.000 máy chủ vào thời điểm đó) vẫn dễ bị tấn công bằng cách tận dụng các khai thác ProxyNotShell.

Shodan cũng cho thấy nhiều  máy chủ Exchange bị lộ trực tuyến , với hàng nghìn máy chủ trong số đó không có khả năng tự vệ trước các cuộc tấn công nhắm vào lỗ hổng ProxyShell và ProxyLogon, hai trong số  các lỗ hổng bị khai thác nhiều nhất trong năm 2021 .

BC (An Toàn Thông Tin – CEH v12)

Apple đã sửa đổi các tư vấn bảo mật được phát hành vào tháng trước để bao gồm ba lỗ hổng mới ảnh hưởng đến iOS, iPadOS và macOS . Lỗ hổng đầu tiên là một race condition trong thành phần Trình báo cáo sự cố Crash Reporter (CVE-2023-23520) có thể cho phép tác nhân độc hại đọc các tệp tùy ý với quyền root. Nhà sản xuất iPhone cho biết họ đã giải quyết vấn đề bằng cách xác thực bổ sung.

Hai lỗ hổng khác, được ghi nhận cho nhà nghiên cứu Trellix, Austin Emmitt, nằm trong khung Foundation (CVE-2023-23530 và CVE-2023-23531) và có thể được vũ khí hóa để thực thi mã.

“Một ứng dụng có thể thực thi mã tùy ý từ hộp cát của nó hoặc với một số đặc quyền nâng cao nhất định”, Apple cho biết thêm rằng họ đã vá các vấn đề bằng “xử lý bộ nhớ được cải thiện”.

Các lỗ hổng có mức độ nghiêm trọng từ trung bình đến cao đã được vá trong iOS 16.3, iPadOS 16.3 và macOS Ventura 13.2 được xuất bản vào ngày 23 tháng 1 năm 2023.

Trellix, trong báo cáo của riêng mình vào thứ Ba  đã phân loại hai lỗ hổng này là “một loại lỗi mới cho phép bỏ qua việc ký mã để thực thi mã tùy ý trong ngữ cảnh của một số ứng dụng nền tảng, dẫn đến leo thang đặc quyền và thoát hộp cát trên cả macOS và iOS .”

Các lỗi này cũng bỏ qua các biện pháp giảm thiểu mà Apple đưa ra để giải quyết các khai thác không nhấp chuột như FORCEDENTRY , được nhà cung cấp phần mềm gián điệp đánh thuê của Israel NSO Group tận dụng để triển khai Pegasus trên các thiết bị của mục tiêu.

Do đó, kẻ đe dọa có thể khai thác các lỗ hổng này để thoát ra khỏi hộp cát và thực thi mã độc hại với các quyền được nâng cao, có khả năng cấp quyền truy cập vào lịch, sổ địa chỉ, tin nhắn, dữ liệu vị trí, lịch sử cuộc gọi, máy ảnh, micrô và ảnh.

Đáng lo ngại hơn, các lỗi bảo mật có thể bị lạm dụng để cài đặt các ứng dụng tùy ý hoặc thậm chí xóa sạch thiết bị. Điều đó nói rằng, việc khai thác các lỗ hổng yêu cầu kẻ tấn công phải có được chỗ đứng ban đầu trong đó.

Emmitt cho biết: “Các lỗ hổng trên thể hiện sự vi phạm đáng kể mô hình bảo mật của macOS và iOS dựa trên các ứng dụng riêng lẻ có quyền truy cập chi tiết vào tập hợp con tài nguyên mà chúng cần và truy vấn các dịch vụ đặc quyền cao hơn để lấy bất kỳ thứ gì khác”.

THN – Bản Tin An Toàn Thông Tin (Security365)

Cơ quan An ninh Quốc gia Hoa Kỳ (NSA) đã ban hành các hướng dẫn để giúp những người làm việc từ xa bảo mật mạng gia đình và bảo vệ thiết bị của họ khỏi các cuộc tấn công.

Hướng dẫn do cơ quan tình báo của Bộ Quốc phòng công bố hôm thứ Tư bao gồm một danh sách dài các khuyến nghị, bao gồm một danh sách ngắn các điểm nổi bật thúc giục những người làm việc từ xa đảm bảo các thiết bị và phần mềm của họ được cập nhật.

Những người làm việc từ xa cũng nên sao lưu dữ liệu của họ thường xuyên để tránh mất dữ liệu và ngắt kết nối thiết bị mà họ không sử dụng nếu thiết bị đó không yêu cầu kết nối Internet hoạt động mọi lúc.

Để xóa phần mềm độc hại không liên tục nếu một trong các thiết bị của bạn bị nhiễm, bạn cũng nên khởi động lại chúng thường xuyên hoặc lên lịch khởi động lại để giảm thiểu rủi ro này hơn nữa.

“Ở mức tối thiểu, bạn nên lên lịch khởi động lại hàng tuần cho thiết bị định tuyến, điện thoại thông minh và máy tính của mình. Việc khởi động lại thường xuyên giúp loại bỏ các thiết bị cấy ghép và đảm bảo an ninh”, NSA cho  biết .

Các phương pháp hay nhất khác bao gồm sử dụng tài khoản người dùng không có đặc quyền trên máy tính của bạn, bật cập nhật tự động bất cứ khi nào có thể, đồng thời che webcam và tắt micrô khi không sử dụng chúng để chặn các nỗ lực nghe lén thông qua thiết bị bị xâm nhập hoặc phần mềm độc hại.

​Sử dụng bộ định tuyến của riêng bạn và thường xuyên cập nhật

NSA cũng khuyến nghị sử dụng bộ định tuyến cá nhân nên được cập nhật qua modem hoặc bộ định tuyến tiêu chuẩn do ISP cung cấp, có thể không nhận được các bản cập nhật bảo mật thường xuyên.

NSA cho biết: “Bộ định tuyến của bạn là cổng vào mạng gia đình của bạn. Nếu không có bản vá và bảo mật phù hợp, nó có nhiều khả năng bị xâm phạm, điều này có thể dẫn đến việc các thiết bị khác trên mạng cũng bị xâm phạm”.

“Để giảm thiểu lỗ hổng và cải thiện bảo mật, các thiết bị định tuyến trên mạng gia đình của bạn phải được cập nhật lên các bản vá mới nhất, tốt nhất là thông qua cập nhật tự động.”

Các bộ định tuyến cũng nên được thay thế ngay khi hoặc trước khi chúng hết hạn sử dụng để đảm bảo chúng tiếp tục nhận được các bản vá bảo mật nhằm giải quyết các lỗ hổng được phát hiện gần đây mà kẻ tấn công có thể khai thác trong các nỗ lực vi phạm mạng.

Trước đây, NSA cũng cung cấp các mẹo về  bảo mật thiết bị không dây ,  liên lạc thoại hoặc video và  Mạng riêng ảo IPsec , cũng như  giảm rủi ro theo dõi vị trí .

“Trong thời đại làm việc từ xa, mạng gia đình của bạn có thể được sử dụng làm điểm truy cập cho các tác nhân quốc gia và tội phạm mạng để đánh cắp thông tin nhạy cảm. Chúng ta có thể giảm thiểu rủi ro này bằng cách bảo mật các thiết bị và mạng của mình cũng như thông qua hành vi trực tuyến an toàn,” An ninh mạng NSA Giám đốc kỹ thuật Neal Ziring  cho biết .

Các tác nhân đe dọa đang khai thác mức độ phổ biến của chatbot ChatGPT của OpenAI để phát tán phần mềm độc hại cho Windows và Android hoặc hướng những khách hàng thiếu cẩn trọng đến các trang lừa đảo.

ChatGPT đã đạt được sức hút to lớn kể từ khi ra mắt vào tháng 11 năm 2022, trở thành ứng dụng dành cho người tiêu dùng phát triển nhanh nhất trong lịch sử hiện đại với hơn 100 triệu người dùng vào tháng 1 năm 2023.

Mức độ phổ biến rộng rãi và tốc độ tăng trưởng nhanh chóng này đã buộc OpenAI phải tăng cường sử dụng công cụ này và tung ra mức trả phí 20 đô la/tháng (ChatGPT Plus) cho những cá nhân muốn sử dụng chatbot mà không bị hạn chế về tính khả dụng.

Động thái này đã tạo điều kiện cho các tác nhân đe dọa tận dụng sự phổ biến của công cụ này bằng cách hứa hẹn quyền truy cập miễn phí và không bị gián đoạn vào ChatGPT cao cấp. Các ưu đãi là mục tiêu thu hút người dùng cài đặt phần mềm độc hại hoặc cung cấp thông tin đăng nhập tài khoản.

Nhà nghiên cứu bảo mật Dominic Alvieri là một trong những người đầu tiên nhận thấy một ví dụ như vậy khi sử dụng miền “chat-gpt-pc.online” để lây nhiễm cho khách truy cập phần mềm độc hại đánh cắp thông tin Redline dưới chiêu bài tải xuống cho ứng dụng khách ChatGPT trên máy tính để bàn Windows.

Trang web đó được quảng bá bởi một trang Facebook sử dụng các biểu trưng ChatGPT chính thức để lừa người dùng chuyển hướng đến trang web độc hại.

Alvieri cũng phát hiện ra các ứng dụng ChatGPT giả mạo đang được quảng cáo trên Google Play và các cửa hàng ứng dụng Android của bên thứ ba, để đẩy phần mềm đáng ngờ vào thiết bị của mọi người.

Các nhà nghiên cứu tại Cyble đã công bố một báo cáo có liên quan hôm nay, trong đó họ trình bày các phát hiện bổ sung về chiến dịch phân phối phần mềm độc hại do Alvieri phát hiện, cũng như các hoạt động độc hại khác khai thác mức độ phổ biến của ChatGPT.

Cyble đã phát hiện ra “chatgpt-go.online” phân phối phần mềm độc hại đánh cắp nội dung khay nhớ tạm và trình đánh cắp Aurora.

Ngoài ra, “chat-gpt-pc[.]online” đã cung cấp trình đánh cắp Lumma trong các thử nghiệm của Cyble. Một miền khác, “openai-pc-pro[.]online,” loại bỏ một họ phần mềm độc hại không xác định.

Ngoài những điều trên, Cyble đã phát hiện ra một trang đánh cắp thẻ tín dụng tại “pay.chatgptftw.com” được cho là cung cấp cho khách truy cập một cổng thanh toán để mua ChatGPT Plus.

Khi nói đến các ứng dụng giả mạo, Cyble cho biết họ đã phát hiện ra hơn 50 ứng dụng độc hại sử dụng biểu tượng ChatGPT và một tên tương tự, tất cả chúng đều là giả mạo và cố gắng thực hiện các hoạt động có hại trên thiết bị của người dùng.

Hai ví dụ được nêu bật trong báo cáo là ‘chatGPT1’, một ứng dụng lừa đảo thanh toán qua SMS và ‘AI Photo’, chứa phần mềm độc hại Spynote, có thể đánh cắp nhật ký cuộc gọi, danh sách liên hệ, SMS và tệp từ thiết bị.

ChatGPT chỉ là một công cụ dựa trên trực tuyến chỉ có tại “chat.openai.com” và hiện không cung cấp bất kỳ ứng dụng dành cho thiết bị di động hoặc máy tính để bàn nào cho bất kỳ hệ điều hành nào. (BC / Security365)

CISA đã cảnh báo : Nền tảng truyền tệp tốc độ cao của IBM, Aspera Faspex, đang bị tấn công tích cực bởi tin tặc qua khai thác lỗ hổng thực thi mã từ xa không yêu cầu xác thực (pre-auth RCE) . Cơ quan an ninh cơ sở hạ tầng và an ninh mạng Hoa Kỳ đã báo cáo việc khai thác lỗ hổng IBM Aspera Faspex vào cuối ngày 21 tháng 2. Lỗ hổng này đã được phân bổ CVE-2022-47986 và lần đầu tiên được tiết lộ bởi Assetnote.

Nhà nghiên cứu bảo mật Assetnote Max Garrett cho biết ông đã thấy “hàng nghìn” trường hợp tiết lộ trên internet. 

IBM mô tả Faspex là một “giải pháp chuyển giao tập trung cho phép người dùng trao đổi tệp với nhau bằng quy trình làm việc giống như email. Faspex cho phép truyền tốc độ cao bằng cách sử dụng giao thức FASP độc quyền của IBM Aspera, sử dụng đầy đủ băng thông mạng có sẵn để tối đa hóa tốc độ trong khi vẫn duy trì quyền kiểm soát và bảo mật. Các tệp và thư mục do người dùng tải lên được gửi đến, lưu trữ và tải xuống từ các máy chủ truyền Aspera.”

Lỗ hổng Aspera Faspex có xếp hạng CVSS nghiêm trọng là 9,8.

Lỗ hổng IBM Aspera Faspex: Lỗi được báo cáo lần đầu vào tháng 10 năm 2022

Phần mềm truyền tệp của IBM là giải pháp thứ hai bị tấn công tích cực trong tháng này, với báo cáo được đưa ra sau một lỗi nghiêm trọng trong ứng dụng MFT (truyền tệp được quản lý) của Fortra cũng là mục tiêu.

(Nhà cung cấp phần mềm truyền tệp lớn, Accellion, cũng đã bị tấn công vào năm 2021 với hàng loạt blue-chip nổi tiếng bị đánh cắp dữ liệu, bao gồm Shell, Morgan Stanley, công ty luật toàn cầu Goodwin Procter và hàng trăm công ty khác.) 

Lỗ hổng nghiêm trọng Aspera Faspex của IBM lần đầu tiên được báo cáo cho IBM bởi nhà cung cấp nền tảng quản lý bề mặt tấn công Assetnote vào ngày 6 tháng 10. IBM ban đầu nói với công ty rằng “khi chúng tôi gửi báo cáo lỗ hổng cho IBM, chúng tôi cấp cho IBM giấy phép miễn phí đối với tất cả các quyền sở hữu trí tuệ” và các nhà nghiên cứu của Assetnote đã phải làm rõ với IBM rằng nghiên cứu được thực hiện trong thời gian làm việc tại Assetnote và họ có quyền đối với lỗi này. 

Công ty khởi nghiệp đã yêu cầu IBM cập nhật vào ngày 15 tháng 1 và được thông báo rằng lỗi này đã được vá trong Faspex 4.4.2 Patch Level 2 . Sau đó, nó đã công bố mã khai thác vào ngày 2 tháng 2 năm 2023, lưu ý rằng “Phần mềm truyền tệp có thể lưu trữ dữ liệu cực kỳ nhạy cảm và có thể hoạt động như một điểm lỗi duy nhất, vì nếu các dịch vụ này bị vi phạm, tất cả dữ liệu được lưu trữ cũng có thể bị lấy bởi kẻ tấn công…” Báo cáo của CISA vẫn chưa rõ mức độ phổ biến của lỗ hổng này nhưng khách hàng nên khẩn trương kiểm tra mức độ phơi nhiễm, mức độ bản vá và IOC. 

Các tệp nhật ký có thể được tìm thấy trong thư mục /opt/aspera/faspex/log theo mặc định. Các mục liên quan đến PackageRelayController#relay_package nên được coi là đáng ngờ.