Cisco, Fortinet và Snowden xác nhận tài liệu rò rỉ thuộc NSA hack

Các công ty an ninh mạng Cisco, Fortinet và cựu nhân viên NSA Edward Snowden đã xác nhận tính chân thực của tài liệu rò rỉ thuộc Cơ quan an ninh quốc gia Hoa Kỳ NSA. Những tài liệu này được nhóm hacker “The Shadow Brokers” công bố đấu giá vào tuần trước.

Khi nói về tính chân thực của vụ việc, tờ báo The Intercept đã đăng tải một tập tài liệu mới từ Edward Snowden, xác thực dữ liệu rò rỉ bởi TSB chứa chữ kí số của NSA và các công cụ bí mật đã được sử dụng lây nhiễm mã độc trên toàn thế giới. Đặc biệt tài liệu tiết lộ việc NSA đã theo hệ thống dõi khách hàng của các công ty công nghệ lớn như Cisco, Forinet và Juniper ít nhất hơn một thập kỉ.

Các công cụ hacking bị rò rỉ có tên  ExtraBacon, EpicBanana, và JetPlow chứa các khai thác có thể xâm nhập sản phẩm tường lửa của Cisco bao gồm các thiết bị dòng Adaptive Security Appliance (ASA), PIX firewall, và Cisco Firewall Services Modules (FWSM).

Sau quá trình điều tra sơ bộ, Cisco đã xác nhận tính chân thực của các khai thác đó và cho biết, công cụ của NSA chứa khai thác lợi dụng 2 lỗ hổng bảo mật trong sản phẩm Cisco ASA, vốn được sử dụng trong việc bảo vệ mạng của các doanh nghiệp, tổ chức chính phủ và các trung tâm dữ liệu.

Khai thác ExtraBacon Zero-Day Cisco

Lỗ hổng zero-day (CVE-2016-6366) ExtraBacon nằm trong mã nguồn Simple Network Management Protocol (SNMP) trong phần mềm Cisco ASA cho phép tin tặc không ủy quyền, tin tặc từ xa khởi động lại hệ thống bị ảnh hưởng. Điều này dẫn tới lỗ hổng thực thi mã từ xa (RCE), cho phép tin tặc chiếm quyền kiểm soát thiết bị.

Bên cạnh ExtraBacon, các chuyên gia Cisco cũng tìm ra một đoạn mã độc cố khai thác một bug cũ hơn của Cisco (CVE-2016-6367) được vá vào năm 2011. Lỗ hổng nằm trong cả hai khai thác EPICBANANA và JETPLOW,

Ngoài ra, dữ liệu rò rỉ chứa các tệp tin giải mã mạng lưu lượng mạng riêng ảo (VPN) Cisco PIX và cấy mã độc vào firmware bo mạch chủ nhằm tránh bị phát hiện và xóa bỏ. Cisco đã cung cấp các thông tin nền tảng giải quyết các lỗ hổng và lên kế hoạch phát hành các bản cập nhật càng sớm càng tốt.

FORTINET cho biết khai thác trong NSA hack  là có thực

Một nhà cung cấp thiết bị tường lửa khác là Fortinet cũng cảnh báo một lỗ hổng có mức độ nguy hiểm cao nằm trong khai thác EGREGIOUSBLUNDER rò rỉ bởi TBS, ảnh hưởng tới các phiên bản tường lửa cũ FortiGate. Lỗ hổng nằm trong bộ đệm phân tích cookie cho phép tin tặc chiếm quyền kiểm soát thiết bị bằng cách gửi gói tin HTTP. Fortinet khuyến cáo khách hàng và doanh nghiệp nâng cấp lên phiên bản FortiGuard 5.x.

‘The Shadow Brokers’ là ai ?

Hiện tại chưa rõ làm thế nào dữ liệu của NSA bị rò rỉ và ai đứng đằng sau vụ việc nhưng chắc chắn các khai thác đó thuộc NSA và cơ quan này sử dụng chúng để tấn công khách hàng trên toàn thế giới.

Danh tính The Shadow Brokers hiện vẫn là một ẩn số. Tính đến thời điểm hiện tại  rất nhiều giả thiết được đặt ra. Đó có thể là hacker Nga, đó cũng có thể là nhân viên nội bộ NSA, cũng có thể do hacker NSA rò rỉ công cụ sau khi thực hiện hành vi tấn công của mình.

THN