Lỗ hổng CVE-2024-38094 (Điểm CVSS: 7.2) là một lỗ hổng RCE ảnh hưởng đến Microsoft SharePoint, nền tảng web phổ biến được sử dụng làm hệ thống mạng nội bộ, quản lý tài liệu và công cụ hợp tác có khả năng tích hợp với Microsoft 365. Microsoft đã phát hành bản vá vào ngày 9/7/2024 trong đợt cập nhật Patch Tuesday tháng 7. Lỗ hổng này cũng đã được CISA thêm vào danh sách KEV vào tuần trước, nhưng chi tiết về cách khai thác chưa được tiết lộ.

Theo phân tích, đã phát hiện đối tượng tấn công đã lợi dụng lỗ hổng này để truy cập trái phép vào máy chủ SharePoint và cài đặt webshell, sử dụng mã khai thác PoC đã được công khai.

Sau khi truy cập được vào hệ thống, đối tượng tấn công tiến hành leo thang đặc quyền bằng cách chiếm quyền của một tài khoản dịch vụ Microsoft Exchange có quyền quản trị domain, từ đó gia tăng khả năng kiểm soát. Tiếp đến, đối tượng cài đặt phần mềm diệt virus Huorong nhằm tạo xung đột, vô hiệu hóa các giải pháp bảo mật hiện có và giúp họ cài đặt Impacket để di chuyển ngang qua hệ thống. Với quyền kiểm soát, đối tượng sử dụng Mimikatz để thu thập thông tin xác thực, FRP để truy cập từ xa và thiết lập các tác vụ định kỳ để duy trì kết nối.

Trong bối cảnh lỗ hổng đang bị khai thác trong thực tế như trên, các quản trị viên hệ thống được khuyến nghị cập nhật SharePoint sớm nhất có thể để đảm bảo an toàn cho hệ thống.

Điểm yếu, lỗ hổng

Trong tuần, các tổ chức quốc tế đã công bố và cập nhật ít nhất 958 lỗ hổng, trong đó có 306 lỗ hổng mức Cao, 430 lỗ hổng mức Trung bình, 13 lỗ hổng mức Thấp và 209 lỗ hổng chưa đánh giá. Trong đó có ít nhất 153 lỗ hổng cho phép chèn và thực thi mã lệnh.

Ngoài ra, tuần hệ thống kỹ thuật của NCSC cũng đã ghi nhận TOP 10 lỗ hổng đáng chú ý, là những lỗ hổng có mức độ nghiêm trọng cao hoặc đang bị khai thác trong môi trường thực tế bởi các nhóm tấn công.

Trong đó, đáng chú ý có 03 lỗ hổng ảnh hưởng các sản phẩm của FortiManager, Google Chrome và Labstack, cụ thể là như sau:

CVE-2024-47575 (Điểm CVSS: 9.8 – Nghiêm trọng): Lỗ hổng tồn tại trên FortiManager cho phép đối tượng thực thi mã từ xa. Hiện lỗ hổng đã có mã khai thác và đang bị khai thác trong thực tế bởi các nhóm tấn công.

CVE-2024-4947 (Điểm CVSS: 8.8 – Cao): Lỗ hổng tồn tại trên Google Chrome là lỗ Type Confusion trên V8 cho phép đối tượng tấn công thực thi mã từ xa trong môi trường sandbox. Hiện lỗ hổng đã có mã khai thác và đang bị khai thác trong thực tế bởi các nhóm tấn công.

CVE-2022-40083 (Điểm CVSS: 9.6 – Nghiêm trọng): Lỗ hổng tồn tại Labstack Echo là lỗi điều hướng mở cho phép đối tượng tấn công thực hiện SSRF lên hệ thống. Hiện lỗ hổng đã có mã khai thác và đang bị khai thác trong thực tế bởi các nhóm tấn công.

Danh sách TOP 10 lỗ hổng đáng chú ý trong tuần

Danh sách IoC sẽ được cập nhật liên tục tại https://alert.khonggianmang.vn/