Những lỗ hổng nghiêm trọng xuất hiện năm 2014 làm gợn sóng trong giới công nghệ

Như các bạn đã biếtm khoảng thời gian vừa qua liên tục các lỗ đổng nghiêm trọng được công bố. Các chuyên gia bảo mật đã phải làm việc cực lực để nghiên cứu đưa ra giải pháp và thực hiện fix điểm yếu bảo mật ảnh hưởng toàn hệ thống của thế giới. Năm nay có thể một năm lỗ hổng tập trung vào giao thức mã hóa đặc biệt ảnh hưởng trược tiếp đó là giao thức SSL . Một giao thức đang được toàn thế giới áp dụng để mã hóa cho hệ thống của mình.

Thứ nhất: Phải kế đến lỗ hổng: Openssl-hearbeed , xảy ra vào tháng 4/2014, một lỗ hổng đã rung trong làng bảo mật, vì ảnh hưởng trực tiếp chẳng các hệ thống portal bên ngoài mà còn ảnh hưởng đến các hệ thống ebanking của các Ngân hàng trên thế giới và Việt Nam không nằm ngoài phạp vi trên.

Chi tiết xem : http://bảomật.vn

Thứ hai: Tiếp đó tháng 6/2014 cũng lỗ hổng liên quan giao thức SSL được công bố “Openssl xuất hiện lỗ hổng mới DOS, MITM. Các Banking trên thế giới cũng đã kịp thời khắc phục và không để ảnh hưởng đến uy tín cũng như tổn thất về tài chính.

Chi tiết xem: http://bảomật.vn

 Thứ ba: Tháng 9/2014, lỗ hổng liên quan đến Bash shell, Lỗ hổng bảo mật mới được phát hiện có tên gọi “Shell Shock CVE-2014-6271; CVE-2014-7169”, cho phép hacker khai thác lỗ hổng bảo mật thông qua chương trình “Bash” trên hệ điều hành Unix, được sử dụng bởi hàng triệu máy chủ, máy tính, smartphone và các thiết bị kết nối Internet khác như máy ảnh thông minh... để chiếm quyền điều khiển và đánh cắp dữ liệu.

Chương trình Bash trên Unix cho phép người dùng có thể thực hiện các câu lệnh, từ đó thông qua chương trình shell sẽ biên dịch câu lệnh này để thực hiện nhiệm vụ do người dùng yêu cầu.

Theo các chuyên gia bảo mật nhận định, lỗ hổng bảo mật “Shell Shock” thậm chí còn nguy hiểm hơn lỗ hổng bảo mật Heartbleed.

Một số link kiểm tra và fix:

http://www.trendmicro.com/us/security/shellshock-bash-bug-exploit/

https://www.digitalocean.com/community/tutorials/how-to-protect-your-server-against-the-shellshock-bash-vulnerability

http://www.tenable.com/blog/tenable-issues-shellshock-detection-plugins-updated           

Cách fix:

Chuẩn nhất là chạy update từ hang: https://access.redhat.com/solutions/1207723

o Nếu OS nào chưa có bản update từ hãng thì lên tài source về compile manual http://ftp.gnu.org/gnu/bash/

o Áp dụng một số rule application firewall, IPS để chặn các tấn công: Ví dụ: chặn tất cả Request có chứa chuỗi ‘() {’ hoặc ‘*() \{*;*\}*’ Tùy theo đặc điểm riêng biệt website của các bác mà tùy chỉnh, giảm thiểu phát hiện nhầm

o Một cách chung khác, cần áp dụng ngay khi triển khai dịch vụ, để chống/giảm thiểu ảnh hưởng khi bị tấn công đó là Hardening server, Web server:

• Không mở internet outbout ra ngoài cho các server

• Bỏ hết các service, app không cần thiết
• Cập nhật OS mới nhất, liên tục.
• Giảm quyền tối đa account chạy Apache, CGI. Lỡ có bị tấn công thì cũng giảm nhiều khả năng bị hại

Thứ tư: Tháng 10/2014 xuất hiện lỗ hổng ssl v.3 với CVE-2014-3566

 

Tham khảo White paper cho POOPLE:

https://www.openssl.org/~bodo/ssl-poodle.pd

https://community.qualys.com/blogs/securitylabs/2014/10/15/ssl-3-is-dead-killed-by-the-poodle-attack
 

Cách Fix:

Nginx:

* Create a configuration for ssl /etc/nginx/conf.d/strong-ssl.conf with the following content (disable SSLv3 and use strong ciphers):

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

ssl_prefer_server_ciphers on;

ssl_ciphers "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+aRSA+RC4 EECDH EDH+aRSA RC4 !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS";

Apache:

* Disable SSLv3 by modify this file /etc/apache2/mods_available/ssl.conf:

SSLProtocol all -SSLv3 -SSLv2

* Restart apache:

IIS:
 http://blogs.technet.com/b/samdrey/archive/2014/10/17/vulnerability-in-ssl-3-0-poodle-attack-and-exchange-2010-or-exchange-2013.aspx

Kết lại: Nòng cốt của bảo mật đó chính là mã hóa, việc các giao thức mã mã hóa đang sử dụng từ trước đến nay, đang dần thể hiện điểm yếu, thể hiện rất rõ bằng việc liên tục điểm yếu được khai thác trong giao thức SSL gần đây. Phải chăng các giao thức mã hóa đang được quan tâm chút trọng nhiều hơn, hay hiện nay có những chuyên gia giỏi như Dương Thái (Thai Duong and Krzysztof Kotowicz). Tương đương với các điểm yếu về mã hóa thì việc tung hoành của của Hacker ngày càng tinh vi gây hậu quả khôn lường, các thẻ tín dụng bị rút vô điền kiện, các thông tin cá nhân bị đánh cắp, hoặc gần đây ở Việt Nam tập đoàn VCCORP bị đánh sập hệ thống, gây ảnh hưởng ước tính 50 tỷ đồng trong vòng gần 2 tuần bị tấn công…. Qua đây là hồi chuông cảnh báo đối các tổ chức doanh nghiệp, đặc biệt cơ quan tài chính, hãy chú trọng, đầu tư