9 lỗ hổng (CVE) RansomHub thường khai thác

03/03/2025
4 mins read
Nội dung
1. CVE-2023-3519 (Citrix ADC – NetScaler Remote Code Execution)
2. CVE-2023-27997 (FortiOS/FortiProxy Heap-Based Buffer Overflow)
3. CVE-2023-46604 (Apache ActiveMQ Remote Code Execution)
4. CVE-2023-22515 (Atlassian Confluence Privilege Escalation)
5. CVE-2023-46747 (F5 BIG-IP Authentication Bypass)
6. CVE-2023-48788 (Fortinet FortiClientEMS SQL Injection)
7. CVE-2017-0144 (Windows SMBv1 – EternalBlue)
8. CVE-2020-1472 (Netlogon – ZeroLogon) (Đã đề cập trước đó, bổ sung chi tiết)
9. CVE-2020-0787 (Windows BITS Elevation of Privilege)
Cách RansomHub tận dụng các CVE này

1. CVE-2023-3519 (Citrix ADC – NetScaler Remote Code Execution)

  • Mô tả: Lỗ hổng này tồn tại trong Citrix ADC (NetScaler), cho phép kẻ tấn công không xác thực gây tràn bộ đệm stack trong quá trình NSPPE (NetScaler Packet Processing Engine) bằng cách gửi một yêu cầu HTTP GET được chế tác đặc biệt. Khai thác thành công dẫn đến thực thi mã từ xa với quyền root.
  • Phần mềm bị ảnh hưởng: Citrix ADC và Gateway phiên bản trước 13.1-49.13, 13.0-91.13, 12.1-65.36, và các phiên bản cũ hơn.
  • Cách khai thác: Tin tặc gửi yêu cầu GET độc hại đến máy chủ NetScaler, gây tràn bộ đệm và cho phép thực thi mã tùy ý. Điều này có thể được sử dụng để cài đặt ransomware hoặc backdoor.
  • Mức độ nghiêm trọng: Rất cao (CVSS: 9.8).
  • Liên quan đến RansomHub: Đây là một vectơ phổ biến tấn công các tổ chức sử dụng NetScaler để quản lý mạng, đặc biệt trong lĩnh vực y tế và tài chính.

2. CVE-2023-27997 (FortiOS/FortiProxy Heap-Based Buffer Overflow)

  • Mô tả: Lỗ hổng tràn bộ đệm dựa trên heap trong FortiOS và FortiProxy SSL-VPN cho phép kẻ tấn công từ xa thực thi mã hoặc lệnh tùy ý thông qua các yêu cầu được chế tác đặc biệt.
  • Phần mềm bị ảnh hưởng: FortiOS 7.2.4 trở xuống, 7.0.11 trở xuống, 6.4.12 trở xuống, 6.0.16 trở xuống; FortiProxy 7.2.3 trở xuống, 7.0.9 trở xuống, 2.0.12 trở xuống, và các phiên bản 1.x.
  • Cách khai thác: Tin tặc gửi các gói dữ liệu độc hại qua SSL-VPN, gây tràn bộ đệm và cho phép thực thi mã. Điều này có thể dẫn đến việc triển khai ransomware hoặc đánh cắp dữ liệu.
  • Mức độ nghiêm trọng: Rất cao (CVSS: 9.8).
  • Liên quan đến RansomHub: Với sự phổ biến của Fortinet trong doanh nghiệp, lỗ hổng này là mục tiêu lý tưởng để xâm nhập ban đầu.

3. CVE-2023-46604 (Apache ActiveMQ Remote Code Execution)

  • Mô tả: Lỗ hổng trong Java OpenWire protocol marshaller của Apache ActiveMQ cho phép kẻ tấn công thực thi mã từ xa bằng cách thao túng các loại lớp được tuần tự hóa trong giao thức OpenWire, gây ra việc khởi tạo lớp tùy ý trên broker hoặc client.
  • Phần mềm bị ảnh hưởng: Apache ActiveMQ phiên bản trước 5.15.16, 5.16.7, 5.17.6, và 5.18.3.
  • Cách khai thác: Tin tặc gửi dữ liệu OpenWire độc hại đến broker hoặc client ActiveMQ, dẫn đến việc thực thi lệnh shell tùy ý. Điều này có thể được dùng để triển khai ransomware.
  • Mức độ nghiêm trọng: Cao (CVSS: 9.8).
  • Liên quan đến RansomHub: Các hệ thống sử dụng ActiveMQ trong quản lý tin nhắn là mục tiêu tiềm năng cho các cuộc tấn công của RansomHub.

4. CVE-2023-22515 (Atlassian Confluence Privilege Escalation)

  • Mô tả: Lỗ hổng trong Confluence Data Center và Server cho phép kẻ tấn công tạo tài khoản quản trị viên trái phép và truy cập vào các phiên bản Confluence công khai. Các trang Atlassian Cloud (dùng domain atlassian.net) không bị ảnh hưởng.
  • Phần mềm bị ảnh hưởng: Confluence Data Center và Server phiên bản 8.0.0 đến 8.5.1 (nếu công khai).
  • Cách khai thác: Tin tặc khai thác lỗ hổng qua giao diện công khai để tạo tài khoản admin, từ đó kiểm soát hệ thống và triển khai mã độc.
  • Mức độ nghiêm trọng: Cao (CVSS: 9.1).
  • Liên quan đến RansomHub: Đây là vectơ tấn công các tổ chức sử dụng Confluence để cộng tác nội bộ.

5. CVE-2023-46747 (F5 BIG-IP Authentication Bypass)

  • Mô tả: Lỗ hổng này cho phép bỏ qua xác thực trong tiện ích cấu hình của F5 BIG-IP, cho phép kẻ tấn công có truy cập mạng thực thi lệnh hệ thống tùy ý qua cổng quản lý hoặc địa chỉ IP tự quản.
  • Phần mềm bị ảnh hưởng: F5 BIG-IP phiên bản 17.1.0, 16.1.0-16.1.4, 15.1.0-15.1.10, 14.1.0-14.1.5, 13.1.0-13.1.5.
  • Cách khai thác: Tin tặc gửi yêu cầu không được tiết lộ đến hệ thống BIG-IP, bỏ qua xác thực và thực thi lệnh với quyền cao.
  • Mức độ nghiêm trọng: Rất cao (CVSS: 9.8).
  • Liên quan đến RansomHub: Đây là một vectơ quan trọng để tấn công các tổ chức lớn sử dụng BIG-IP.

6. CVE-2023-48788 (Fortinet FortiClientEMS SQL Injection)

  • Mô tả: Lỗ hổng SQL Injection trong FortiClientEMS cho phép kẻ tấn công thực thi mã hoặc lệnh trái phép thông qua các gói dữ liệu được chế tác đặc biệt.
  • Phần mềm bị ảnh hưởng: FortiClientEMS 7.2.0-7.2.2, 7.0.1-7.0.10.
  • Cách khai thác: Tin tặc gửi dữ liệu đầu vào độc hại vào hệ thống quản lý endpoint, thực thi lệnh SQL để xâm nhập hoặc triển khai mã độc.
  • Mức độ nghiêm trọng: Cao (CVSS: 9.1).
  • Liên quan đến RansomHub: Lỗ hổng này có thể được dùng để tấn công các tổ chức quản lý thiết bị bằng FortiClientEMS.

7. CVE-2017-0144 (Windows SMBv1 – EternalBlue)

  • Mô tả: Lỗ hổng trong SMBv1 của Microsoft Windows cho phép thực thi mã từ xa qua các gói dữ liệu được chế tác đặc biệt. Đây là lỗ hổng nổi tiếng được khai thác trong WannaCry và NotPetya.
  • Phần mềm bị ảnh hưởng: Windows Vista SP2, Server 2008 SP2/R2 SP1, Windows 7 SP1, 8.1, Server 2012 Gold/R2, Windows 10 (các phiên bản cũ), Server 2016.
  • Cách khai thác: Tin tặc sử dụng công cụ như EternalBlue để gửi gói SMB độc hại, chiếm quyền hệ thống và triển khai ransomware.
  • Mức độ nghiêm trọng: Rất cao (CVSS: 9.8).
  • Liên quan đến RansomHub: Dù cũ, lỗ hổng này vẫn được khai thác trong các hệ thống chưa vá lỗi.

8. CVE-2020-1472 (Netlogon – ZeroLogon) (Đã đề cập trước đó, bổ sung chi tiết)

  • Mô tả: Lỗ hổng nâng cấp đặc quyền trong giao thức Netlogon, cho phép kẻ tấn công chiếm quyền kiểm soát Domain Controller.
  • Cách khai thác: Tin tặc thiết lập kênh Netlogon dễ bị tấn công để đặt lại mật khẩu Domain Controller, mở rộng quyền truy cập trong mạng.
  • Liên quan đến RansomHub: Thường kết hợp với các vectơ xâm nhập khác để chiếm toàn bộ mạng.

9. CVE-2020-0787 (Windows BITS Elevation of Privilege)

  • Mô tả: Lỗ hổng nâng cấp đặc quyền trong Background Intelligent Transfer Service (BITS) của Windows, có thể kết hợp với ZeroLogon để tăng quyền truy cập.
  • Phần mềm bị ảnh hưởng: Windows 10, Server 2016, Server 2019 (trước khi vá).
  • Cách khai thác: Tin tặc khai thác BITS để chạy mã với quyền hệ thống, hỗ trợ việc triển khai ransomware.
  • Mức độ nghiêm trọng: Trung bình-cao (CVSS: 7.8).
  • Liên quan đến RansomHub: Dùng như bước phụ để củng cố quyền truy cập sau khi xâm nhập.

Cách RansomHub tận dụng các CVE này

RansomHub thường sử dụng các lỗ hổng trên trong các giai đoạn khác nhau của chuỗi tấn công:

  • Xâm nhập ban đầu: CVE-2023-3519, CVE-2023-27997, CVE-2023-46747, CVE-2017-0144.
  • Nâng cấp quyền truy cập: CVE-2020-1472, CVE-2020-0787.
  • Triển khai mã độc: CVE-2023-46604, CVE-2023-48788, CVE-2023-22515.

Tags