I./ Tổng quan
Qua hoạt động theo dõi giám sát diễn biến an toàn thông tin trên không gian mạng, Team CMC Telecom Threat Intelligence đã ghi nhận chiến dịch tấn công nhắm vào các nhà cung cấp dịch vụ viễn thông toàn cầu. Nhóm APT được quan sát có tên RedMike (hay còn gọi là Salt Typhoon) được hỗ trợ bởi chiến dịch gián điệp mạng của Trung Quốc. Nhóm APT nhắm mục tiêu vào các thiết bị Cisco dễ bị tổn thương bởi như CVE-2023-20198, CVE-2023-20273, … để chiếm quyền truy cập và leo thang đặc quyền.
II./ Phân tích chung
Theo các nhà nghiên cứu bảo mật tại RecordFuture, nhóm APT đã cố gắng khai thác hơn 1000 thiết bị mạng Cisco trên toàn cầu, chủ yếu là các thiết bị liên kết với các nhà cung cấp dịch vụ viễn thông. Hai lỗ hổng nổi bật đó là CVE-2023-20198 và CVE-2023-20273. Khi thỏa hiệp thành công, nhóm sử dụng tài khoản đặc quyền như admin để thay đổi cấu hình và thêm GRE (Generic Routing Encapsulation) tunnel để truy cập mạng nội bộ và tiếp tục duy trì kết nối & truy xuất dữ liệu.
- CVE-2023-20198: Lỗ hổng leo thang đặc quyền được tìm thấy trong phần mềm Cisco IOS XE phiên bản <= 16, kẻ tấn công khai thác lỗ hổng này để giành quyền truy cập vào thiết bị.
- CVE-2023-20273: Lỗ hổng trong tính năng UI của Web của phần mềm Cisco ISO XE có thể cho phép kẻ tấn công đã xác thực chèn các lệnh hệ thống với đặc quyền root. Lỗi không xác thực đầu vào, từ đó kẻ tấn công có thể tạo một tài khoản root mới.
Hơn một nửa các thiết bị của Cisco được RedMike nhắm đến là ở Mỹ, Nam Mỹ và Ấn Độ. Các thiết bị còn lại kéo dài hơn 100 quốc gia khác. Mặc dù các thiết bị được lựa chọn chủ yếu liên quan đến các nhà cung cấp viễn thông, mười ba người được liên kết với các trường đại học trên khắp Argentina, Bangladesh, Indonesia, Malaysia, Mexico, Hà Lan, Thái Lan, Mỹ và Việt Nam.
RedMike có thể nhắm mục tiêu các trường đại học sau đây để tiếp cận các nghiên cứu trong các lĩnh vực liên quan đến viễn thông, kỹ thuật và công nghệ, một số như sau:
- University of California, Los Angeles (UCLA) — US
- California State University, Office of the Chancellor (CENIC) — US
- Loyola Marymount University — US
- Utah Tech University — US
- Universidad de La Punta — Argentina
- Islamic University of Technology (IUT) — Bangladesh
- Universitas Sebelas Maret — Indonesia
- Universitas Negeri Malang — Indonesia
- University of Malaya — Malaysia
- Universidad Nacional Autonoma — Mexico
- Technische Universiteit Delft — The Netherlands
- Sripatum University — Thailand
- University of Medicine and Pharmacy at Ho Chi Minh City — Vietnam
Chiến dịch tấn công của nhóm APT đang tiếp tục mở rộng mục tiêu trên toàn cầu.
III./ Giảm thiểu rủi ro
Ưu tiên việc cập nhật các phiên bản vá lỗi cho các thiết bị mạng tiếp xúc với Internet.
Tránh việc phơi bày các giao diện quản trị hoặc các dịch vụ không thiết yếu trực tiếp lên Internet.
