Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã phát đi cảnh báo về việc cookie không được mã hóa trong F5 BIG-IP Local Traffic Manager (LTM) đang bị các kẻ tấn công mạng đang lợi dụng để thực hiện các cuộc tấn công do thám nhằm vào các mạng mục tiêu.
Theo CISA, F5 BIG-IP Local Traffic Manager (LTM) hiện đang được sử dụng như một công cụ để thu thập thông tin của các thiết bị không kết nối internet khác trên mạng network. Tuy nhiên, cơ quan không tiết lộ danh tính của các kẻ tấn công đứng sau hoạt động này cũng như mục tiêu cuối cùng của chiến dịch.
Trong một thông báo, CISA cho biết: “Kẻ tấn công có thể lợi dụng thông tin thu thập được từ cookie lưu trữ không được mã hóa để xác định các tài nguyên mạng bổ sung, đồng thời có khả năng khai thác các lỗ hổng trong các thiết bị khác trên network.”
CISA khuyến nghị các tổ chức nên cấu hình hệ thống BIG-IP LTM để mã hóa cookie HTTP trong các thiết bị F5 BIG-IP. Hơn nữa, cơ quan cũng khuyến khích người dùng kiểm tra khả năng bảo vệ hệ thống của họ bằng cách sử dụng công cụ BIG-IP iHealth để phát hiện và cảnh báo khách hàng khi các cấu hình cookie liên tục không bật mã hóa, nhằm xác định các vấn đề tiềm ẩn.
BIG-IP iHealth là một công cụ “đánh giá nhật ký truy cập, đầu ra lệnh và cấu hình của hệ thống BIG-IP, so sánh với cơ sở dữ liệu về các sự cố đã biết, các lỗi thường gặp và các biện pháp xử lý sự cố của F5 đã công bố”. Các kết quả sẽ được ưu tiên để cung cấp phản hồi về các vấn đề cấu hình hoặc mã lỗi, cùng với các khuyến nghị để giải quyết.
Thông báo này được đưa ra trong bối cảnh Cơ quan An ninh mạng của Anh và Hoa Kỳ đã đưa một thông báo chung, nêu chi tiết về các nỗ lực của các tác nhân đe dọa được Nga tài trợ nhằm vào các lĩnh vực như ngoại giao, quốc phòng, công nghệ và tài chính, nhằm thu thập thông tin tình báo nước ngoài và hỗ trợ cho các hoạt động tấn công mạng trong tương lai.
Hoạt động này được cho là có liên quan đến APT29, còn được gọi là BlueBravo, Cloaked Ursa, Cozy Bear và Midnight Blizzard. Nhóm này được coi là một mắt xích quan trọng trong cỗ máy tình báo quân sự của Nga và có liên kết với Cơ quan Tình báo Đối ngoại Nga (SVR).
Các cuộc tấn công mạng của SVR đều tập trung vào việc duy trì tính ẩn danh và tránh không bị phát hiện. Các kẻ tấn công sử dụng TOR suốt quá trình xâm nhập – từ mục tiêu ban đầu đến thu thập dữ liệu – và trên toàn bộ cơ sở hạ tầng mạng. Nhóm này thường thuê hạ tầng thông tin hoạt động dưới nhiều danh tính giả và tài khoản email với uy tín thấp, đồng thời sử dụng hạ tầng thông tin từ các đại lý của các nhà cung cấp dịch vụ lưu trữ Cloud lớn.
Các cuộc tấn công của APT29 được phân loại thành các cuộc tấn công nhằm thu thập thông tin tình báo và thiết lập quyền truy cập liên tục để tạo điều kiện cho việc xâm phạm các mục tiêu có mục đích, cũng như các cuộc tấn công cho phép chúng lưu trữ hạ tầng thông tin độc hại hoặc thực hiện các hoạt động tấn công khai thác từ các tài khoản bị xâm phạm bằng cách lợi dụng các lỗ hổng đã biết công khai, thông tin xác thực yếu hoặc lỗi cấu hình.
Một số lỗ hổng bảo mật quan trọng được nêu bật bao gồm CVE-2022-27924, một lỗ hổng SQL Injection trong Zimbra Collaboration, và CVE-2023-42793, một lỗi bỏ qua xác thực nghiêm trọng cho phép thực thi mã từ xa trên TeamCity Server.
APT29 là một ví dụ điển hình về việc các kẻ tấn công liên tục đổi mới chiến thuật, kỹ thuật và quy trình nhằm cố gắng “ẩn mình” và vượt qua các biện pháp phòng thủ, thậm chí phá hủy cơ sở hạ tầng thông tin và xóa mọi bằng chứng nếu nghi ngờ hành vi xâm nhập đã bị phát hiện.
Biện pháp bảo mật cho các thiết bị BIG-IP
Các cơ quan khuyến nghị rằng để ngăn chặn hoạt động này, các tổ chức nên thiết lập ranh giới cho các thiết bị được ủy quyền và áp dụng biện pháp giám sát chặt chẽ hơn đối với các hệ thống truy cập vào tài nguyên mạng mà không tuân thủ ranh giới.
Ngoài ra, để phòng tránh, các đơn vị đang sử dụng thiết bị F5 BIG-IP nên tích cực kiểm tra và update các bản vá bảo mật. Ngoài ra, có thể sử dụng các dịch vụ liên quan đến SOC để giảm thiểu rủi ro cho hệ thống.
Nguồn tham khảo: The hacker news
