Cảnh báo cho biết, những kẻ tấn công đang quét các thiết bị trên các cổng 4443, 8443 và 10443 để tìm kiếm các lỗ hổng bảo mật đã công bố nhưng chưa được vá. Cụ thể, các nhóm APT đang khai thác các lỗ hổng CVE-2018-13379, CVE-2019-5591 và CVE-2020-12812.

Các nhóm APT đang quét các lỗ hổng này để chiếm quyền truy cập vào các mạng dịch vụ của chính phủ, thương mại và công nghệ. Tin tặc trước đó từng khai thác các lỗ hổng nghiêm trọng để tấn công DDoS, lây nhiễm ransomware, tấn công SQL injection, thực hiện các chiến dịch lừa đảo trực tuyến, thay đổi giao diện trang web và tung tin giả.

CVE-2018-13379 là lỗ hổng path traversal, trong đó cổng web SSL VPN cho phép tin tặc tải xuống các tệp hệ thống thông qua các truy vấn tài nguyên HTTP đặc biệt. Lỗ hổng CVE-2019-5591 là lỗ hổng cấu hình mặc định của thiết bị có thể bị kẻ tấn công trong cùng một mạng con chặn thông tin bằng cách mạo danh máy chủ LDAP. CVE-2020-12812 là lỗ hổng xác thực trong SSL VPN, có thể cho phép người dùng đăng nhập thành công mà không cần bước xác thực thứ hai nếu người dùng thay đổi username.

Chuyên gia Zach Hanley tại Horizon3.AI, cho biết: “Tin tặc đang nhắm vào các ứng dụng bên ngoài quan trọng và trong năm 2020, VPN thường xuyên là mục tiêu bị tấn công. Ba lỗ hổng nói trên cho phép kẻ tấn công có được thông tin xác thực hợp lệ, bỏ qua xác thực đa yếu tố (MFA) và tấn công man-in-the-middle (MITM) để chặn thông tin xác thực”.

Các nhà nghiên cứu nhấn mạnh các lỗ hổng này thường xuyên bị khai thác trong các cuộc tấn công mạng.

FBI và CISA không cung cấp thêm chi tiết về các nhóm APT đã tấn công gần đây. Sau khi khai thác thành công, tin tặc sẽ theo dõi các mục tiêu. Theo cảnh báo, các nhóm APT có thể đang sử dụng bất kỳ CVE nào hoặc tất cả các CVE trên để truy cập vào các mạng quan trọng, hỗ trợ việc định vị cho các cuộc tấn công xâm nhập dữ liệu hoặc mã hóa dữ liệu tiếp theo.

Cùng với đó, Satnam Narang, kỹ sư tại công ty Tenable, cho biết: “Trong vài năm qua, các lỗ hổng SSL VPN đã là mục tiêu hấp dẫn đối với các nhóm APT và tội phạm mạng. Việc thay đổi sang phương thức làm việc từ xa và nhu cầu ngày càng tăng đối với các SSL VPN đã mở rộng phạm vi tấn công và đối tượng tấn công cho các tin tặc. Các tổ chức cần cập nhật bản vá các thiết bị để tránh rủi ro mất an toàn thông tin”.