Điều gì xảy ra khi chính những 'vệ sĩ' bảo mật lại trở thành điểm yếu chết người? CrowdStrike và Tenable - hai tên tuổi lớn trong ngành an ninh mạng - vừa thừa nhận sự tồn tại của những lỗ hổng nghiêm trọng trong sản phẩm của mình. CrowdStrike đã vá một lỗ hổng mức độ nguy hiểm (critical) trong nền tảng LogScale, trong khi Tenable khắc phục lỗi nghiêm trọng cao (high-severity) tại công cụ quét lỗ hổng Nessus. Chúng tôi cho rằng đây là lời cảnh tỉnh mạnh mẽ về việc ngay cả các giải pháp bảo mật hàng đầu cũng không tránh khỏi những điểm mù nguy hiểm.

Khi 'lá chắn' bị thủng lỗ chỗ

CrowdStrike LogScale - nền tảng phân tích dữ liệu log được hàng ngàn doanh nghiệp tin dùng - đã phát hiện một lỗ hổng được xếp vào mức 'critical' trên thang điểm CVSS (Common Vulnerability Scoring System - hệ thống chấm điểm lỗ hổng quốc tế). Mức độ critical có nghĩa lỗi này có thể bị khai thác từ xa mà không cần quyền truy cập trước, gây ra thiệt hại toàn bộ hệ thống. Đặc biệt nguy hiểm khi LogScale thường được triển khai để giám sát toàn bộ hạ tầng IT của tổ chức.

Bên cạnh đó, Tenable Nessus - một trong những công cụ quét lỗ hổng phổ biến nhất thế giới với hơn 3 triệu lượt tải xuống - cũng gặp phải lỗi nghiêm trọng mức cao. Tenable chưa công bố chi tiết kỹ thuật, nhưng theo kinh nghiệm của chúng tôi, những lỗi ở mức high-severity trong công cụ quét thường liên quan đến khả năng leo thang đặc quyền (privilege escalation) hoặc thực thi mã từ xa (remote code execution). Điều đáng lo ngại là Nessus thường chạy với quyền cao để quét được toàn bộ hệ thống.

Phẫu thuật 'gene' lỗi trong ADN bảo mật

Lỗ hổng trong CrowdStrike LogScale có khả năng nằm ở lớp xử lý dữ liệu đầu vào (input validation), một điểm yếu kinh điển mà tin tặc thường nhắm tới. LogScale xử lý khối lượng log khổng lồ từ nhiều nguồn khác nhau, và việc không kiểm tra kỹ dữ liệu đầu vào có thể tạo ra cửa ngõ cho các cuộc tấn công injection. Chúng tôi đánh giá đây là lỗi thiết kế từ giai đoạn phát triển chứ không phải lỗi phát sinh sau này.

Đối với Tenable Nessus, dù chưa có thông tin chi tiết, nhưng dựa trên lịch sử các lỗi trước đây của công cụ này, khả năng cao lỗi nằm ở module xử lý plugin hoặc giao tiếp mạng. Nessus sử dụng hàng ngàn plugin để quét các loại lỗ hổng khác nhau, và việc quản lý sandbox (môi trường cách ly) cho những plugin này là một thách thức kỹ thuật lớn. Một plugin được crafted (chế tạo) khéo léo có thể 'thoát khỏi lồng' và chiếm quyền điều khiển máy chủ Nessus.

Sóng địa chấn lan rộng khắp hệ sinh thái

Tác động từ hai lỗ hổng này không thể xem nhẹ. CrowdStrike phục vụ hơn 24.000 khách hàng doanh nghiệp trên toàn cầu, bao gồm 71% các công ty Fortune 100. Tại Việt Nam, nhiều ngân hàng và tập đoàn lớn cũng đang sử dụng các giải pháp của CrowdStrike. Một cuộc tấn công thành công vào LogScale có thể khiến tin tặc giành được 'ghế VIP' để theo dõi mọi hoạt động của tổ chức mà không bị phát hiện.

Tenable Nessus còn đáng lo hơn với hơn 40.000 tổ chức sử dụng trên toàn thế giới. Nhiều công ty bảo mật và đơn vị tư vấn tại Việt Nam đang dùng Nessus như công cụ chính để đánh giá an ninh cho khách hàng. Nếu công cụ 'thầy thuốc' bị nhiễm bệnh, hậu quả sẽ lan truyền ra hàng trăm hệ thống khách hàng khác. Chúng tôi ước tính có thể có hàng nghìn doanh nghiệp Việt Nam gián tiếp bị ảnh hưởng.

Lộ trình tự cứu trong 'giờ vàng'

Các tổ chức đang sử dụng CrowdStrike LogScale cần ngay lập tức truy cập CrowdStrike Customer Portal để tải về bản cập nhật mới nhất. Ưu tiên cập nhật các instance LogScale có kết nối internet trước, sau đó mới tới các hệ thống nội bộ. Trong quá trình cập nhật, nên tạm thời hạn chế quyền truy cập từ bên ngoài vào LogScale thông qua firewall hoặc network ACL. Đặc biệt quan trọng là phải kiểm tra log audit để phát hiện các dấu hiệu bất thường trong thời gian qua.

Đối với người dùng Tenable Nessus, hãy truy cập Tenable Support Portal để tải bản vá. Trước khi cập nhật, nên backup toàn bộ cấu hình và database scan results. Sau khi vá xong, khuyến nghị chạy một lần scan đối với chính máy chủ Nessus để đảm bảo không có dấu vết tấn công. Các đơn vị tư vấn bảo mật cần thông báo khẩn cấp cho khách hàng về tình trạng này và tạm dừng các hoạt động scan từ xa cho tới khi hoàn tất cập nhật. Chúng tôi khuyến cáo mọi tổ chức nên hoàn thành việc vá lỗi trong vòng 24-48 giờ tới để tránh rủi ro bị khai thác.