Vá lỗ hổng bảo mật, cuộc đua đầy căng thẳng giữa admin và hacker

Bạn nghĩ các admin hệ thống có bao nhiêu thời gian để vá lỗ hổng bảo mật sau khi chúng được công bố? Câu trả lời sẽ khiến bạn bất ngờ bởi khoảng thời gian mà các admin có được rất hạn chế.

Một nghiên cứu vừa được công bố cho thấy hacker thường bắt đầu quét các endpoint dễ bị tấn công trong vòng 15 phút sau khi một lỗ hổng CVE mới được công bố.

Theo Báo cáo Ứng phó Sự cố Unit 42 2022 của Palo Alto, hacker liên tục theo dõi bảng thông tin lõ hổng bảo mật của các hãng phần mềm để tìm thông báo về các lỗ hổng mới. Nhờ vậy, chúng có thể tận dụng để truy cập vào mạng lưới của công ty hoặc thực thi code từ xa.

Tuy nhiên, tốc độ bắt đầu quét của hacker khiến admin rơi vào tình thế khó khăn bởi họ phải chạy đua để vá lỗ hổng trước khi chúng bị khai thác.

"Báo cáo mới nhất cho thấy hacker thường bắt đầu quét các lỗ hổng trong vòng 15 phút sau khi CVE được công bố", các chuyên gia cho biết.

Một điểm cần lưu ý khác là quá trình quét khá đơn giản nên ngay cả những hacker kỹ năng thấp cũng có thể quét internet để tìm ra những endpoint dễ bị tấn công. Sau khi quét được, chúng sẽ bán thông tin trên thị trường dark web để các hacker trình cao hơn thực hiện khai thác.

Sau đó, thường thì trong vòng vài giờ, những nỗ lực khai thác đầu tiên được quan sát thấy, thường là trên những hệ thống chưa bao giờ có cơ hội được vá lỗ hổng.

Unit 42 lấy lỗ hổng CVE-2022-1388 làm ví dụ. Đây là một lỗ hổng thực thi code từ xa không cần xác thực nghiêm trọng ảnh hưởng tới các sản phẩm F5 BIG-IP.

Lỗ hổng được tiết lộ vào ngày 04/5/2022 và theo Unit 42, sau 10 giờ công bố họ đã ghi nhận được 2.552 lần quét và khai thác.

Vá lỗ hổng bảo mật là cuộc đua gay cấn giữa hacker và admin hệ thống. Cứ mỗi năm trôi qua, tốc độ quét và khai thác của hacker cũng như tốc độ vá lỗi lại càng nhanh hơn.

Các lỗ hổng bị khai thác nhiều nhất trong năm 2022

Dựa trên dữ liệu thu thập được bởi Palo Alto, lỗ hổng bị khai thác nhiều nhất cho tới thời điểm này của năm 2022 là chuỗi khai thác "ProxyShell", chiếm 55% tổng số vụ khai thác được ghi nhận. ProxyShell là cuộc tấn công được tiến hành bằng cách xâu chuỗi ba lỗ hổng CVE-2021-34473, CVE-2021-34523 và CVE-2021-31207 lại với nhau.

Lỗ hổng Log4Shell ở vị trí thứ 2 với  14%, các CVE SonicWall chiếm 7%, ProxyLogon chiếm 5% trong khi RCE trong Zoho ManageEngine AdSelfService Plus bị khai thác 3%.

Về phương thức tấn công, Unit 42 cho biết 37% các cuộc tấn công sử dụng phương pháp lừa đảo để đạt được quyền truy cập ban đầu, 31% tấn công qua lỗ hổng phần mềm, brute-force thông tin đăng nhập 9% và các kỹ thuật tấn công khác...