Quản trị mạng - Tin tặc đã khai thác nhiều lỗ hổng trong một phần mềm quảng cáo mã nguồn mở hiện được sử dụng phổ biến để cài mã độc vào các quảng cáo trên một số trang Web nổi tiếng trong tuần qua.
Những kẻ tấn công này đang nhằm vào hai lỗ hổng trong phần mềm quảng cáo OpenX để đăng nhập vào các máy chủ quảng cáo rồi cài mã độc vào những quảng cáo được đăng trên những trang này. Vào hôm thứ hai, công ty sản xuất chuyện trang King Features cho biết tuần qua họ đã bị đột nhập do các lỗ hổng trong OpenX. Sản phẩm Comics Kingdom của công ty này, thực hiện phát hành truyện trang và quảng cáo tới trên dưới 50 trang Web, đã bị tác động.
Sau khi được thông báo về sự cố này vào buổi sáng hôm thứ 5 tuần trước, King Features xác định rằng “thông qua một cuộc tấn công khai thác bảo mật trong ứng dụng của máy chủ quảng cáo, tin tặc đã cài mã độc vào cơ sở dữ liệu quảng cáo của chúng tôi.” King Features cho biết mã độc phát động một cuộc tấn công nhằm vào lỗ hổng mới chưa được vá trong Adobe để cài phần mềm độc vào máy tính của nạn nhân, tuy nhiên điều này vẫn chưa được xác nhận.
Trang Web tin tức Ain’t It Cool, sử dụng OpenX, cũng phải hứng chịu một cuộc tấn công tương tự vào tuần trước.
Tấn công nền tảng Web là một hình thức tấn công được tin tặc sử dụng nhiều nhất để cài phần mềm độc, và hình thức đột nhập mới nhất này cho thấy cách thức mạng máy chủ quảng cáo có thể trở thành trợ thủ tấn công đắc lực. Vào tháng 9, tin tặc đã cài phần mềm độc vào trang Web của Thời báo New York bằng cách giả dạng là những người mua quảng cáo hợp pháp.
Một quản trị viên giấu tên (không được phép cung cấp thông tin cho báo giới) của OpenX cho biết phương pháp tương tự này, đã phát huy tác dụng trên King Features và Ain’t It Cool, đã được sử dụng để đột nhập vào ít nhất hai trang Web trong tuần qua.
Quản trị viên này cho biết tin tặc đã sử dụng mã tấn công để giành quyền đăng nhập vào máy chủ OpenX, sau đó tải lên máy chủ này một hình ảnh được mã hóa độc chứa một tập lệnh PHP ẩn bên trong. Khi ảnh này được xem, những kẻ tấn công có thể chạy tập lệnh trên máy chủ. Khi đó, tập lệnh này sẽ cài một đoạn mã HTML vào mọi quảng cáo trên máy chủ này. Được biết đến với cái tên iFrame, đối tượng HTML vô hình này sẽ chuyển hướng truy cập của người dùng tới một trang Web ở Trung Quốc đã đăng tải mã tấn công Adobe.
Trong một email, OpenX khẳng định rằng “không hề có lỗ hổng lớn nào xuất hiện trong phiên bản mới nhất của phần mềm này, phiên bản 2.8.2, dưới dạng lưu trữ hay dạng tải.”
Tuy nhiên, ít nhất một người dùng OpenX tin rằng phiên bản hiện nay của OpenX có thể phần nào chịu tác động bởi hình thức tấn công này. Trong bài viết đăng trên diễn đàn của OpenX, một người dùng dùng cho biết họ bị tấn công khi đang vận hành phiên bản cũ của phần mềm này, tuy nhiên phiên bản 2.8.2 cũng xuất hiện lỗ hổng. Người dùng này viết “Nếu bạn đang sử dụng một phiên bản OpenX chưa được thay đổi, tin tặc có thể đăng nhập nặc danh vào trang quản trị và dành quyền kiểm soát cấp độ quản trị với toàn hệ thống.”
Xem thông tin chi tiết về tấn công OpenX tại đây.
Daniel Kennedy, đối tác của nhóm cố vấn bảo mật Praetorian Security Group, cho biết khi các nhà nghiên cứu của nhóm Praetorian Security Group nghiên cứu mã tấn công Adobe, thì kết quả cho thấy cuộc tấn công nhằm vào OpenX không khai thác lỗ hổng chưa được vá trong Adobe. Thay vào đó, cuộc tấn công này đã khai thác tới ba lỗ hổng Adobe khác nhau. “Hiện không có bất cứ dấu hiệu nào cho thấy Adobe sẽ vá lỗ hổng Zero-day vào tháng 1 tới”, Daniel nói.
Các chuyên gia bảo mật nói rằng lỗ hổng Adobe không được sử dụng nhiều trong các cuộc tấn công trực tuyến ngay cả khi nó đã được công bố. Tuy nhiên, vào hôm thứ hai, Symantec đã nhận được gần 100 báo cáo về cuộc tấn công này.
Điều này xảy ra có thể là do nhiều người dùng vẫn sử dụng các phiên bản Reader cũ dễ bị tác động bởi các hình thức tấn công khác. Adobe đã trở thành mục tiên của tin tặc khi một lỗ hổng tương tự đã được phát hiện vào tháng hai. Adobe đã vá lỗ hổng này trong tháng ba, tuy nhiên người dùng có thể tránh được cuộc tấn công này và vấn đề hiện nay của Adobe bằng cách hủy JavaScript trong phần mềm Reader.
Gary Warner, trưởng nhóm nghiên cứu khoa học máy tính của trường đại học Alabama tại Birmingham, khuyến cáo “Mọi người cần thay đổi hành vi trên Adobe Reader, tốt nhất không nên chạy JaveScript.”
Những kẻ tấn công này đang nhằm vào hai lỗ hổng trong phần mềm quảng cáo OpenX để đăng nhập vào các máy chủ quảng cáo rồi cài mã độc vào những quảng cáo được đăng trên những trang này. Vào hôm thứ hai, công ty sản xuất chuyện trang King Features cho biết tuần qua họ đã bị đột nhập do các lỗ hổng trong OpenX. Sản phẩm Comics Kingdom của công ty này, thực hiện phát hành truyện trang và quảng cáo tới trên dưới 50 trang Web, đã bị tác động.
Sau khi được thông báo về sự cố này vào buổi sáng hôm thứ 5 tuần trước, King Features xác định rằng “thông qua một cuộc tấn công khai thác bảo mật trong ứng dụng của máy chủ quảng cáo, tin tặc đã cài mã độc vào cơ sở dữ liệu quảng cáo của chúng tôi.” King Features cho biết mã độc phát động một cuộc tấn công nhằm vào lỗ hổng mới chưa được vá trong Adobe để cài phần mềm độc vào máy tính của nạn nhân, tuy nhiên điều này vẫn chưa được xác nhận.
Trang Web tin tức Ain’t It Cool, sử dụng OpenX, cũng phải hứng chịu một cuộc tấn công tương tự vào tuần trước.
Tấn công nền tảng Web là một hình thức tấn công được tin tặc sử dụng nhiều nhất để cài phần mềm độc, và hình thức đột nhập mới nhất này cho thấy cách thức mạng máy chủ quảng cáo có thể trở thành trợ thủ tấn công đắc lực. Vào tháng 9, tin tặc đã cài phần mềm độc vào trang Web của Thời báo New York bằng cách giả dạng là những người mua quảng cáo hợp pháp.
Một quản trị viên giấu tên (không được phép cung cấp thông tin cho báo giới) của OpenX cho biết phương pháp tương tự này, đã phát huy tác dụng trên King Features và Ain’t It Cool, đã được sử dụng để đột nhập vào ít nhất hai trang Web trong tuần qua.
Quản trị viên này cho biết tin tặc đã sử dụng mã tấn công để giành quyền đăng nhập vào máy chủ OpenX, sau đó tải lên máy chủ này một hình ảnh được mã hóa độc chứa một tập lệnh PHP ẩn bên trong. Khi ảnh này được xem, những kẻ tấn công có thể chạy tập lệnh trên máy chủ. Khi đó, tập lệnh này sẽ cài một đoạn mã HTML vào mọi quảng cáo trên máy chủ này. Được biết đến với cái tên iFrame, đối tượng HTML vô hình này sẽ chuyển hướng truy cập của người dùng tới một trang Web ở Trung Quốc đã đăng tải mã tấn công Adobe.
Trong một email, OpenX khẳng định rằng “không hề có lỗ hổng lớn nào xuất hiện trong phiên bản mới nhất của phần mềm này, phiên bản 2.8.2, dưới dạng lưu trữ hay dạng tải.”
Tuy nhiên, ít nhất một người dùng OpenX tin rằng phiên bản hiện nay của OpenX có thể phần nào chịu tác động bởi hình thức tấn công này. Trong bài viết đăng trên diễn đàn của OpenX, một người dùng dùng cho biết họ bị tấn công khi đang vận hành phiên bản cũ của phần mềm này, tuy nhiên phiên bản 2.8.2 cũng xuất hiện lỗ hổng. Người dùng này viết “Nếu bạn đang sử dụng một phiên bản OpenX chưa được thay đổi, tin tặc có thể đăng nhập nặc danh vào trang quản trị và dành quyền kiểm soát cấp độ quản trị với toàn hệ thống.”
Xem thông tin chi tiết về tấn công OpenX tại đây.
Daniel Kennedy, đối tác của nhóm cố vấn bảo mật Praetorian Security Group, cho biết khi các nhà nghiên cứu của nhóm Praetorian Security Group nghiên cứu mã tấn công Adobe, thì kết quả cho thấy cuộc tấn công nhằm vào OpenX không khai thác lỗ hổng chưa được vá trong Adobe. Thay vào đó, cuộc tấn công này đã khai thác tới ba lỗ hổng Adobe khác nhau. “Hiện không có bất cứ dấu hiệu nào cho thấy Adobe sẽ vá lỗ hổng Zero-day vào tháng 1 tới”, Daniel nói.
Các chuyên gia bảo mật nói rằng lỗ hổng Adobe không được sử dụng nhiều trong các cuộc tấn công trực tuyến ngay cả khi nó đã được công bố. Tuy nhiên, vào hôm thứ hai, Symantec đã nhận được gần 100 báo cáo về cuộc tấn công này.
Điều này xảy ra có thể là do nhiều người dùng vẫn sử dụng các phiên bản Reader cũ dễ bị tác động bởi các hình thức tấn công khác. Adobe đã trở thành mục tiên của tin tặc khi một lỗ hổng tương tự đã được phát hiện vào tháng hai. Adobe đã vá lỗ hổng này trong tháng ba, tuy nhiên người dùng có thể tránh được cuộc tấn công này và vấn đề hiện nay của Adobe bằng cách hủy JavaScript trong phần mềm Reader.
Gary Warner, trưởng nhóm nghiên cứu khoa học máy tính của trường đại học Alabama tại Birmingham, khuyến cáo “Mọi người cần thay đổi hành vi trên Adobe Reader, tốt nhất không nên chạy JaveScript.”