Tưởng tượng bạn khóa cửa nhà cẩn thận nhưng kẻ trộm vẫn có thể vào ra thoải mái bằng chìa khóa lậu. Đó chính là điều đã xảy ra với một cơ quan liên bang Mỹ khi tường lửa Cisco - thiết bị bảo mật hàng đầu - bị nhiễm backdoor mang tên Firestarter. Vụ việc này một lần nữa chứng minh rằng không có hệ thống nào là bất khả xâm phạm, kể cả những "pháo đài" được bảo vệ nghiêm ngặt nhất.

Khi kẻ thù đã nằm vùng trong "thành trì"

Firestarter không phải một malware (phần mềm độc hại) thông thường mà là một backdoor tinh vi được thiết kế để cung cấp quyền truy cập và điều khiển từ xa các thiết bị bị nhiễm. Điều đáng lo ngại nhất là khả năng duy trì sự tồn tại sau khi các lỗ hổng được vá - một đặc tính được gọi là post-patching persistence (tồn tại hậu vá lỗi). Có nghĩa là ngay cả khi quản trị viên đã cập nhật bản vá bảo mật, kẻ tấn công vẫn có thể duy trì quyền truy cập vào hệ thống.

Tường lửa Cisco bị tấn công thuộc về một cơ quan liên bang Mỹ chưa được tiết lộ danh tính, nhưng chúng tôi có thể đoán rằng đây không phải là vụ tấn công đơn thuần. Việc nhắm mục tiêu vào các cơ quan chính phủ thường mang tính chất gián điệp mạng hoặc thu thập thông tin tình báo. Firestarter có thể đã cho phép kẻ tấn công giám sát lưu lượng mạng, đánh cắp dữ liệu nhạy cảm hoặc tạo điều kiện cho các cuộc tấn công sâu hơn vào hạ tầng mạng nội bộ.

Tại sao "lá chắn thép" lại bị thủng?

Cisco là một trong những nhà sản xuất thiết bị mạng uy tín nhất thế giới, với các sản phẩm tường lửa được sử dụng rộng rãi từ doanh nghiệp nhỏ đến các tổ chức chính phủ. Tuy nhiên, Firestarter đã chứng minh rằng ngay cả những sản phẩm hàng đầu cũng có thể trở thành mục tiêu. Backdoor này có khả năng được cài đặt thông qua việc khai thác các lỗ hổng zero-day (lỗ hổng chưa được phát hiện và vá) hoặc thông qua các cuộc tấn công targeted (nhắm mục tiêu cụ thể).

Chúng tôi đánh giá việc Firestarter duy trì được sự tồn tại sau khi vá lỗi cho thấy mức độ tinh vi cao của nhóm tấn công. Điều này có thể thực hiện thông qua việc sửa đổi firmware (phần mềm cứng) của thiết bị, tạo ra các process (tiến trình) ẩn hoặc sử dụng các kỹ thuật rootkit để trốn tránh phát hiện. Khả năng này biến Firestarter thành một công cụ tấn công dai dẳng và cực kỳ nguy hiểm.

Chuỗi tác động lan rộng ra sao?

Khi một tường lửa bị xâm phạm, toàn bộ hệ thống mạng nằm sau nó đều có thể bị ảnh hưởng. Chúng tôi ước tính rằng kẻ tấn công có thể đã truy cập vào hàng terabyte dữ liệu nhạy cảm, bao gồm thông tin liên lạc nội bộ, tài liệu mật và có thể cả thông tin cá nhân của nhân viên. Tại Việt Nam, theo số liệu từ Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC), hơn 60% các tổ chức lớn đang sử dụng thiết bị Cisco cho hạ tầng mạng.

Vụ việc này đặt ra câu hỏi nghiêm túc về khả năng phòng thủ của các tổ chức Việt Nam. Nếu một cơ quan liên bang Mỹ với ngân sách an ninh mạng khổng lồ vẫn có thể bị xâm nhập, các doanh nghiệp và cơ quan nhà nước Việt Nam với nguồn lực hạn chế hơn sẽ đối mặt với rủi ro như thế nào?

Lá chắn bảo vệ khẩn cấp cho tổ chức Việt Nam

Đầu tiên, các tổ chức cần ngay lập tức kiểm tra log (nhật ký) hệ thống của tất cả thiết bị Cisco, đặc biệt chú ý đến các kết nối bất thường hoặc traffic (lưu lượng) ra ngoài không được ủy quyền. Thực hiện scan (quét) vulnerability (lỗ hổng bảo mật) toàn diện và áp dụng tất cả các bản patch (vá lỗi) mới nhất từ Cisco. Tuy nhiên, do Firestarter có khả năng tồn tại sau vá lỗi, việc chỉ cập nhật patch là chưa đủ.

Chúng tôi khuyến nghị triển khai network segmentation (phân đoạn mạng) để hạn chế tác động nếu tường lửa bị xâm phạm, kết hợp với monitoring (giám sát) liên tục bằng các công cụ SIEM (Security Information and Event Management - Quản lý thông tin và sự kiện bảo mật). Quan trọng nhất, các tổ chức nên xây dựng incident response plan (kế hoạch ứng phó sự cố) chi tiết và thường xuyên drill (diễn tập) để sẵn sàng đối phó khi sự cố xảy ra. Trong thời đại mà ngay cả "lá chắn thép" cũng có thể bị thủng, việc chuẩn bị cho tình huống xấu nhất là điều bắt buộc.