top of page
Tìm kiếm

Làn sóng tấn công mạng nhắm vào hơn 73.000 tường lửa Fortinet

Một chiến dịch tấn công không tặc cấp độ toàn cầu mang tên "FortiBleed" vừa bị phơi bày, gióng lên hồi chuông cảnh báo nghiêm trọng về an toàn thông tin. Bằng cách khai thác kho dữ liệu tài khoản bị rò rỉ từ trước, kẻ tấn công đã xâm nhập thành công vào hàng chục nghìn thiết bị FortiGate và cổng SSL VPN trên toàn thế giới.

Chiến dịch FortiBleed đã diễn ra với quy mô như thế nào?

Chiến dịch nguy hiểm này được phát hiện bởi nhà nghiên cứu bảo mật Volodymyr “Bob” Diachenko cùng công ty an ninh mạng Hudson Rock. Theo các phân tích, đây là một chiến dịch có mức độ tự động hóa rất cao, được vận hành bài bản bởi một nhóm tội phạm mạng tinh vi (nhiều khả năng sử dụng tiếng Nga).

Hệ thống dò quét của chúng đã rà soát diện rộng trên Internet và phát hiện các lỗ hổng từ các hệ thống Fortinet công khai. Thống kê cho thấy có hơn 320.000 thiết bị FortiGate lọt vào tầm ngắm với khoảng 1,16 tỷ lượt thử đăng nhập bằng thông tin xác thực bị lộ. Chưa dừng lại ở đó, nhóm này còn thực hiện khoảng 2,1 tỷ lượt tấn công dò mật khẩu vào hơn 160.000 máy chủ MSSQL, chiếm quyền kiểm soát thành công 21.632 tên miền khác nhau. Kết quả cuối cùng là 73.932 URL tường lửa Fortinet tại 194 quốc gia đã bị xâm nhập âm thầm.

Làn sóng tấn công mạng nhắm vào hơn 73.000 tường lửa Fortinet
Làn sóng tấn công mạng nhắm vào hơn 73.000 tường lửa Fortinet

Kẻ tấn công đã dùng thủ đoạn gì để kiểm soát hệ thống?

Sự đáng sợ của FortiBleed nằm ở chiến thuật tận dụng tối đa dữ liệu từ các đợt phát tán mã độc đánh cắp thông tin (infostealer) trước đó. Thay vì tốn thời gian bẻ khóa từ đầu, tin tặc đối chiếu danh sách thiết bị Fortinet quét được với kho tài khoản đã bị đánh cắp. Chỉ cần một tài khoản hợp lệ để làm bàn đạp, chúng lập tức tấn công sâu hơn vào môi trường quản lý nội bộ (Active Directory) của doanh nghiệp.

Đặc biệt, nhóm tội phạm còn đánh cắp các chuỗi mã hóa xác thực (hash) từ các phiên đăng nhập cổng kết nối từ xa SSL VPN. Các chuỗi mã hóa này được chuyển về một hệ thống hạ tầng gồm 45 chip đồ họa chuyên dụng (GPU), chạy trên nền tảng Hashtopolis để giải mã ngoại tuyến. Quy trình này giúp tin tặc tìm thêm tài khoản mới mà không cần tương tác trực tiếp, tránh bị hệ thống giám sát của nạn nhân phát hiện.

Những tổ chức và quốc gia nào đang là nạn nhân chịu ảnh hưởng?

Chiến dịch FortiBleed không giới hạn ở một khu vực hay ngành nghề nào mà càn quét trên phạm vi toàn cầu, đánh thẳng vào nhiều lĩnh vực cốt lõi. Nghiên cứu chỉ ra rằng các hệ thống tại Nhật Bản, Đài Loan, Việt Nam, Iraq và Thổ Nhĩ Kỳ đều ghi nhận các vụ xâm nhập.

Quy mô cơ sở dữ liệu bị tin tặc chiếm đoạt cho thấy tầm ảnh hưởng khủng khiếp của chiến dịch. Danh sách nạn nhân xuất hiện thông tin đăng nhập thuộc về các tập đoàn công nghệ và dịch vụ hàng đầu thế giới như Foxconn, Samsung, Siemens, Lenovo, Oracle, PwC, Accenture, Comcast, đi kèm với đó là hàng nghìn cơ quan thuộc chính phủ, tổ chức công và các đơn vị vận hành hạ tầng trọng yếu.

Doanh nghiệp cần làm gì để ngăn chặn nguy cơ từ FortiBleed?

Để ứng phó khẩn cấp với mối đe dọa từ FortiBleed, các chuyên gia an ninh mạng khuyến nghị các đơn vị đang vận hành thiết bị Fortinet thực hiện ngay các bước sau:

  • Thay đổi toàn bộ thông tin xác thực: Đặt lại ngay mật khẩu của các tài khoản quản trị và tài khoản VPN trên thiết bị Fortinet.

  • Kích hoạt xác thực đa yếu tố (MFA): Áp dụng bắt buộc MFA cho toàn bộ các cổng truy cập từ xa để chặn đứng việc lạm dụng tài khoản bị lộ.

  • Rà soát nhật ký vận hành: Kiểm tra kỹ nhật ký (log) của Fortinet để tìm dấu hiệu đáng ngờ như đăng nhập từ vị trí lạ, các phiên quản trị không rõ nguồn gốc hoặc lưu lượng tăng đột biến.

  • Thắt chặt quyền truy cập giao diện quản trị: Cấu hình các chính sách local-in để giới hạn quyền truy cập giao diện quản lý chỉ từ các địa chỉ IP tin cậy, đồng thời tắt tính năng FortiCloud SSO nếu không sử dụng.

Doanh nghiệp cần làm gì để ngăn chặn nguy cơ từ FortiBleed?
Doanh nghiệp cần làm gì để ngăn chặn nguy cơ từ FortiBleed?

Giải pháp xây dựng “lá chắn số” cho các doanh nghiệp

Để hỗ trợ doanh nghiệp toàn diện, các giải pháp an toàn thông tin của IPSIP Vietnam mang đến các công cụ rà soát lỗ hổng, kiểm soát truy cập và bảo vệ danh tính nghiêm ngặt. Bằng cách triển khai các dịch vụ giám sát an ninh mạng chuyên sâu từ IPSIP Vietnam, doanh nghiệp có thể kịp thời phát hiện các hành vi đăng nhập bất thường, chặn đứng chuỗi tấn công của tin tặc ngay từ lớp phòng thủ đầu tiên và bảo vệ an toàn cho toàn bộ hệ thống dữ liệu nội bộ.

Giải pháp an ninh mạng IPSIP Việt Nam
Giải pháp an ninh mạng IPSIP Việt Nam

Hệ thống quản trị và giám sát của IPSIP Việt Nam đã xuất sắc vượt qua các kiểm định khắt khe nhất để đạt chứng nhận tiêu chuẩn an toàn thông tin quốc tế ISO 27001:2022 và SOC 2 Type II. Bằng việc cung cấp các dịch vụ cốt lõi hoạt động 24/7 như Trung tâm Giám sát An ninh mạng (SOC 24/7), Trung tâm Điều hành Mạng lưới (NOC 24/7) và đội ngũ IT Support/Helpdesk trực chiến, IPSIP cam kết trực tiếp phản ứng, đánh chặn mọi nỗ lực xâm nhập bất kể ngày đêm. Sự đồng hành của những bộ óc kỹ thuật hàng đầu sẽ giúp doanh nghiệp tháo gỡ hoàn toàn rủi ro pháp lý và giải phóng nguồn lực cho các mục tiêu tăng trưởng. 

Nguồn tham khảo:

Bình luận

conact-ipsip-vietnam
zalo
đặt lịch hẹn
linkedin ipsip vietnam
LOGO IPSIP vietnam 1

CÔNG TY TNHH MTV IPSIP VIỆT NAM (IPSIP VIETNAM OMLLC)

​MST: 0313859600

🏢 Số SH05.01 Đường B4, Khu Saritown, Phường An Khánh, Thành phố Hồ Chí Minh, Việt Nam

​☎  +84 91 885 30 68

  • Linkedin
  • Facebook
  • TikTok
  • Email liên h��ệ

Đăng ký nhận tài liệu, tin tức an ninh mạng chuyên sâu từ IPSIP Việt Nam

bottom of page