Góc học tập
18/03/2023 09:27:50 AM

CVE là gì là gì? Tìm hiểu về lỗ hổng Zero-day

Nguồn: vietnix.vn

CVE là gì?

cve là gì

CVE (Common Vulnerabilities and Exposures) là danh sách các lỗi bảo mật máy tính công khai. Khi nói đến CVE, tức là ta đang nói về một lỗ hổng bảo mật đã được gán một số CVE ID.

Các thông báo bảo mật của những nhà cung cấp dịch vụ thường đi kèm theo ít nhất là một CVE ID. CVE có thể giúp các chuyên gia IT phân loại các lỗ hổng để ưu tiên xử lý, nhằm nhanh chóng bảo vệ hệ thống.

CVE được xác định như thế nào?

Vậy cách để xác định CVE là gì? Các CVE ID được chỉ định cho các lỗ hổng theo một số tiêu chí cụ thể. Các lỗi này phải được giải quyết độc lập với các bug khác, và được thừa nhận bởi nhà cung cấp dịch vụ là có tác động tiêu cực đến bảo mật và chỉ ảnh hưởng đến một codebase duy nhất. Những lỗ hổng có tác động đến nhiều sản phẩm khác nhau sẽ có CVE riêng biệt.

cve được xác định như thế nào

Tìm hiểu về CVE Identifier

Mỗi CVE đều được gán một con số, gọi là CVE Identifier (Mã định danh CVE). Các CVE identifier được chỉ định bởi 1 trong khoảng hơn 100 CNA (CVE Numbering Authority). Trong đó, CNA bao gồm các nhà cung cấp IT, các tổ chức nghiên cứu như trường đại học, công ty bảo mật hay là chính MITRE.

Một CVE Identifier có dạng CVE-[Year]-[Number]. Trong đó, Year đại diện cho năm mà lỗ hổng bảo mật này được báo cáo. Còn Number là một số được chỉ định bởi CNA.

Lợi ích của CVE

Vậy ưu điểm của CVE là gì? Trước hết, việc chia sẻ thông tin CVE giúp các tổ chức có thể thiết lập baseline để đánh giá mức độ phù hợp của những công cụ bảo mật mà họ có. CVE Number sẽ cho phép tổ chức những thành phần có trong công cụ và đánh giá mức độ phù hợp cho doanh nghiệp.

Bên cạnh đó, CVE ID cho một lỗ hổng cụ thể còn giúp tổ chức có thể nhanh chóng nhận thông tin chính xác về lỗ hổng đó từ nhiều nguồn thông tin khác nhau. Từ đó điều chỉnh kế hoạch để có thể ưu tiên giải quyết lỗ hổng, bảo vệ tổ chức của mình.

Zero-day là gì?

zero-day là gì

Sau khi biết được CVE là gì, hãy cũng tìm hiểu về loại lỗ hổng zero-day, cũng như zero day attack là gì. Zero-day là một thuật ngữ chỉ lỗ hổng bảo mật ở trong phần mềm, phần cứng hay firmware mà các bên chịu trách nhiệm vá hoặc sửa lỗi không thể xác định được. Đối với lỗ hổng này, các hacker có thể tấn công ngay vào hệ thống, và khoảng thời gian từ lúc phát hiện ra lỗ hổng cho đến lúc tấn công là 0 ngày (0-day). Từ đó ta có thuật ngữ “zero-day”. Sau khi lỗ hổng này được công khai, nó sẽ được gọi là lỗ hổng one-day hoặc n-day.

Vì sao lỗ hổng Zero-day nguy hiểm?

Trong ngày đầu tiên phát hiện lỗ hổng hay bug trong một phần mềm online hoặc offline, công ty hoặc developer chưa thể giải quyết ngay được. Vì vậy, zero day exploit đảm bảo xác suất tấn công thành công rất cao. Do đó loại hình exploit này cực kỳ nguy hiểm cho bất kỳ cá nhân hay tổ chức nào.

Nhiều chuyên gia cho rằng, những nhóm tội phạm mạng hay những nhóm hacker chuyên nghiệp có lưu trữ tập hợp các lỗ hổng zero day để chuẩn bị tấn công vào những mục tiêu có giá trị cao. Danh sách này thường gồm lỗ hổng của các website chính phủ nước ngoài, tổ chức tài chính.

Lấy ví dụ, Mozilla Firefox từng gặp phải hai lỗi zero-day không xác định vào tháng 6 năm 2019 – “Type confusion in Array.pop” và “Sandbox escape using Prompt:Open”. Không may là đã có một nhóm hacker phát hiện ra và sử dụng chúng để tấn công vào nhiều sàn giao dịch tiền điện tử khác nhau.

Bảo vệ chống tấn công lỗ hổng Zero-day

bảo vệ chống tấn công zero-day

Zero-day exploit có thể gây rủi ro bảo mật vô cùng nghiêm trọng, dẫn đến việc bị rò rỉ những dữ liệu nhạy cảm, quan trọng. Tuy nhiên, hiện nay vẫn chưa có biện pháp bảo vệ toàn diện để chống lại các cuộc tấn công zero-day. Nhưng vẫn có một số biện pháp bảo mật chủ động để giúp hệ thống nhanh chóng phát hiện và bảo vệ khỏi zero-day exploit.

  • Triển khai các giải pháp bảo mật toàn diện – Một bộ bảo mật hiện đại, có khả năng bảo vệ toàn diện chính là một biện pháp bảo vệ hàng đầu chống lại các mối đe dọa trong zero-day. Các giải pháp bảo mật này thường kìm kiếm các hoạt động hay mối đe dọa đáng ngờ bằng các thuật toán machine learning và bảo vệ hệ thống tối đa.
  • Cập nhật ứng dụng và hệ điều hành – Các cuộc tấn công zero-day đều nhắm vào những lỗ hổng không xác định. Do đó, ta cần giữ cho các ứng dụng cũng như hệ thống của mình luôn được cập nhật và có được các bản vá mới nhất. Điều này sẽ giúp chúng ta được an toàn trong những cuộc tấn công vào lỗ hổng n-days.
  • Triển khai hệ thống IDS và IPS – Intrution Detection System (IDS – Hệ thống phát hiện xâm nhập) và Intrusion Prevention System (IPS – Hệ thống bảo vệ xâm nhập) hoạt động cùng với nhau có thể cải thiện đáng kể khả năng bảo mật của hệ thống. Mặc dù không hẳn là luôn có thể tìm ra các mối đe dọa, nhưng IDS và IPS sẽ cảnh báo về các hoạt động đáng ngờ của hacker.
  • Quét lỗ hổng bảo mật thường xuyên – Hãy thực hiện quét các lỗ hổng định kỳ để tìm ra những lỗ hổng bảo mật. Tiếp đến, hãy nhanh chóng đưa ra các bản vá hoặc cách ly các bug này để tránh bị tấn công.
  • Triển khai NAC – Network Access Control (NAC – Bộ công cụ kiểm soát truy cập mạng) là phương pháp triển khai các chính sách hay hạn chế bảo mật, áp dụng trên toàn mạng. Ta cần phải cô lập các hệ thống quan trọng khỏi những hệ thống còn lại, nhằm ngăn chặn tấn công vào những thông tin quan trọng.

Các cuộc tấn công Zero-day phổ biến

Sau khi thiết lập xong các biện pháp phòng chống zero-day, ta cũng cần nhận thức được cách các hacker có thể khai thác zero day là gì. Hiện nay, có nhiều loại hình tấn công khác nhau liên quan đến Zero-day, trong đó có thể kể đến như:

  • Spear phishing: Các hacker chọn mục tiêu là những cá nhân cụ thể có thẩm quyền, và lừa những mục tiêu này để tạo ra các email độc hại. Các hacker có thể nghiên cứu mục tiêu và thu thập thông tin thông qua các chiến thuật social engineering.
  • Phishing: Những kẻ tấn công sẽ gửi email spam đến nhiều người trong một tổ chức bất kỳ nhằm lừa họ click vào những link độc hại.
  • Exploit kid: Các hacker có thể chiếm quyền sử dụng một trang web để nhúng các code độc hại hoặc quảng cáo để chuyển hướng khách truy cập đến exploit kit server.
  • Brute force: Những kẻ tấn công có thể sử dụng phương thức brute force để xâm nhập vào các server, hệ thống hay mạng và tấn công exploit.

Ví dụ về các cuộc tấn công Zero-day

Cuối cùng, hãy cùng xem qua một số cuộc tấn công Zero-day tiêu biểu nhất tính đến thời điểm này. Cuộc tấn công gần đây là lỗ hổng zero-day của Microsoft Exchange. Vào ngày 2/3/2021, công ty đã cảnh bảo người dùng về 4 lỗ hổng zero day đang bị khai thác chống lại các cơ quan chính phủ Hoa Kỳ. Microsoft cũng kêu gọi khách hàng nhanh chóng sử dụng các bản vá để bảo vệ dữ liệu của mình.

Bên cạnh đó, chúng ta cũng có thể kể đến một số cuộc tấn công Zero-day lớn trong lịch sử như:

  • Stuxnet: Đây là một worm độc hại, nhắm vào các máy tính được sử dụng cho mục đích sản xuất. Iran, Ấn Độ và Indonesia là một số các khu vực chịu ảnh hưởng của đợt tấn công này. Mục đích chính của Stuxnet là làm gián đoạn chương trình hạt nhân của Iran bằng cách lây nhiễm đến các nhà máy uranium. Loại worm này đã lây nhiễm các lỗ hổng zero-day trong những bộ PLC chạy trong các máy tính thông nghiệp, thông qua lỗ hổng bảo mật trong phần mềm Siemens.
  • RSA: Cuộc tấn công này lợi dụng một lỗ hổng chưa được vá ở trong Adobe Flash Player, và các hacker đã giành được quyền truy cập vào mạng của RSA. Hacker đã sử dụng phương pháp spam và phishing, gửi các email với file đính kèm là một bảng tính Microsoft Excel đến một số nhân viên trong RSA để khai thác lỗ hổng zero-day ở trong Adobe Flash Player.
  • Aurora: Chiến dịch Aurora nhắm vào các lỗ hổng zero-day ở trong Internet Explorer và Perforce. Vào thời gian đó, Google từng sử dụng Perforce để quản lý source code của mình. Chiến dịch này cũng tấn công vào các tài sản trí tuệ của nhiều doanh nghiệp lớn như Adobe, Yahoo! và Dow Chemicals.

Như vậy là bạn đã hiểu rõ CVE và lỗ hổng zero day là gì, hy vọng bài viết này cung cấp cho bạn nhiều thông tin bổ ích, chúc bạn thành công!