<?xml version="1.0" encoding="UTF-8"?><rss version="2.0"
	xmlns:content="http://purl.org/rss/1.0/modules/content/"
	xmlns:wfw="http://wellformedweb.org/CommentAPI/"
	xmlns:dc="http://purl.org/dc/elements/1.1/"
	xmlns:atom="http://www.w3.org/2005/Atom"
	xmlns:sy="http://purl.org/rss/1.0/modules/syndication/"
	xmlns:slash="http://purl.org/rss/1.0/modules/slash/"
	>

<channel>
	<title>Tin tức &#8211; Thegioifirewall</title>
	<atom:link href="https://thegioifirewall.com/category/tin-tuc/feed/" rel="self" type="application/rss+xml" />
	<link>https://thegioifirewall.com</link>
	<description>Tường lửa bảo vệ doanh nghiệp, trung tâm thông tin và giá cả</description>
	<lastBuildDate>Fri, 03 Jan 2025 07:51:53 +0000</lastBuildDate>
	<language>vi</language>
	<sy:updatePeriod>
	hourly	</sy:updatePeriod>
	<sy:updateFrequency>
	1	</sy:updateFrequency>
	<generator>https://wordpress.org/?v=7.0</generator>

<image>
	<url>https://thegioifirewall.com/wp-content/uploads/vacif_icon-150x150.png</url>
	<title>Tin tức &#8211; Thegioifirewall</title>
	<link>https://thegioifirewall.com</link>
	<width>32</width>
	<height>32</height>
</image> 
	<item>
		<title>CVE-2024-11391: LỖ HỔNG TẢI TỆP TÙY Ý ĐE DỌA TOÀN BỘ HỆ THỐNG WORDPRESS VỚI PLUGIN ADVANCED FILE MANAGER</title>
		<link>https://thegioifirewall.com/cve-2024-11391-lo-hong-tai-tep-tuy-y-de-doa-toan-bo-he-thong-wordpress-voi-plugin-advanced-file-manager/</link>
					<comments>https://thegioifirewall.com/cve-2024-11391-lo-hong-tai-tep-tuy-y-de-doa-toan-bo-he-thong-wordpress-voi-plugin-advanced-file-manager/#respond</comments>
		
		<dc:creator><![CDATA[Leon]]></dc:creator>
		<pubDate>Fri, 03 Jan 2025 07:49:58 +0000</pubDate>
				<category><![CDATA[Tin tức]]></category>
		<category><![CDATA[CVSS]]></category>
		<category><![CDATA[EPSS]]></category>
		<category><![CDATA[WordPress]]></category>
		<guid isPermaLink="false">https://thegioifirewall.com/?p=21228</guid>

					<description><![CDATA[CVE-2024-11391 Lưu ý: Điểm rủi ro được tính dựa trên sự kết hợp giữa điểm CVSS và EPSS. Đây là thông tin tham khảo và không phải tiêu chuẩn được công nhận toàn cầu. Mô tả lỗ hổng Plugin Advanced File Manager dành cho nền tảng WordPress tồn tại một lỗ hổng nghiêm trọng liên [&#8230;]]]></description>
										<content:encoded><![CDATA[
<div class="wp-block-columns is-layout-flex wp-container-core-columns-is-layout-8f761849 wp-block-columns-is-layout-flex">
<div class="wp-block-column is-layout-flow wp-block-column-is-layout-flow" style="flex-basis:66.66%">
<p class="wp-block-paragraph"><strong>CVE-2024-11391</strong></p>



<ul class="wp-block-list">
<li><strong>Điểm CVSS</strong>: 7.5 (HIGH)</li>



<li><strong>Điểm EPSS</strong>: 0.04% </li>



<li><strong>Điểm rủi ro</strong>: 5.25 (HIGH)</li>
</ul>
</div>



<div class="wp-block-column is-layout-flow wp-block-column-is-layout-flow" style="flex-basis:33.33%">
<figure class="wp-block-image size-full"><img fetchpriority="high" decoding="async" width="282" height="208" src="https://thegioifirewall.com/wp-content/uploads/2025/01/cve-2024-11391-lo-hong-tai-tep-tuy-y-de-doa-toan-bo-he-thong-wordpress-voi-plugin-advanced-file-manager.png" alt="" class="wp-image-21230"/></figure>
</div>
</div>



<p class="wp-block-paragraph">Lưu ý: Điểm rủi ro được tính dựa trên sự kết hợp giữa điểm CVSS và EPSS. Đây là thông tin tham khảo và không phải tiêu chuẩn được công nhận toàn cầu.</p>



<hr class="wp-block-separator has-alpha-channel-opacity"/>



<p class="wp-block-paragraph"><strong>Mô tả lỗ hổng</strong></p>



<p class="wp-block-paragraph">Plugin <strong>Advanced File Manager</strong> dành cho nền tảng WordPress tồn tại một lỗ hổng nghiêm trọng liên quan đến việc tải tệp tùy ý (<strong>arbitrary file upload</strong>). Lỗ hổng này phát sinh do plugin không thực hiện kiểm tra và xác thực chính xác loại tệp được tải lên thông qua tệp class_fma_connector.php. Vấn đề này ảnh hưởng đến tất cả các phiên bản của plugin trước và bao gồm phiên bản <strong>5.2.10</strong>.</p>



<p class="wp-block-paragraph">Lỗ hổng này cho phép những kẻ tấn công đã xác thực, sở hữu quyền truy cập ở cấp <strong>Subscriber</strong> (Người đăng ký) trở lên và được cấp quyền tải tệp bởi <strong>Administrator</strong> (Quản trị viên), có thể tải các tệp độc hại lên máy chủ WordPress bị ảnh hưởng. Khi khai thác thành công, kẻ tấn công có khả năng thực thi mã từ xa (<strong>Remote Code Execution &#8211; RCE</strong>), dẫn đến nguy cơ chiếm quyền kiểm soát hoàn toàn hệ thống.</p>



<p class="wp-block-paragraph"><strong>Liên kết NVD</strong>: <a href="https://nvd.nist.gov/vuln/detail/CVE-2024-11391">https://nvd.nist.gov/vuln/detail/CVE-2024-11391</a></p>



<hr class="wp-block-separator has-alpha-channel-opacity"/>



<p class="wp-block-paragraph"><strong>Mitre ATT&amp;CK Framework v15.1</strong></p>



<ul class="wp-block-list">
<li><strong>T1583.004 – Máy chủ</strong>: Chuẩn bị cơ sở hạ tầng cho các hoạt động độc hại.</li>



<li><strong>T1584.004 – Máy chủ</strong>: Tạo và duy trì cơ sở hạ tầng độc hại.</li>



<li><strong>T1053.002 – Tại</strong>: Lạm dụng các tác vụ theo lịch trình để tự động hóa hoạt động độc hại.</li>
</ul>



<hr class="wp-block-separator has-alpha-channel-opacity"/>



<p class="wp-block-paragraph"><strong>Phân tích chi tiết và biện pháp khắc phục</strong></p>



<p class="wp-block-paragraph"><strong>1. Phân tích tấn công kỹ thuật</strong></p>



<p class="wp-block-paragraph"><strong>Mô tả chi tiết lỗ hổng</strong><br>Lỗ hổng này được định danh là <strong>CVE-2024-11391</strong>, tồn tại trong chức năng tải tệp của plugin <strong>Advanced File Manager</strong> dành cho WordPress. Do thiếu các biện pháp xác thực loại tệp tải lên, kẻ tấn công đã xác thực với quyền <strong>Subscriber</strong> (hoặc cao hơn) có thể tải lên các tệp độc hại. Việc khai thác lỗ hổng này yêu cầu kẻ tấn công phải được quản trị viên cấp quyền tải tệp.</p>



<p class="wp-block-paragraph"><strong>Phương pháp tấn công</strong></p>



<ul class="wp-block-list">
<li><strong>T1583.004 – Máy chủ</strong>: Kẻ tấn công sử dụng lỗ hổng để tải lên các tệp độc hại, chẳng hạn như web shell. Sau đó, các tệp này được sử dụng để thực thi các lệnh trên máy chủ hoặc sửa đổi nội dung trang web.</li>



<li><strong>T1584.004 – Máy chủ</strong>: Sau khi lỗ hổng bị khai thác, kẻ tấn công có thể tạo hoặc sửa đổi cơ sở hạ tầng độc hại trên máy chủ, đảm bảo duy trì quyền truy cập trái phép lâu dài.</li>



<li><strong>T1053.002 – Tại</strong>: Tệp độc hại được tải lên có thể bao gồm các đoạn mã tận dụng cron jobs hoặc các tác vụ theo lịch trình để tự động hóa các hành vi độc hại, chẳng hạn như đánh cắp thông tin hoặc khởi chạy các cuộc tấn công tiếp theo.</li>
</ul>



<p class="wp-block-paragraph"><strong>Tác động tiềm ẩn</strong></p>



<ul class="wp-block-list">
<li><strong>Thực thi mã từ xa (RCE)</strong>: Cho phép kẻ tấn công kiểm soát toàn bộ máy chủ thông qua việc thực thi các đoạn mã nguy hiểm.</li>



<li><strong>Vi phạm dữ liệu</strong>: Kẻ tấn công có thể truy cập và đánh cắp các thông tin nhạy cảm được lưu trữ trên máy chủ, gây ra rò rỉ thông tin.</li>



<li><strong>Mất dịch vụ</strong>: Trang web có thể bị gián đoạn hoặc mất khả năng hoạt động do các thao tác phá hoại từ kẻ tấn công.</li>



<li><strong>Thiệt hại danh tiếng</strong>: Việc bị khai thác lỗ hổng không chỉ ảnh hưởng đến hoạt động của trang web mà còn khiến người dùng mất niềm tin vào doanh nghiệp vận hành trang web.</li>
</ul>



<hr class="wp-block-separator has-alpha-channel-opacity"/>



<p class="wp-block-paragraph"><strong>2. Biện pháp giảm thiểu rủi ro</strong></p>



<p class="wp-block-paragraph"><strong>Tăng cường bảo mật hệ thống</strong></p>



<ul class="wp-block-list">
<li><strong>Kích hoạt xác thực đa yếu tố (MFA)</strong> cho tất cả tài khoản người dùng, đặc biệt là tài khoản quản trị.</li>



<li><strong>Hạn chế quyền người dùng</strong>: Chỉ cho phép những người dùng đáng tin cậy quyền tải tệp lên. Người dùng cấp <strong>Subscriber</strong> nên bị giới hạn các quyền không cần thiết.</li>
</ul>



<p class="wp-block-paragraph"><strong>Sử dụng công cụ và phần mềm bảo mật</strong></p>



<ul class="wp-block-list">
<li><strong>Cài đặt tường lửa ứng dụng web (WAF)</strong>: Tường lửa này giúp giám sát và lọc các lưu lượng HTTP để chặn các yêu cầu độc hại.</li>



<li><strong>Plugin bảo mật WordPress</strong>: Triển khai các plugin như Wordfence hoặc iThemes Security để phát hiện và ngăn chặn các tệp độc hại được tải lên.</li>



<li><strong>Phần mềm diệt virus trên máy chủ</strong>: Quét và xóa các tệp độc hại ngay khi chúng được tải lên.</li>
</ul>



<p class="wp-block-paragraph"><strong>Giám sát và báo cáo</strong></p>



<ul class="wp-block-list">
<li><strong>Ghi nhật ký đầy đủ</strong>: Thiết lập hệ thống logging trên WordPress và máy chủ để ghi lại các hành động tải tệp cũng như các hoạt động của người dùng.</li>



<li><strong>Cảnh báo tự động</strong>: Cài đặt hệ thống cảnh báo để nhận thông báo khi có hành vi tải tệp bất thường, ví dụ như tải nhiều tệp trong thời gian ngắn hoặc truy cập từ địa chỉ IP không xác định.</li>



<li><strong>Đánh giá bảo mật thường xuyên</strong>: Kiểm tra định kỳ toàn bộ hệ thống, bao gồm các plugin, để đảm bảo rằng không có lỗ hổng nào chưa được vá.</li>
</ul>



<hr class="wp-block-separator has-alpha-channel-opacity"/>



<p class="wp-block-paragraph"><strong>Liên kết tham khảo</strong></p>



<ol class="wp-block-list">
<li><a href="https://plugins.trac.wordpress.org/changeset/3199242/">https://plugins.trac.wordpress.org/changeset/3199242/</a></li>



<li><a href="https://www.wordfence.com/threat-intel/vulnerabilities/id/f14a658c-1517-4af4-8bd7-c379ac07ab35?source=cve">https://www.wordfence.com/threat-intel/vulnerabilities/id/f14a658c-1517-4af4-8bd7-c379ac07ab35?source=cve</a></li>
</ol>
]]></content:encoded>
					
					<wfw:commentRss>https://thegioifirewall.com/cve-2024-11391-lo-hong-tai-tep-tuy-y-de-doa-toan-bo-he-thong-wordpress-voi-plugin-advanced-file-manager/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>CVE-2024-45387: LỖ HỎNG SQL VÀ GIẢI PHÁP PHÒNG THỦ CHIẾN LƯỢC</title>
		<link>https://thegioifirewall.com/cve-2024-45387-lo-hong-sql-va-giai-phap-phong-thu-chien-luoc/</link>
					<comments>https://thegioifirewall.com/cve-2024-45387-lo-hong-sql-va-giai-phap-phong-thu-chien-luoc/#respond</comments>
		
		<dc:creator><![CDATA[Leon]]></dc:creator>
		<pubDate>Thu, 02 Jan 2025 07:23:49 +0000</pubDate>
				<category><![CDATA[Tin tức]]></category>
		<category><![CDATA[Apache Traffic Control]]></category>
		<category><![CDATA[SQL]]></category>
		<category><![CDATA[Traffic Ops]]></category>
		<guid isPermaLink="false">https://thegioifirewall.com/?p=21223</guid>

					<description><![CDATA[Ngày 24 tháng 12 năm 2024 Liên kết NVD:https://nvd.nist.gov/vuln/detail/CVE-2024-45387 Mô tả Lỗ hổng tiêm SQL trong Traffic Ops ở Apache Traffic Control ( phiên bản &#60;= 8.0.1 và &#62;= 8.0.0) cho phép người dùng có đặc quyền với vai trò “admin”, “federation”, “operations”, “portal” hoặc “steering” thực thi SQL tùy ý trên cơ sở dữ [&#8230;]]]></description>
										<content:encoded><![CDATA[
<div class="wp-block-columns is-layout-flex wp-container-core-columns-is-layout-8f761849 wp-block-columns-is-layout-flex">
<div class="wp-block-column is-layout-flow wp-block-column-is-layout-flow" style="flex-basis:66.66%">
<p class="wp-block-paragraph"><strong>Ngày 24 tháng 12 năm 2024</strong> </p>



<ul class="wp-block-list">
<li><strong>Điểm CVSS</strong>: 9,9 (<strong>CRITICAL</strong>)</li>



<li><strong>Điểm EPSS</strong>: 0,04%</li>



<li><strong>Điểm rủi ro</strong>: 6,93 (<strong>HIGH</strong>)<br>Điểm rủi ro dựa trên điểm CVSS và EPSS. Điểm này chỉ mang tính tham khảo và không được công nhận trên toàn thế giới.</li>
</ul>
</div>



<div class="wp-block-column is-layout-flow wp-block-column-is-layout-flow" style="flex-basis:33.33%">
<figure class="wp-block-image size-full"><img decoding="async" width="354" height="262" src="https://thegioifirewall.com/wp-content/uploads/2025/01/cve-2024-45387-lo-hong-sql-va-giai-phap-phong-thu-chien-luoc.png" alt="" class="wp-image-21226" srcset="https://thegioifirewall.com/wp-content/uploads/2025/01/cve-2024-45387-lo-hong-sql-va-giai-phap-phong-thu-chien-luoc.png 354w, https://thegioifirewall.com/wp-content/uploads/2025/01/cve-2024-45387-lo-hong-sql-va-giai-phap-phong-thu-chien-luoc-300x222.png 300w" sizes="(max-width: 354px) 100vw, 354px" /></figure>
</div>
</div>



<p class="wp-block-paragraph"><strong>Liên kết NVD</strong>:<br><a href="https://nvd.nist.gov/vuln/detail/CVE-2024-45387">https://nvd.nist.gov/vuln/detail/CVE-2024-45387</a></p>



<hr class="wp-block-separator has-alpha-channel-opacity"/>



<p class="wp-block-paragraph"><strong>Mô tả</strong></p>



<p class="wp-block-paragraph">Lỗ hổng tiêm SQL trong <strong>Traffic Ops</strong> ở Apache Traffic Control ( phiên bản &lt;= 8.0.1 và &gt;= 8.0.0) cho phép người dùng có đặc quyền với vai trò “admin”, “federation”, “operations”, “portal” hoặc “steering” thực thi SQL tùy ý trên cơ sở dữ liệu bằng cách gửi yêu cầu PUT được thiết kế đặc biệt.</p>



<p class="wp-block-paragraph">Người dùng được khuyên nghị nâng cấp lên phiên bản <strong>Apache Traffic Control 8.0.2</strong> nếu đang sử dụng các phiên bản Traffic Ops bị ảnh hưởng.</p>



<hr class="wp-block-separator has-alpha-channel-opacity"/>



<p class="wp-block-paragraph"><strong>Phân tích kỹ thuật và biện pháp giảm thiểu</strong></p>



<p class="wp-block-paragraph"><strong>1. Phân tích tấn công kỹ thuật</strong></p>



<p class="wp-block-paragraph">Lỗ hổng được xác định là <strong>CVE-2024-45387</strong> là một lỗ hổng SQL injection trong thành phần Traffic Ops của Apache Traffic Control. Lỗ hổng này cho phép người dùng có đặc quyền (với các vai trò như &#8220;admin&#8221;, &#8220;federation&#8221;, &#8220;operations&#8221;, &#8220;portal&#8221; hoặc &#8220;steering&#8221;) thực thi các lệnh SQL tùy ý đối với cơ sở dữ liệu bằng cách gửi các yêu cầu PUT được tạo đặc biệt.</p>



<p class="wp-block-paragraph"><strong>Kỹ thuật tấn công:</strong></p>



<ul class="wp-block-list">
<li><strong>SQL Injection (T1059.002)</strong>: Kỹ thuật tấn công cơ bản là SQL injection, bao gồm việc đưa các truy vấn SQL độc hại vào các trường nhập liệu không được khử trùng đúng cách. Điều này có thể dẫn đến truy cập trái phép vào dữ liệu nhạy cảm, thao tác cơ sở dữ liệu hoặc xâm phạm hoàn toàn máy chủ cơ sở dữ liệu.</li>



<li><strong>Privilege Escalation</strong>: Khai thác yêu cầu người dùng có vai trò cụ thể, cho thấy các đặc quyền hiện có có thể bị lạm dụng. Nếu kẻ tấn công có được quyền truy cập vào tài khoản có đặc quyền, chúng có thể thực thi các lệnh SQL tùy ý, dẫn đến rò rỉ dữ liệu, hỏng dữ liệu hoặc từ chối dịch vụ.</li>
</ul>



<p class="wp-block-paragraph"><strong>Tác động tiềm ẩn:</strong></p>



<ul class="wp-block-list">
<li><strong>Vi phạm dữ liệu</strong>: Kẻ tấn công có thể trích xuất thông tin nhạy cảm, bao gồm thông tin đăng nhập của người dùng, dữ liệu cá nhân hoặc thông tin kinh doanh bí mật.</li>



<li><strong>Thao tác dữ liệu</strong>: Việc sửa đổi trái phép cơ sở dữ liệu có thể dẫn đến các vấn đề về tính toàn vẹn dữ liệu, ảnh hưởng đến hoạt động kinh doanh.</li>



<li><strong>Từ chối dịch vụ</strong>: Các truy vấn SQL độc hại có thể làm giảm hiệu suất hoặc làm sập hoàn toàn dịch vụ cơ sở dữ liệu.</li>



<li><strong>Thiệt hại về danh tiếng</strong>: Nếu bị khai thác thành công, các tổ chức có thể phải đối mặt với tổn hại về danh tiếng cùng những hậu quả pháp lý do vi phạm dữ liệu.</li>
</ul>



<p class="wp-block-paragraph"><strong>2. Biện pháp giảm thiểu</strong></p>



<p class="wp-block-paragraph">Để giải quyết các lỗ hổng liên quan đến <strong>CVE-2024-45387</strong>, cần triển khai các bước giảm thiểu cụ thể sau:</p>



<ul class="wp-block-list">
<li><strong>Nâng cấp phần mềm</strong>:</li>
</ul>



<p class="wp-block-paragraph">Nâng cấp ngay lên <strong>Apache Traffic Control phiên bản 8.0.2</strong> trở lên để vá lỗ hổng bảo mật.</p>



<ul class="wp-block-list">
<li><strong>Tăng cường quyền của người dùng</strong>:</li>
</ul>



<p class="wp-block-paragraph">Xem xét và hạn chế quyền cho các vai trò như “admin”, “federation”, “operations”, “portal” và “steering” để đảm bảo chỉ cấp quyền truy cập cần thiết.</p>



<p class="wp-block-paragraph">Triển khai nguyên tắc <strong>đặc quyền tối thiểu (PoLP)</strong> để giảm thiểu thiệt hại tiềm ẩn từ các tài khoản bị xâm phạm.</p>



<ul class="wp-block-list">
<li><strong>Bật xác thực đa yếu tố (MFA)</strong>:</li>
</ul>



<p class="wp-block-paragraph">Yêu cầu MFA cho tất cả các tài khoản người dùng có đặc quyền để thêm một lớp bảo mật bổ sung chống lại truy cập trái phép.</p>



<ul class="wp-block-list">
<li><strong>Xác thực và kiểm tra dữ liệu đầu vào:</strong></li>
</ul>



<p class="wp-block-paragraph">Đảm bảo rằng tất cả dữ liệu đầu vào từ người dùng được kiểm tra chặt chẽ để phát hiện và loại bỏ các ký tự hoặc chuỗi có thể gây nguy cơ tiêm SQL.</p>



<p class="wp-block-paragraph">Sử dụng các phương pháp an toàn như truy vấn có tham số (parameterized queries) hoặc lưu trữ quy trình (stored procedures) để xử lý các truy vấn SQL, nhằm tránh việc chèn mã độc hại.&#8221;</p>



<ul class="wp-block-list">
<li><strong>Sử dụng tường lửa ứng dụng web (WAF)</strong>:</li>
</ul>



<p class="wp-block-paragraph">Triển khai WAF để giúp lọc và giám sát các yêu cầu HTTP, có thể chặn các mẫu đầu vào độc hại giống với các nỗ lực tiêm SQL.</p>



<ul class="wp-block-list">
<li><strong>Triển khai giám sát và ghi nhật ký</strong>:</li>
</ul>



<p class="wp-block-paragraph">Bật logging chi tiết cho các truy vấn SQL.</p>



<p class="wp-block-paragraph">Thiết lập các cách cáo khi có hoạt động bất thường</p>
]]></content:encoded>
					
					<wfw:commentRss>https://thegioifirewall.com/cve-2024-45387-lo-hong-sql-va-giai-phap-phong-thu-chien-luoc/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>TỪ QR ĐẾN THỎA HIỆP: MỐI ĐE DỌA “QUISHING” NGÀY CÀNG GIA TĂNG</title>
		<link>https://thegioifirewall.com/tu-qr-den-thoa-hiep-moi-de-doa-quishing-ngay-cang-gia-tang/</link>
					<comments>https://thegioifirewall.com/tu-qr-den-thoa-hiep-moi-de-doa-quishing-ngay-cang-gia-tang/#respond</comments>
		
		<dc:creator><![CDATA[Leon]]></dc:creator>
		<pubDate>Mon, 21 Oct 2024 07:24:54 +0000</pubDate>
				<category><![CDATA[Tin tức]]></category>
		<category><![CDATA[email]]></category>
		<category><![CDATA[QR]]></category>
		<category><![CDATA[Sophos X-Ops]]></category>
		<guid isPermaLink="false">https://thegioifirewall.com/?p=20727</guid>

					<description><![CDATA[Kẻ tấn công lợi dụng mã QR trong tệp đính kèm email PDF để lừa đảo thông tin đăng nhập của công ty từ thiết bị di động Ngày 16 tháng 10 năm 2024 Nghiên cứu mối đe dọa&#160;đặc sắc&#160;Lừa đảo&#160;Mã QR&#160;Quishing&#160;Sophos X-Ops&#160;Thư rác&#160;lừa đảo bằng giáo mác&#160;x-ops Các chuyên gia bảo mật luôn cảnh [&#8230;]]]></description>
										<content:encoded><![CDATA[
<p class="wp-block-paragraph">Kẻ tấn công lợi dụng mã QR trong tệp đính kèm email PDF để lừa đảo thông tin đăng nhập của công ty từ thiết bị di động</p>



<p class="wp-block-paragraph"><a href="https://news.sophos.com/en-us/2024/10/16/quishing/"><strong>Ngày 16 tháng 10 năm 2024</strong></a></p>



<p class="wp-block-paragraph"><a href="https://news.sophos.com/en-us/category/threat-research/"><strong>Nghiên cứu mối đe dọa</strong></a>&nbsp;<a href="https://news.sophos.com/en-us/tag/featured/"><strong>đặc sắc</strong></a>&nbsp;<a href="https://news.sophos.com/en-us/tag/phishing/"><strong>Lừa đảo</strong></a>&nbsp;<a href="https://news.sophos.com/en-us/tag/qr-code/"><strong>Mã QR</strong></a>&nbsp;<a href="https://news.sophos.com/en-us/tag/quishing/"><strong>Quishing</strong></a>&nbsp;<a href="https://news.sophos.com/en-us/tag/sophos-x-ops/"><strong>Sophos X-Ops</strong></a>&nbsp;<a href="https://news.sophos.com/en-us/tag/spam/"><strong>Thư rác</strong></a>&nbsp;<a href="https://news.sophos.com/en-us/tag/spearphishing/"><strong>lừa đảo bằng giáo mác</strong></a>&nbsp;<a href="https://news.sophos.com/en-us/tag/x-ops/"><strong>x-ops</strong></a></p>



<p class="wp-block-paragraph">Các chuyên gia bảo mật luôn cảnh giác với các kỹ thuật đe dọa đang phát triển. Nhóm Sophos X-Ops gần đây đã điều tra các cuộc tấn công lừa đảo nhắm vào một số nhân viên của chúng tôi, một trong số họ đã bị lừa cung cấp thông tin của mình.</p>



<p class="wp-block-paragraph">Những kẻ tấn công đã sử dụng cái gọi là quishing (một từ ghép của “mã QR” và “lừa đảo”). Mã QR là một cơ chế mã hóa có thể đọc được bằng máy, có thể đóng gói nhiều loại thông tin, từ các dòng văn bản đến dữ liệu nhị phân, nhưng hầu hết mọi người đều biết và nhận ra cách sử dụng phổ biến nhất hiện nay của chúng là một cách nhanh chóng để chia sẻ URL.</p>



<p class="wp-block-paragraph">Chúng tôi trong ngành an ninh thường dạy mọi người khả năng chống lại lừa đảo bằng cách hướng dẫn họ xem kỹ URL trước khi nhấp vào trên máy tính. Tuy nhiên, không giống như URL ở dạng văn bản thuần túy, mã QR không dễ bị kiểm tra theo cùng một cách.</p>



<p class="wp-block-paragraph">Ngoài ra, hầu hết mọi người sử dụng camera điện thoại để giải mã QR thay vì máy tính và việc xem xét kỹ lưỡng URL hiển thị trong giây lát trên ứng dụng camera của điện thoại có thể rất khó khăn &#8211; một phần vì URL có thể chỉ xuất hiện trong vài giây trước khi ứng dụng ẩn URL khỏi tầm nhìn và một phần vì kẻ tấn công có thể sử dụng nhiều kỹ thuật hoặc dịch vụ chuyển hướng URL khác nhau để che giấu hoặc làm tối nghĩa đích đến cuối cùng của liên kết được hiển thị trên giao diện của ứng dụng camera.</p>



<p class="wp-block-paragraph"><strong>Cuộc tấn công quishing diễn ra như thế nào</strong></p>



<p class="wp-block-paragraph">Vào tháng 6 năm 2024, các tác nhân đe dọa đã gửi cho nhiều mục tiêu trong Sophos một tài liệu PDF có chứa mã QR dưới dạng tệp đính kèm email. Các email lừa đảo được tạo ra để trông giống như email hợp pháp và được gửi bằng các tài khoản email hợp pháp, bị xâm phạm và không phải của Sophos.</p>



<p class="wp-block-paragraph">(Để làm rõ, đây không phải là lần đầu tiên chúng tôi thấy email lừa đảo; Nhân viên đã bị nhắm mục tiêu vào một loạt vào tháng 2 và một lần nữa vào tháng 5. Khách hàng đã bị nhắm mục tiêu bởi các chiến dịch tương tự trong ít nhất một năm trở lại đây. X-Ops quyết định tập trung vào các cuộc tấn công nhắm vào Sophos vì chúng tôi được phép điều tra và chia sẻ chúng.)</p>



<p class="wp-block-paragraph">Dòng tiêu đề của tin nhắn khiến chúng có vẻ như xuất phát từ nội bộ công ty, dưới dạng một tài liệu được gửi qua email trực tiếp từ máy quét kết nối mạng trong văn phòng.</p>



<figure class="wp-block-image size-full"><img decoding="async" width="958" height="772" src="https://thegioifirewall.com/wp-content/uploads/2024/10/tu-qr-den-thoa-hiep-moi-de-doa-quishing-ngay-cang-gia-tang.png" alt="" class="wp-image-20743" srcset="https://thegioifirewall.com/wp-content/uploads/2024/10/tu-qr-den-thoa-hiep-moi-de-doa-quishing-ngay-cang-gia-tang.png 958w, https://thegioifirewall.com/wp-content/uploads/2024/10/tu-qr-den-thoa-hiep-moi-de-doa-quishing-ngay-cang-gia-tang-300x242.png 300w, https://thegioifirewall.com/wp-content/uploads/2024/10/tu-qr-den-thoa-hiep-moi-de-doa-quishing-ngay-cang-gia-tang-768x619.png 768w" sizes="(max-width: 958px) 100vw, 958px" /></figure>



<p class="wp-block-paragraph">Email lừa đảo ban đầu nhắm vào một nhân viên Sophos có một số điểm không nhất quán và lỗi, bao gồm tên tệp đính kèm không khớp trong nội dung, thiếu văn bản trong chủ đề và nội dung và tên người gửi không khớp với định dạng thông thường của công ty</p>



<p class="wp-block-paragraph">Một dấu hiệu đáng chú ý là tin nhắn email được cho là xuất phát từ máy quét có tên tệp cho tài liệu trong nội dung tin nhắn, nhưng trong tất cả các tin nhắn chúng tôi nhận được ngày hôm đó, tên tệp này không khớp với tên tệp của tài liệu được đính kèm trong email.</p>



<p class="wp-block-paragraph">Ngoài ra, một trong những tin nhắn có dòng tiêu đề là “Đã chuyển tiền đến”, mà máy quét văn phòng tự động sẽ không sử dụng, vì đó là cách diễn giải tổng quát hơn về nội dung của tài liệu được quét. Tin nhắn còn lại có dòng tiêu đề là “&nbsp;<em>Thông tin độc quyền về phúc lợi việc làm và/hoặc kế hoạch nghỉ hưu đính kèm=</em>&nbsp;” có vẻ như bị cắt ở cuối.</p>



<figure class="wp-block-image"><img decoding="async" src="https://thegioifirewall.com/wp-content/uploads/2024/10/tu-qr-den-thoa-hiep-moi-de-doa-quishing-ngay-cang-gia-tang-1.png" alt="Trong email thứ hai nhắm vào một nhân viên khác, tên tệp đính kèm lại không khớp với tên trong nội dung. Máy quét sẽ tạo dòng chủ đề đó như thế nào?"/></figure>



<p class="wp-block-paragraph">Trong email thứ hai nhắm vào một nhân viên khác, tên tệp đính kèm lại không khớp với tên trong nội dung. Máy quét sẽ tạo dòng chủ đề đó như thế nào?</p>



<p class="wp-block-paragraph">Tài liệu PDF có logo Sophos, nhưng ngoài ra thì rất đơn giản. Văn bản xuất hiện bên dưới mã QR có nội dung &#8220;Tài liệu này sẽ hết hạn sau 24 giờ&#8221;. Nó cũng chỉ ra mã QR trỏ đến Docusign, nền tảng chữ ký hợp đồng điện tử. Những đặc điểm này khiến thông điệp có cảm giác cấp bách giả tạo.</p>



<figure class="wp-block-image"><img decoding="async" src="https://thegioifirewall.com/wp-content/uploads/2024/10/tu-qr-den-thoa-hiep-moi-de-doa-quishing-ngay-cang-gia-tang-2.png" alt="Tài liệu quishing gốc được gửi đến một nhân viên của Sophos"/></figure>



<p class="wp-block-paragraph">Tài liệu quishing gốc được gửi đến một nhân viên của Sophos</p>



<p class="wp-block-paragraph">Khi mục tiêu quét mã QR bằng điện thoại của họ, mục tiêu được chuyển hướng đến một trang lừa đảo trông giống như hộp thoại đăng nhập Microsoft365, nhưng được kẻ tấn công kiểm soát. URL có một chuỗi truy vấn ở cuối chứa địa chỉ email đầy đủ của mục tiêu, nhưng kỳ lạ thay, địa chỉ email có một chữ cái viết hoa ngẫu nhiên, khác biệt được thêm vào trước địa chỉ.</p>



<figure class="wp-block-image size-full"><img loading="lazy" decoding="async" width="980" height="559" src="https://thegioifirewall.com/wp-content/uploads/2024/10/tu-qr-den-thoa-hiep-moi-de-doa-quishing-ngay-cang-gia-tang-3.png" alt="" class="wp-image-20731" srcset="https://thegioifirewall.com/wp-content/uploads/2024/10/tu-qr-den-thoa-hiep-moi-de-doa-quishing-ngay-cang-gia-tang-3.png 980w, https://thegioifirewall.com/wp-content/uploads/2024/10/tu-qr-den-thoa-hiep-moi-de-doa-quishing-ngay-cang-gia-tang-3-300x171.png 300w, https://thegioifirewall.com/wp-content/uploads/2024/10/tu-qr-den-thoa-hiep-moi-de-doa-quishing-ngay-cang-gia-tang-3-768x438.png 768w" sizes="auto, (max-width: 980px) 100vw, 980px" /></figure>



<p class="wp-block-paragraph"><figure class="wp-block-image"></figure><p>Mã QR được liên kết đến một tên miền được Cloudflare bảo vệ và chứa địa chỉ email của mục tiêu, được thêm một chữ cái in hoa không mong muốn</p></p>



<p class="wp-block-paragraph">Trang này được thiết kế để đánh cắp cả thông tin đăng nhập và phản hồi MFA bằng&nbsp;<a href="https://attack.mitre.org/techniques/T1557/">một kỹ thuật được gọi là Kẻ thù ở giữa</a>&nbsp;(AiTM).</p>



<figure class="wp-block-image size-full"><img loading="lazy" decoding="async" width="831" height="399" src="https://thegioifirewall.com/wp-content/uploads/2024/10/tu-qr-den-thoa-hiep-moi-de-doa-quishing-ngay-cang-gia-tang-4.png" alt="" class="wp-image-20732" srcset="https://thegioifirewall.com/wp-content/uploads/2024/10/tu-qr-den-thoa-hiep-moi-de-doa-quishing-ngay-cang-gia-tang-4.png 831w, https://thegioifirewall.com/wp-content/uploads/2024/10/tu-qr-den-thoa-hiep-moi-de-doa-quishing-ngay-cang-gia-tang-4-300x144.png 300w, https://thegioifirewall.com/wp-content/uploads/2024/10/tu-qr-den-thoa-hiep-moi-de-doa-quishing-ngay-cang-gia-tang-4-768x369.png 768w" sizes="auto, (max-width: 831px) 100vw, 831px" /></figure>



<p class="wp-block-paragraph"><br><p>Trang lừa đảo đã lấy được cả mật khẩu đăng nhập và mã thông báo MFA do mục tiêu nhập vào và trông giống hệt hộp thoại đăng nhập Microsoft365 chuẩn</p></p>



<p class="wp-block-paragraph">URL được sử dụng trong cuộc tấn công không được Sophos biết đến vào thời điểm email đến. Trong mọi trường hợp, điện thoại di động của mục tiêu không được cài đặt tính năng nào có thể lọc lượt truy cập vào một trang web độc hại đã biết, chứ đừng nói đến trang web này, vốn không có lịch sử uy tín nào liên quan đến trang web này vào thời điểm đó.</p>



<p class="wp-block-paragraph">Cuộc tấn công đã xâm phạm thành công thông tin xác thực của nhân viên và mã thông báo MFA thông qua phương pháp này. Sau đó, kẻ tấn công đã cố gắng sử dụng thông tin này để truy cập vào ứng dụng nội bộ bằng cách chuyển tiếp thành công mã thông báo MFA bị đánh cắp gần như theo thời gian thực, đây là một cách mới để lách yêu cầu MFA mà chúng tôi thực thi.</p>



<p class="wp-block-paragraph">Các biện pháp kiểm soát nội bộ đối với các khía cạnh khác về cách thức hoạt động của quy trình đăng nhập mạng đã ngăn chặn kẻ tấn công truy cập vào bất kỳ thông tin hoặc tài sản nội bộ nào.</p>



<p class="wp-block-paragraph">Như chúng tôi đã đề cập trước đó, loại tấn công này đang trở nên phổ biến hơn trong số khách hàng của chúng tôi. Mỗi ngày, chúng tôi nhận được nhiều mẫu PDF quishing mới nhắm vào các nhân viên cụ thể tại các tổ chức.</p>



<figure class="wp-block-image"><img decoding="async" src="https://thegioifirewall.com/wp-content/uploads/2024/10/tu-qr-den-thoa-hiep-moi-de-doa-quishing-ngay-cang-gia-tang-5.png" alt="Một tệp PDF bị đánh cắp nhận được vào tuần trước khi xuất bản bài viết này, nhắm vào một khách hàng của Sophos, có vẻ như là một liên kết đến sổ tay nhân viên và bao gồm tên doanh nghiệp, thương hiệu của khách hàng, tên và địa chỉ email của mục tiêu."/></figure>



<p class="wp-block-paragraph">Một tệp PDF bị đánh cắp nhận được vào tuần trước khi xuất bản bài viết này, nhắm vào một khách hàng của Sophos, có vẻ như là một liên kết đến sổ tay nhân viên và bao gồm tên doanh nghiệp, thương hiệu của khách hàng, tên và địa chỉ email của mục tiêu.</p>



<p class="wp-block-paragraph"><strong>Quishing như một dịch vụ</strong></p>



<p class="wp-block-paragraph">Các mục tiêu nhận được email do một tác nhân đe dọa gửi đi rất giống với các tin nhắn tương tự được gửi bằng&nbsp;<a href="https://blog.eclecticiq.com/onnx-store-targeting-financial-institution">nền tảng dịch vụ lừa đảo (PhaaS) có tên là ONNX Store</a>&nbsp;, mà&nbsp;<a href="https://cloud.google.com/blog/topics/threat-intelligence/caffeine-phishing-service-platform/">một số nhà nghiên cứu khẳng định là phiên bản đổi tên của bộ công cụ lừa đảo Caffeine</a>&nbsp;. ONNX Store cung cấp các công cụ và cơ sở hạ tầng để chạy các chiến dịch lừa đảo và có thể truy cập thông qua bot Telegram.</p>



<p class="wp-block-paragraph">Cửa hàng ONNX tận dụng các tính năng CAPTCHA chống bot và proxy địa chỉ IP của Cloudflare để gây khó khăn hơn cho các nhà nghiên cứu trong việc xác định các trang web độc hại, làm giảm hiệu quả của các công cụ quét tự động và làm lu mờ nhà cung cấp dịch vụ lưu trữ cơ bản.</p>



<p class="wp-block-paragraph">Cửa hàng ONNX cũng sử dụng mã JavaScript được mã hóa có khả năng tự giải mã trong quá trình tải trang web, cung cấp thêm một lớp bảo mật để chống lại các trình quét chống lừa đảo.</p>



<p class="wp-block-paragraph"><strong>Đánh bại mối đe dọa đang gia tăng</strong></p>



<p class="wp-block-paragraph">Những kẻ tấn công thực hiện các cuộc tấn công lừa đảo sử dụng mã QR có thể muốn bỏ qua các loại tính năng bảo vệ mạng trong phần mềm bảo mật điểm cuối có thể chạy trên máy tính. Một nạn nhân tiềm năng có thể nhận được tin nhắn lừa đảo trên máy tính, nhưng có nhiều khả năng sẽ truy cập trang lừa đảo trên điện thoại ít được bảo vệ của họ.</p>



<p class="wp-block-paragraph">Vì mã QR thường được quét bằng thiết bị di động thứ cấp nên các URL mà mọi người truy cập có thể vượt qua các biện pháp phòng vệ truyền thống, chẳng hạn như chặn URL trên máy tính để bàn hoặc máy tính xách tay có cài đặt phần mềm bảo vệ điểm cuối hoặc kết nối thông qua tường lửa chặn các địa chỉ web độc hại đã biết.</p>



<p class="wp-block-paragraph">Chúng tôi đã dành khá nhiều thời gian để nghiên cứu bộ sưu tập mẫu thư rác của mình để tìm ra các ví dụ khác về các cuộc tấn công quishing. Chúng tôi thấy rằng khối lượng các cuộc tấn công nhắm vào vectơ đe dọa cụ thể này dường như đang tăng lên cả về khối lượng và mức độ tinh vi của giao diện tài liệu PDF.</p>



<p class="wp-block-paragraph">Bộ tệp đính kèm ban đầu vào tháng 6 là các tài liệu khá đơn giản, chỉ có một logo ở trên cùng, một mã QR và một ít văn bản nhằm tạo cảm giác cấp bách để truy cập vào URL được mã hóa trong khối mã QR.</p>



<p class="wp-block-paragraph">Tuy nhiên, trong suốt mùa hè, các mẫu đã trở nên tinh tế hơn, với sự nhấn mạnh hơn vào thiết kế đồ họa và giao diện của nội dung hiển thị trong PDF. Các tài liệu Quishing hiện trông tinh tế hơn so với những gì chúng ta thấy ban đầu, với văn bản tiêu đề và chân trang được tùy chỉnh để nhúng tên của cá nhân mục tiêu (hoặc ít nhất là theo tên người dùng cho tài khoản email của họ) và/hoặc tổ chức mục tiêu nơi họ làm việc bên trong PDF.</p>



<figure class="wp-block-image"><img decoding="async" src="https://thegioifirewall.com/wp-content/uploads/2024/10/tu-qr-den-thoa-hiep-moi-de-doa-quishing-ngay-cang-gia-tang-6.png" alt="Một trong những tài liệu quishing trông chuyên nghiệp hơn"/></figure>



<p class="wp-block-paragraph">Một trong những tài liệu quishing trông chuyên nghiệp hơn</p>



<p class="wp-block-paragraph">Mã QR cực kỳ linh hoạt và một phần thông số kỹ thuật của mã QR có nghĩa là&nbsp;<a href="https://www.techspot.com/guides/1676-qr-code-explained/">có thể nhúng đồ họa</a>&nbsp;vào giữa khối mã QR.</p>



<p class="wp-block-paragraph">Một số mã QR trong các tài liệu giả mạo gần đây đã lạm dụng thương hiệu Docusign như một thành phần đồ họa trong khối mã QR, gian lận bằng cách sử dụng uy tín của công ty đó để lừa đảo người dùng.</p>



<p class="wp-block-paragraph">Để rõ ràng, Docusign không gửi email liên kết mã QR cho khách hàng hoặc khách hàng đang ký tài liệu. Theo&nbsp;<a href="https://www.docusign.com/sites/default/files/docusign_combating_phishing_whitepaper.pdf">sách trắng Chống lừa đảo của DocuSign</a>&nbsp;(PDF), thương hiệu của công ty bị lạm dụng thường xuyên đến mức công ty đã thiết lập&nbsp;<a href="https://www.docusign.com/trust/security/incident-reporting#reporting-imitation-of-docusign">các biện pháp bảo mật trong email thông báo của mình</a>&nbsp;.</p>



<figure class="wp-block-image"><img decoding="async" src="https://thegioifirewall.com/wp-content/uploads/2024/10/tu-qr-den-thoa-hiep-moi-de-doa-quishing-ngay-cang-gia-tang-7.png" alt="Một tệp PDF lừa đảo có tên người dùng email của mục tiêu được nhúng vào tài liệu, cũng như tên công ty nơi họ làm việc và địa chỉ email đầy đủ của họ trong phần văn bản chân trang và logo Docusign ở giữa mã QR"/></figure>



<p class="wp-block-paragraph">Một tệp PDF giả mạo có tên người dùng email của mục tiêu được nhúng vào tài liệu, cũng như tên công ty nơi họ làm việc và địa chỉ email đầy đủ của họ trong phần văn bản chân trang và logo DocuSign ở giữa mã QR</p>



<p class="wp-block-paragraph">Để rõ ràng, sự hiện diện của logo này bên trong mã QR không thể truyền tải bất kỳ tính hợp pháp nào cho liên kết mà nó trỏ đến và không nên mang lại cho nó bất kỳ độ tin cậy nào. Nó chỉ là một tính năng thiết kế của thông số kỹ thuật mã QR, rằng đồ họa có thể xuất hiện ở giữa chúng.</p>



<p class="wp-block-paragraph">Định dạng của liên kết mà mã QR trỏ đến cũng đã phát triển. Trong khi nhiều URL dường như trỏ đến các tên miền thông thường đang được sử dụng cho mục đích xấu, kẻ tấn công cũng đang tận dụng nhiều kỹ thuật chuyển hướng khác nhau để che giấu URL đích.</p>



<figure class="wp-block-image"><img decoding="async" src="https://thegioifirewall.com/wp-content/uploads/2024/10/tu-qr-den-thoa-hiep-moi-de-doa-quishing-ngay-cang-gia-tang-8.png" alt="Một nhân viên của Sophos đã nhận được tệp PDF này vào tháng 9 năm 2024. Tệp PDF này tham chiếu đến địa chỉ email của họ và ghi &quot;Đây là thông báo dịch vụ bắt buộc&quot; ở đầu và sử dụng ngữ pháp kỳ lạ ở những nơi khác"/></figure>



<p class="wp-block-paragraph">Một nhân viên của Sophos đã nhận được tệp PDF này vào tháng 9 năm 2024. Tệp PDF này tham chiếu đến địa chỉ email của họ và ghi &#8220;Đây là thông báo dịch vụ bắt buộc&#8221; ở đầu và sử dụng ngữ pháp kỳ lạ ở những nơi khác</p>



<p class="wp-block-paragraph">Ví dụ, một email lừa đảo được gửi đến một nhân viên Sophos khác trong tháng qua đã liên kết đến một liên kết Google được định dạng khéo léo, khi nhấp vào, sẽ chuyển hướng khách truy cập đến trang web lừa đảo. Thực hiện tra cứu URL trong trường hợp này sẽ dẫn đến trang web được liên kết trực tiếp từ mã QR (google.com) được phân loại là an toàn. Chúng tôi cũng đã thấy các liên kết trỏ đến các dịch vụ liên kết ngắn được sử dụng bởi nhiều trang web hợp pháp khác.</p>



<figure class="wp-block-image"><img decoding="async" src="https://thegioifirewall.com/wp-content/uploads/2024/10/tu-qr-den-thoa-hiep-moi-de-doa-quishing-ngay-cang-gia-tang-9.png" alt="Mã QR trỏ đến một URL của Google quá dài để có thể xem toàn bộ từ trong ứng dụng camera trên điện thoại và sẽ chuyển hướng người dùng đến trang web lừa đảo nếu mở"/></figure>



<p class="wp-block-paragraph">Mã QR trỏ đến một URL của Google quá dài để có thể xem toàn bộ từ trong ứng dụng camera trên điện thoại và sẽ chuyển hướng người dùng đến trang web lừa đảo nếu mở</p>



<p class="wp-block-paragraph">Bất kỳ giải pháp nào có mục đích chặn và dừng việc tải các trang web lừa đảo đều phải giải quyết được bài toán theo dõi chuỗi chuyển hướng đến đích cuối cùng, sau đó thực hiện kiểm tra uy tín của trang web đó, cùng với việc giải quyết thêm sự phức tạp của những kẻ lừa đảo và kẻ lừa đảo ẩn trang web của chúng đằng sau các dịch vụ như CloudFlare.</p>



<p class="wp-block-paragraph">Email lừa đảo gần đây nhất được gửi tới một nhân viên của Sophos có tệp đính kèm PDF với nội dung khá mỉa mai – nó có vẻ như được gửi bởi một công ty có hoạt động kinh doanh chính là đào tạo và dịch vụ chống lừa đảo.</p>



<p class="wp-block-paragraph">Tệp PDF đính kèm trong email lừa đảo gần đây nhắm vào Sophos có thông tin chân trang dường như bắt chước các thông báo pháp lý từ một công ty có tên là Egress, một công ty con của công ty đào tạo chống lừa đảo KnowBe4. Tuy nhiên, tên miền mà mã QR trỏ đến thuộc về một công ty tư vấn của Brazil không liên quan gì đến KnowBe4. Có vẻ như trang web của các nhà tư vấn đã bị xâm phạm và được sử dụng để lưu trữ một trang lừa đảo.</p>



<figure class="wp-block-image"><img decoding="async" src="https://thegioifirewall.com/wp-content/uploads/2024/10/tu-qr-den-thoa-hiep-moi-de-doa-quishing-ngay-cang-gia-tang-10.png" alt="Một tài liệu lừa đảo sử dụng ngôn ngữ pháp lý ngụ ý rằng nó xuất phát từ một công ty đào tạo chống lừa đảo và được &quot;Hỗ trợ bởi Sophos(c)&quot;"/></figure>



<p class="wp-block-paragraph">Một tài liệu lừa đảo sử dụng ngôn ngữ pháp lý ngụ ý rằng nó xuất phát từ một công ty đào tạo chống lừa đảo và được &#8220;Hỗ trợ bởi Sophos(c)&#8221;</p>



<p class="wp-block-paragraph">Tin nhắn đó cũng chứa nội dung chính khiến nó có vẻ như là một tin nhắn tự động, mặc dù có một số lỗi chính tả và lỗi rất kỳ lạ. Giống như các tin nhắn trước, nội dung chính chỉ ra tên tệp cho tệp đính kèm không khớp với tên tệp đính kèm trong email.</p>



<figure class="wp-block-image"><img decoding="async" src="https://thegioifirewall.com/wp-content/uploads/2024/10/tu-qr-den-thoa-hiep-moi-de-doa-quishing-ngay-cang-gia-tang-11.png" alt="Email sau đó có nội dung &quot;mọi thắc mắc xin gửi đến người liên hệ Wayne Center của bạn&quot;, có lẽ là Batman"/></figure>



<p class="wp-block-paragraph">Email sau đó có nội dung &#8220;mọi thắc mắc xin gửi đến người liên hệ Wayne Center của bạn&#8221;, có lẽ là Batman</p>



<p class="wp-block-paragraph"><strong>Chiến thuật MITRE ATT&amp;CK được quan sát</strong></p>



<figure class="wp-block-table"><table class="has-fixed-layout"><tbody><tr><td><strong>Chiến thuật ATT&amp;CK</strong></td><td><strong>Kỹ thuật ATT&amp;CK</strong></td></tr><tr><td>TRUY CẬP BAN ĐẦU</td><td>Phishing::&nbsp;<a href="https://attack.mitre.org/techniques/T1566/001/">Tệp đính kèm Spear Phishing [T1566.001]</a></td></tr><tr><td>THỰC HIỆN</td><td>Thực hiện của người dùng::&nbsp;<a href="https://attack.mitre.org/techniques/T1204/001/">Liên kết độc hại [T1204.001]</a></td></tr><tr><td>TRUY CẬP THÔNG TIN</td><td><a href="https://attack.mitre.org/techniques/T1539/">Đánh cắp Cookie phiên web [T1539]</a></td></tr><tr><td></td><td><a href="https://attack.mitre.org/techniques/T1557/">Kẻ thù ở giữa [T1557]</a></td></tr><tr><td></td><td>Chụp đầu vào::&nbsp;<a href="https://attack.mitre.org/techniques/T1056/003/">Chụp cổng thông tin web [T1056.003]</a></td></tr><tr><td>PHÒNG THỦ TRÁNH TRÁNH</td><td><a href="https://attack.mitre.org/techniques/T1656/">Mạo danh [T1656]</a></td></tr><tr><td></td><td><a href="https://attack.mitre.org/techniques/T1027/">Tệp hoặc thông tin bị che giấu [T1027]</a></td></tr><tr><td>CHỈ HUY VÀ KIỂM SOÁT</td><td>Mã hóa dữ liệu:&nbsp;<a href="https://attack.mitre.org/techniques/T1132/001/">Mã hóa tiêu chuẩn [T1132.001]</a></td></tr><tr><td></td><td>Proxy:&nbsp;<a href="https://attack.mitre.org/techniques/T1090/004/">Mặt tiền tên miền [T1090.004]</a></td></tr></tbody></table></figure>



<p class="wp-block-paragraph"><strong>Khuyến nghị và hướng dẫn cho quản trị viên CNTT</strong></p>



<p class="wp-block-paragraph">Nếu bạn đang phải đối phó với một cuộc tấn công lừa đảo sử dụng mã QR tương tự trong môi trường doanh nghiệp, chúng tôi có một số gợi ý về cách đối phó với các loại tấn công này.</p>



<ul class="wp-block-list">
<li><em>Nội dung tập trung vào HR, bảng lương hoặc phúc lợi</em>&nbsp;: Hầu hết các email lừa đảo nhắm vào Sophos đều sử dụng giấy tờ của nhân viên như một mánh khóe kỹ thuật xã hội. Các tin nhắn có dòng tiêu đề chứa các cụm từ như &#8220;kế hoạch tài chính năm 2024&#8221;, &#8220;quyền lợi mở đăng ký&#8221;, &#8220;chi trả cổ tức&#8221;, &#8220;thông báo thuế&#8221; hoặc &#8220;thỏa thuận hợp đồng&#8221;. Tuy nhiên, không có tin nhắn nào đến từ địa chỉ email của Sophos. Hãy đặc biệt chú ý đến các tin nhắn có nội dung tương tự và đảm bảo rằng tất cả các tin nhắn hợp pháp liên quan đến các chủ đề này đều đến từ một địa chỉ email nội bộ trong tổ chức của bạn, thay vì dựa vào các công cụ nhắn tin của bên thứ ba.</li>



<li><em>Mobile Intercept X:&nbsp;</em><a href="https://www.sophos.com/en-us/products/mobile-control/intercept-x">Intercept X dành cho thiết bị di động</a>&nbsp;(&nbsp;<a href="https://play.google.com/store/apps/details?id=com.sophos.smsec&amp;hl=en-US">Android</a>&nbsp;/&nbsp;<a href="https://apps.apple.com/us/app/sophos-intercept-x-for-mobile/id1086924662">iOS</a>&nbsp;) bao gồm Secure QR Code Scanner, có sẵn thông qua menu hamburger ở góc trên bên trái của ứng dụng. Secure QR Code Scanner bảo vệ người dùng bằng cách kiểm tra các liên kết mã QR với cơ sở dữ liệu về các mối đe dọa đã biết và cảnh báo bạn nếu dịch vụ danh tiếng URL của Sophos biết một trang web là độc hại. Tuy nhiên, nó có hạn chế là không theo dõi các liên kết thông qua chuỗi chuyển hướng.</li>
</ul>


<div class="wp-block-image">
<figure class="aligncenter"><img decoding="async" src="https://thegioifirewall.com/wp-content/uploads/2024/10/tu-qr-den-thoa-hiep-moi-de-doa-quishing-ngay-cang-gia-tang-12.png" alt="Máy quét mã QR an toàn Intercept X dành cho thiết bị di động phát hiện ra điềm xấu"/></figure>
</div>


<p class="wp-block-paragraph">Máy quét mã QR an toàn Intercept X dành cho thiết bị di động phát hiện ra điềm xấu</p>



<ul class="wp-block-list">
<li><em>Theo dõi cảnh báo đăng nhập rủi ro:</em>&nbsp;Tận dụng&nbsp;<a href="https://learn.microsoft.com/en-us/entra/id-protection/how-to-deploy-identity-protection">Entra ID Protection của Microsoft</a>&nbsp;hoặc công cụ quản lý danh tính cấp doanh nghiệp tương tự để phát hiện và ứng phó với các rủi ro dựa trên danh tính. Các tính năng này giúp xác định hoạt động đăng nhập bất thường có thể chỉ ra lừa đảo hoặc các hoạt động độc hại khác.</li>



<li><em>Triển khai Truy cập có điều kiện:&nbsp;&nbsp;</em><a href="https://learn.microsoft.com/en-us/entra/identity/conditional-access/overview">Truy cập có điều kiện trong Microsoft Entra ID</a>&nbsp;cho phép các tổ chức thực thi các biện pháp kiểm soát truy cập cụ thể dựa trên các điều kiện như vị trí người dùng, trạng thái thiết bị và mức độ rủi ro, tăng cường bảo mật bằng cách đảm bảo chỉ những người dùng được ủy quyền mới có thể truy cập tài nguyên. Bất cứ khi nào có thể, các quy trình phòng thủ chuyên sâu tương tự nên được xem xét như một biện pháp dự phòng cho các mã thông báo MFA có khả năng bị xâm phạm.</li>



<li><em>Bật ghi nhật ký truy cập hiệu quả:</em>&nbsp;Mặc dù chúng tôi khuyên bạn nên bật tất cả các tính năng ghi nhật ký&nbsp;<a href="https://learn.microsoft.com/en-us/entra/identity/monitoring-health/howto-access-activity-logs">được Microsoft mô tả ở đây</a>&nbsp;, nhưng chúng tôi đặc biệt khuyên bạn nên bật kiểm tra, đăng nhập, bảo vệ danh tính và nhật ký hoạt động biểu đồ, tất cả đều đóng vai trò quan trọng trong sự cố này.</li>



<li><em>Triển khai bộ lọc email nâng cao:</em>&nbsp;Sophos đã phát hành giai đoạn 1 của&nbsp;<a href="https://community.sophos.com/sophos-email/b/blog/posts/qr-code-quishing-protection">Central Email QR phish protection</a>&nbsp;, phát hiện mã QR được nhúng trực tiếp vào email. Tuy nhiên, trong sự cố này, mã QR được nhúng trong tệp đính kèm PDF của email, khiến việc phát hiện trở nên khó khăn. Giai đoạn 2 của Central Email QR code protection sẽ bao gồm quét tệp đính kèm để tìm mã QR và dự kiến ​​phát hành trong quý đầu tiên của năm 2025.</li>



<li><em>Thu hồi theo yêu cầu</em>&nbsp;: Sophos Central Khách hàng email sử dụng Microsoft365 làm nhà cung cấp dịch vụ email của họ có thể sử dụng tính năng có tên là&nbsp;<a href="https://docs.sophos.com/central/customer/help/en-us/ManageYourProducts/LogsReports/Logs/EmailHistoryReport/index.html#using-on-demand-clawback">thu hồi theo yêu cầu</a>&nbsp;để tìm (và xóa) thư rác hoặc thư lừa đảo từ các hộp thư đến khác trong tổ chức của họ tương tự như các thư đã được xác định là độc hại.</li>
</ul>



<figure class="wp-block-image size-full"><img loading="lazy" decoding="async" width="804" height="257" src="https://thegioifirewall.com/wp-content/uploads/2024/10/tu-qr-den-thoa-hiep-moi-de-doa-quishing-ngay-cang-gia-tang-13.png" alt="" class="wp-image-20741" srcset="https://thegioifirewall.com/wp-content/uploads/2024/10/tu-qr-den-thoa-hiep-moi-de-doa-quishing-ngay-cang-gia-tang-13.png 804w, https://thegioifirewall.com/wp-content/uploads/2024/10/tu-qr-den-thoa-hiep-moi-de-doa-quishing-ngay-cang-gia-tang-13-300x96.png 300w, https://thegioifirewall.com/wp-content/uploads/2024/10/tu-qr-den-thoa-hiep-moi-de-doa-quishing-ngay-cang-gia-tang-13-768x245.png 768w, https://thegioifirewall.com/wp-content/uploads/2024/10/tu-qr-den-thoa-hiep-moi-de-doa-quishing-ngay-cang-gia-tang-13-800x257.png 800w" sizes="auto, (max-width: 804px) 100vw, 804px" /></figure>



<ul class="wp-block-list">
<li><em>Sự cảnh giác và báo cáo của nhân viên:</em>&nbsp;Việc nâng cao sự cảnh giác và báo cáo kịp thời của nhân viên là rất quan trọng để giải quyết các sự cố lừa đảo. Chúng tôi khuyên bạn nên triển khai các buổi đào tạo thường xuyên để nhận biết các nỗ lực lừa đảo và khuyến khích nhân viên báo cáo ngay lập tức bất kỳ email đáng ngờ nào cho nhóm ứng phó sự cố của họ.</li>



<li><em>Thu hồi các phiên người dùng đang hoạt động đáng ngờ:</em>&nbsp;&nbsp;Có một sổ tay hướng dẫn rõ ràng về cách thức và thời điểm thu hồi các phiên người dùng có thể cho thấy dấu hiệu xâm phạm. Đối với các ứng dụng O365,&nbsp;<a href="https://learn.microsoft.com/en-us/entra/identity/users/users-revoke-access">hướng dẫn này từ Microsoft</a>&nbsp;rất hữu ích.</li>
</ul>



<figure class="wp-block-image size-large"><img loading="lazy" decoding="async" width="1070" height="1541" src="https://thegioifirewall.com/wp-content/uploads/2024/10/tu-qr-den-thoa-hiep-moi-de-doa-quishing-ngay-cang-gia-tang-14.png" alt="" class="wp-image-20742" srcset="https://thegioifirewall.com/wp-content/uploads/2024/10/tu-qr-den-thoa-hiep-moi-de-doa-quishing-ngay-cang-gia-tang-14.png 1070w, https://thegioifirewall.com/wp-content/uploads/2024/10/tu-qr-den-thoa-hiep-moi-de-doa-quishing-ngay-cang-gia-tang-14-208x300.png 208w, https://thegioifirewall.com/wp-content/uploads/2024/10/tu-qr-den-thoa-hiep-moi-de-doa-quishing-ngay-cang-gia-tang-14-711x1024.png 711w, https://thegioifirewall.com/wp-content/uploads/2024/10/tu-qr-den-thoa-hiep-moi-de-doa-quishing-ngay-cang-gia-tang-14-768x1106.png 768w, https://thegioifirewall.com/wp-content/uploads/2024/10/tu-qr-den-thoa-hiep-moi-de-doa-quishing-ngay-cang-gia-tang-14-1067x1536.png 1067w" sizes="auto, (max-width: 1070px) 100vw, 1070px" /></figure>



<p class="wp-block-paragraph"><strong>Hãy đối xử tốt với con người của bạn</strong></p>



<p class="wp-block-paragraph">Ngay cả trong điều kiện tốt nhất và với lực lượng lao động được đào tạo bài bản như nhân viên tại Sophos, nhiều hình thức lừa đảo trực tuyến vẫn là mối đe dọa dai dẳng và ngày càng nguy hiểm hơn. May mắn thay, với mức độ bảo vệ nhiều lớp phù hợp, giờ đây có thể giảm thiểu ngay cả những thứ có khả năng nghiêm trọng như một cuộc tấn công lừa đảo trực tuyến thành công.</p>



<p class="wp-block-paragraph">Nhưng cũng quan trọng như các mẹo phòng ngừa kỹ thuật nêu trên là các yếu tố con người của một cuộc tấn công. Việc xây dựng một nền văn hóa và môi trường làm việc nơi nhân viên được trao quyền, khuyến khích và cảm ơn vì đã báo cáo hoạt động đáng ngờ và nơi nhân viên an ninh thông tin có thể nhanh chóng điều tra, có thể tạo ra sự khác biệt giữa một&nbsp;<em>nỗ lực</em>&nbsp;lừa đảo đơn thuần và một vụ vi phạm thành công.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://thegioifirewall.com/tu-qr-den-thoa-hiep-moi-de-doa-quishing-ngay-cang-gia-tang/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>Những Cải Tiến Về Khả Năng Mở Rộng Và Trải Nghiệm Người Dùng Trong Sophos Firewall Phiên Bản 21</title>
		<link>https://thegioifirewall.com/nhung-cai-tien-ve-kha-nang-mo-rong-va-trai-nghiem-nguoi-dung-trong-sophos-firewall-phien-ban-21/</link>
					<comments>https://thegioifirewall.com/nhung-cai-tien-ve-kha-nang-mo-rong-va-trai-nghiem-nguoi-dung-trong-sophos-firewall-phien-ban-21/#respond</comments>
		
		<dc:creator><![CDATA[Leon]]></dc:creator>
		<pubDate>Thu, 17 Oct 2024 07:54:33 +0000</pubDate>
				<category><![CDATA[Sophos Firewall]]></category>
		<category><![CDATA[Tin tức]]></category>
		<category><![CDATA[Sophos firewall]]></category>
		<guid isPermaLink="false">https://thegioifirewall.com/?p=20694</guid>

					<description><![CDATA[Sophos vừa giới thiệu bản cập nhật lớn cho tường lửa của họ với phiên bản Sophos Firewall 21 (V21), mang đến nhiều cải tiến về khả năng mở rộng và trải nghiệm người dùng (UX). Những nâng cấp này bao gồm cải tiến VPN, cải thiện quản lý định tuyến tĩnh và động, cùng [&#8230;]]]></description>
										<content:encoded><![CDATA[
<p class="wp-block-paragraph">Sophos vừa giới thiệu bản cập nhật lớn cho tường lửa của họ với phiên bản Sophos Firewall 21 (V21), mang đến nhiều cải tiến về khả năng mở rộng và trải nghiệm người dùng (UX). Những nâng cấp này bao gồm cải tiến VPN, cải thiện quản lý định tuyến tĩnh và động, cùng với khả năng tích hợp Google Workspace, nhằm mục tiêu nâng cao hiệu suất và tối ưu hóa các tác vụ quản trị. Trong bài viết này, chúng ta sẽ khám phá chi tiết từng tính năng mới và cách chúng giúp tăng cường hiệu suất hoạt động của hệ thống.</p>



<ol class="wp-block-list">
<li><strong>Cải Thiện Trải Nghiệm Người Dùng (UX) VPN</strong></li>
</ol>



<p class="wp-block-paragraph">Một trong những cải tiến quan trọng nhất của Sophos Firewall V21 là các cải tiến về trải nghiệm người dùng (UX) liên quan đến VPN. Sophos đã giới thiệu tính năng kích hoạt và hủy kích hoạt hàng loạt các kết nối VPN, giúp việc quản lý trở nên thuận tiện hơn cho quản trị viên. Điều này đặc biệt hữu ích khi phải xử lý nhiều kết nối cùng lúc, giảm thiểu thời gian quản lý và tăng hiệu suất.</p>



<figure class="wp-block-image size-large"><img loading="lazy" decoding="async" width="1600" height="728" src="https://thegioifirewall.com/wp-content/uploads/2024/10/cai-tien-ve-kha-nang-mo-rong-va-trai-nghiem-nguoi-dung-trong-sophos-firewall-phien-ban-21.png" alt="" class="wp-image-20710" srcset="https://thegioifirewall.com/wp-content/uploads/2024/10/cai-tien-ve-kha-nang-mo-rong-va-trai-nghiem-nguoi-dung-trong-sophos-firewall-phien-ban-21.png 1600w, https://thegioifirewall.com/wp-content/uploads/2024/10/cai-tien-ve-kha-nang-mo-rong-va-trai-nghiem-nguoi-dung-trong-sophos-firewall-phien-ban-21-300x137.png 300w, https://thegioifirewall.com/wp-content/uploads/2024/10/cai-tien-ve-kha-nang-mo-rong-va-trai-nghiem-nguoi-dung-trong-sophos-firewall-phien-ban-21-1024x466.png 1024w, https://thegioifirewall.com/wp-content/uploads/2024/10/cai-tien-ve-kha-nang-mo-rong-va-trai-nghiem-nguoi-dung-trong-sophos-firewall-phien-ban-21-768x349.png 768w, https://thegioifirewall.com/wp-content/uploads/2024/10/cai-tien-ve-kha-nang-mo-rong-va-trai-nghiem-nguoi-dung-trong-sophos-firewall-phien-ban-21-1536x699.png 1536w" sizes="auto, (max-width: 1600px) 100vw, 1600px" /></figure>



<p class="wp-block-paragraph">Trên trang quản lý VPN, tính năng lọc đã được cải tiến, giúp người dùng dễ dàng tìm kiếm và truy cập thông tin trên nhiều trang khác nhau. Sophos cũng đã thêm tính năng tìm kiếm theo văn bản tự do và tìm kiếm dựa trên giá trị vào cấu hình VPN. Điều này cho phép người dùng dễ dàng tìm kiếm các mạng, subnet, hoặc người dùng cho cả VPN truy cập từ xa và VPN site-to-site (kết nối giữa các địa điểm). Ví dụ, khi thêm một mục mới dưới phần Subnet Local, bạn có thể tìm kiếm ngay các tùy chọn phù hợp với từ khóa &#8220;20.20&#8221;, giúp tìm kiếm nhanh chóng các mạng và subnet.</p>



<figure class="wp-block-image"><img decoding="async" src="https://thegioifirewall.com/wp-content/uploads/2024/10/cai-tien-ve-kha-nang-mo-rong-va-trai-nghiem-nguoi-dung-trong-sophos-firewall-phien-ban-21-1.png" alt="Ảnh có chứa văn bản, phần mềm, Biểu tượng máy tính, số"/></figure>



<p class="wp-block-paragraph">Ngoài ra, Sophos đã thêm bộ lọc cho các giao diện XFRM trong giao diện trang quản lý VPN. Điều này giúp đơn giản hóa việc quản lý và tìm kiếm các giao diện phù hợp với VPN dựa trên RB, giải quyết các thách thức khi xây dựng VPN trên các giao diện VLAN và WAN.</p>



<figure class="wp-block-image"><img decoding="async" src="https://thegioifirewall.com/wp-content/uploads/2024/10/cai-tien-ve-kha-nang-mo-rong-va-trai-nghiem-nguoi-dung-trong-sophos-firewall-phien-ban-21-2.png" alt="Ảnh có chứa văn bản, ảnh chụp màn hình, phần mềm, Biểu tượng máy tính

Mô tả được tạo tự động"/></figure>



<ol start="2" class="wp-block-list">
<li><strong>Hỗ Trợ DHCP Relay Qua Giao Diện XFRM Tunnel</strong></li>
</ol>



<p class="wp-block-paragraph">Một tính năng đáng chú ý khác trong Sophos Firewall V21 là hỗ trợ cho tính năng DHCP relay qua các giao diện XFRM tunnel. Tính năng này cho phép các quản trị viên triển khai DHCP relay cho các máy chủ nằm phía sau các tường lửa từ xa, một điều trước đây không thể thực hiện được trong các triển khai SD-WAN. Trước khi có bản cập nhật này, các quản trị viên phải dựa vào các VPN dựa trên chính sách để đáp ứng các trường hợp sử dụng nhất định. Tuy nhiên, với Sophos Firewall V21, giờ đây DHCP relay có thể được cấu hình qua các giao diện XFRM tunnel, giúp cải thiện khả năng triển khai và quản lý DHCP trong các mạng phức tạp.</p>



<p class="wp-block-paragraph">Lưu ý rằng, trong bản phát hành này, Sophos Firewall hỗ trợ DHCP relay cho các máy chủ nằm phía sau tường lửa. Tuy nhiên, các giao diện tường lửa được cấu hình như các máy chủ DHCP sẽ không hỗ trợ cho các giao diện tunnel.</p>



<figure class="wp-block-image"><img decoding="async" src="https://thegioifirewall.com/wp-content/uploads/2024/10/cai-tien-ve-kha-nang-mo-rong-va-trai-nghiem-nguoi-dung-trong-sophos-firewall-phien-ban-21-3.png" alt="Ảnh có chứa văn bản, biểu đồ, ảnh chụp màn hình, bản đồ"/></figure>



<ol start="3" class="wp-block-list">
<li><strong>Tối Ưu Hóa Hiệu Suất VPN IPsec</strong></li>
</ol>



<p class="wp-block-paragraph">Sophos đã cải thiện hiệu suất VPN IPsec cho các cổng vào từ xa dựa trên FQDN (Fully Qualified Domain Name) trong phiên bản V21. Trước đây, các quản trị viên phải cấu hình cổng vào từ xa bằng cách sử dụng FQDN, nhưng điều này không cho phép sử dụng các mục wildcard và thường gặp vấn đề khi có độ trễ DNS cao. Quá trình phân giải FQDN có thể khiến toàn bộ kết nối VPN bị trì trệ, ảnh hưởng đến các kết nối khác.</p>



<p class="wp-block-paragraph">Giờ đây, các quản trị viên có thể chọn sử dụng địa chỉ IP đã phân giải thay vì dựa vào phân giải FQDN trong dịch vụ VPN. Tùy chọn này được thiết lập trong giao diện dòng lệnh (CLI) và bị tắt theo mặc định để tránh những thay đổi không mong muốn trong quá trình di chuyển. Tuy nhiên, nếu được kích hoạt, hệ thống sẽ thực hiện phân giải lại IP cứ mỗi 5 phút để phát hiện bất kỳ thay đổi IP nào liên quan đến FQDN. Nếu có thay đổi về IP, quá trình khôi phục kết nối cụ thể có thể mất một chút thời gian.</p>



<ol start="4" class="wp-block-list">
<li><strong>Tăng Tốc Độ Khôi Phục Giao Diện Và Tốc Độ Khởi Động Lại Dịch Vụ</strong></li>
</ol>



<p class="wp-block-paragraph">Một cải tiến quan trọng khác trong Sophos Firewall V21 là tốc độ khôi phục giao diện đã được tăng lên đến 20 lần trong các trường hợp khởi động lại dịch vụ, reboot thiết bị, hoặc xảy ra sự cố chuyển đổi dự phòng (HA failover). Những cải tiến này giúp giảm thiểu thời gian cần thiết để khôi phục kết nối mạng so với các phiên bản trước, đặc biệt trong các môi trường SD-WAN và triển khai VPN với quy mô lớn.</p>



<ol start="5" class="wp-block-list">
<li><strong>Tích Hợp Google Workspace</strong></li>
</ol>



<p class="wp-block-paragraph">Sự gia tăng của Google Workspace trong môi trường doanh nghiệp đã thúc đẩy Sophos hỗ trợ tích hợp Google Workspace với tường lửa trong phiên bản V21. Phiên bản này hỗ trợ tích hợp Google Workspace thông qua giao thức LDAP thông thường, giúp các doanh nghiệp sử dụng Google Workspace dễ dàng kết nối với hệ thống tường lửa của họ.</p>



<figure class="wp-block-image"><img decoding="async" src="https://thegioifirewall.com/wp-content/uploads/2024/10/cai-tien-ve-kha-nang-mo-rong-va-trai-nghiem-nguoi-dung-trong-sophos-firewall-phien-ban-21-4.png" alt=""/></figure>



<p class="wp-block-paragraph">Một cải tiến đặc biệt là khả năng tích hợp SSO (Single Sign-On) cho Google Chromebook với các máy chủ kiểu LDAP, một tính năng trước đây chỉ giới hạn cho Active Directory. Điều này giúp triển khai tính năng SSO cho Chromebook dễ dàng hơn thông qua Google LDAP.</p>



<p class="wp-block-paragraph">Sophos cũng lưu ý rằng việc tích hợp Google Workspace không yêu cầu domain cho các yêu cầu AAA, vì vậy người dùng chỉ cần cung cấp tên đăng nhập mà không cần domain. Ngoài ra, bạn cần đảm bảo không chọn hộp kiểm &#8220;PEN-based DN&#8221; trong trang cấu hình máy chủ.</p>



<ol start="6" class="wp-block-list">
<li><strong>Cải Thiện Khả Năng Xử Lý Yêu Cầu SSO</strong></li>
</ol>



<p class="wp-block-paragraph">Sophos Firewall V21 cũng mang lại những cải tiến đáng kể trong việc xử lý các yêu cầu SSO (Single Sign-On), giúp tường lửa có thể quản lý hàng nghìn yêu cầu đăng nhập đồng thời một cách hiệu quả. Trước đây, trong các triển khai phức tạp sử dụng nhiều cơ chế SSO khác nhau như STAS, RADIUS SSO, và SYNCHRON-ized user ID, hệ thống thường bị quá tải khi tất cả các phương thức SSO cố gắng đăng nhập cùng một người dùng cùng lúc, dẫn đến việc xử lý yêu cầu AAA bị ảnh hưởng.</p>



<p class="wp-block-paragraph">Với Sophos V21, tường lửa có thể xử lý các yêu cầu nhanh gấp 4 lần và tự động loại bỏ các yêu cầu trùng lặp từ nhiều loại khách hàng SSO khác nhau sau khi một người dùng đã được xác thực thành công.</p>



<ol start="7" class="wp-block-list">
<li><strong>Cải Tiến Quản Lý Định Tuyến Tĩnh Và Động</strong></li>
</ol>



<p class="wp-block-paragraph">Quản lý định tuyến là một chức năng quan trọng trong bất kỳ hệ thống tường lửa nào, và Sophos Firewall V21 đã mang đến những cải tiến lớn trong quản lý định tuyến tĩnh và động. Trên trang quản lý định tuyến, Sophos đã giới thiệu một số tính năng mới quan trọng, bao gồm khả năng bật/tắt các tuyến đường tĩnh, giúp quản trị viên dễ dàng kiểm soát và khắc phục sự cố hơn.</p>



<p class="wp-block-paragraph">Ngoài ra, Sophos đã thêm tính năng &#8220;nhân bản tuyến đường&#8221; (clone route), cho phép quản trị viên tạo các tuyến đường giống nhau nhanh chóng, bao gồm cả trường mô tả để theo dõi thông tin tuyến đường. Một tính năng hữu ích khác là &#8220;giao diện kiểu black hole&#8221; (black hole type interface), giúp chặn các lưu lượng không mong muốn một cách dễ dàng. Với tính năng Equal Cost Multipath (ECMP), Sophos Firewall V21 còn hỗ trợ cân bằng tải lưu lượng qua nhiều tuyến đường tĩnh, tăng cường khả năng xử lý lưu lượng mạng.</p>



<figure class="wp-block-image"><img decoding="async" src="https://thegioifirewall.com/wp-content/uploads/2024/10/cai-tien-ve-kha-nang-mo-rong-va-trai-nghiem-nguoi-dung-trong-sophos-firewall-phien-ban-21-5.png" alt=""/></figure>



<p class="wp-block-paragraph">Trong định tuyến động, phiên bản V21 giờ đây có thể phân phối lại các tuyến BGP vào OSPFv3, trong khi tất cả các cấu hình nâng cao khác vẫn có sẵn thông qua CLI. Trước đây, trong các tình huống chuyển đổi dự phòng (failover), định tuyến động thường bị gián đoạn nhiều lần để khôi phục kết nối giữa các thiết bị SFOS. Tuy nhiên, với bản phát hành này, Sophos đã giảm thiểu hoàn toàn tác động của sự cố thiết bị phụ trợ, chỉ còn một lần gián đoạn dịch vụ trong trường hợp thiết bị chính gặp sự cố.</p>



<p class="wp-block-paragraph"><strong>Kết Luận</strong></p>



<p class="wp-block-paragraph">Sophos Firewall V21 mang đến hàng loạt tính năng và cải tiến mạnh mẽ, giúp các quản trị viên hệ thống dễ dàng quản lý các kết nối mạng, VPN, và định tuyến trong các môi trường phức tạp. Các cải tiến này không chỉ tăng cường tính linh hoạt và hiệu suất mà còn giúp tối ưu hóa quá trình quản trị và giảm thiểu các vấn đề về hiệu suất mạng.</p>



<p class="wp-block-paragraph">Để tìm hiểu thêm về Sophos Firewall V21 và các tính năng mới khác, bạn có thể xem thêm các tài liệu hướng dẫn và video demo từ Sophos được liên kết trong phần mô tả. Đừng quên tham gia cộng đồng Sophos trên <a href="https://community.sophos.com/">community.sophos.com</a> để đặt câu hỏi và thảo luận thêm với các chuyên gia. Nếu bạn cần hỗ trợ chi tiết hơn, bạn có thể ghé thăm <a href="https://techvids.sophos.com/">techvids.sophos.com</a> để xem thêm nhiều video hữu ích về các sản phẩm khác của Sophos.</p>



<p class="wp-block-paragraph">Cảm ơn bạn đã theo dõi bài viết này và hy vọng những thông tin trên sẽ giúp bạn hiểu rõ hơn về các cải tiến trong Sophos Firewall phiên bản 21, cũng như cách những tính năng này có thể tối ưu hóa hiệu suất hoạt động và quản lý mạng của bạn. Đừng ngần ngại liên hệ với đội ngũ hỗ trợ của Sophos nếu bạn gặp bất kỳ thắc mắc hay vấn đề nào trong quá trình sử dụng!</p>
]]></content:encoded>
					
					<wfw:commentRss>https://thegioifirewall.com/nhung-cai-tien-ve-kha-nang-mo-rong-va-trai-nghiem-nguoi-dung-trong-sophos-firewall-phien-ban-21/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>Những mối quan ngại lớn nhất về bảo mật đám mây hiện nay là gì?</title>
		<link>https://thegioifirewall.com/nhung-moi-quan-ngai-lon-nhat-ve-bao-mat-dam-may-hien-nay-la-gi/</link>
					<comments>https://thegioifirewall.com/nhung-moi-quan-ngai-lon-nhat-ve-bao-mat-dam-may-hien-nay-la-gi/#respond</comments>
		
		<dc:creator><![CDATA[Steve]]></dc:creator>
		<pubDate>Fri, 04 Oct 2024 08:04:38 +0000</pubDate>
				<category><![CDATA[Tin tức]]></category>
		<category><![CDATA[bảo mật]]></category>
		<category><![CDATA[Cloud]]></category>
		<guid isPermaLink="false">https://thegioifirewall.com/?p=20595</guid>

					<description><![CDATA[Khi việc áp dụng đám mây ngày càng tăng, độ phức tạp trong việc quản lý dữ liệu nhạy cảm và củng cố an ninh mạng đám mây hybrid cũng tăng theo trong các môi trường rộng lớn và năng động. Một trong những mối đe dọa cấp bách nhất mà tôi thấy hiện nay [&#8230;]]]></description>
										<content:encoded><![CDATA[
<p class="wp-block-paragraph">Khi việc áp dụng đám mây ngày càng tăng, độ phức tạp trong việc quản lý dữ liệu nhạy cảm và củng cố an ninh mạng đám mây hybrid cũng tăng theo trong các môi trường rộng lớn và năng động. Một trong những mối đe dọa cấp bách nhất mà tôi thấy hiện nay là việc quản lý không đúng cách quyền truy cập mạng giữa các nhóm khác nhau, chẳng hạn như DevOps, các nhà phát triển ứng dụng và các chuyên gia bảo mật mạng.</p>



<p class="wp-block-paragraph">Khác với việc kiểm soát quyền truy cập đã được thiết lập tốt trong các mạng cơ sở hạ tầng và trung tâm dữ liệu tại chỗ nơi mà các nhóm bảo mật mạng có quyền kiểm soát tập trung các môi trường đám mây phân bổ trách nhiệm truy cập giữa nhiều vai trò khác nhau. Sự chuyển mình này mang theo rủi ro cao hơn về lỗi con người, cấu hình sai và quyền truy cập quá mức, có thể dẫn đến việc mất dữ liệu và nhiều vấn đề khác. Hãy tưởng tượng một nhà phát triển, không có đào tạo chuyên môn về bảo mật, vô tình cấp quyền quá rộng cho một bucket lưu trữ đám mây bằng cách sử dụng phương pháp Infrastructure as Code (IaC). Đó là một sai lầm ngây thơ, nhưng nó có thể gây ra hậu quả nghiêm trọng.</p>



<p class="wp-block-paragraph">Điều làm cho mối đe dọa này trở nên đặc biệt nguy hiểm là bản chất của nó. Nó không xuất phát từ các hacker bên ngoài cố gắng xâm nhập vào ranh giới; thay vào đó, nó khai thác sự tin tưởng và quyền truy cập đã được cấp cho những người trong nội bộ. Các mối đe dọa từ bên trong này là một vấn đề an ninh đáng kể vì chúng thường liên quan đến việc truy cập không được phép, hòa lẫn vào các hoạt động hàng ngày của tổ chức, làm cho việc phát hiện và giảm thiểu trở nên khó khăn. Thêm vào đó, sự gia tăng các rủi ro bảo mật đám mây càng làm phức tạp thêm nỗ lực bảo vệ chống lại những mối đe dọa nội bộ này.</p>



<p class="wp-block-paragraph">Vì vậy, câu hỏi then chốt là: làm thế nào chúng ta giải quyết vấn đề này và bảo vệ các hệ thống dựa trên đám mây?</p>



<p class="wp-block-paragraph">Tôi tin rằng câu trả lời nằm ở việc triển khai các chính sách kiểm soát quyền truy cập mạng nghiêm ngặt và rõ ràng, bao gồm việc sử dụng các tường lửa thế hệ mới được triển khai trong đám mây công cộng và/hoặc các tường lửa của nhà cung cấp dịch vụ đám mây, tuân thủ các chính sách bảo mật yêu cầu của tổ chức. Các biện pháp bảo mật này nên được bổ sung bằng việc đào tạo bảo mật toàn diện cho tất cả những người tham gia quản lý các môi trường đa đám mây. Bằng cách này, chúng ta có thể bảo vệ tốt hơn các tài nguyên đám mây, giải quyết các vấn đề bảo mật đám mây, và đảm bảo an toàn dữ liệu cũng như bảo vệ dữ liệu trên tất cả các nền tảng.</p>



<p class="wp-block-paragraph">Việc thiết lập các rào cản cần thiết là rất quan trọng, cho phép các nhóm DevOps và các nhà phát triển ứng dụng làm việc trong lĩnh vực chuyên môn của họ, đồng thời cho phép các nhóm bảo mật mạng có đủ sự giám sát cần thiết để duy trì an ninh và tuân thủ quy định.</p>



<p class="wp-block-paragraph">Quản lý chính sách bảo mật mạng đám mây thông qua một lớp trừu tượng là một chiến lược hiệu quả khác. Điều này giúp các chuyên gia không thuộc lĩnh vực bảo mật dễ dàng hiểu và tuân thủ các yêu cầu bảo mật, giảm thiểu rủi ro từ việc cấu hình sai.</p>



<p class="wp-block-paragraph">Lớp trừu tượng này nên chú ý đến lớp hạ tầng, cho phép cảnh báo theo thời gian thực đối với các vi phạm chính sách và đảm bảo khắc phục kịp thời. Mục tiêu là cân bằng giữa chức năng hoạt động và sự giám sát nghiêm ngặt trong các môi trường điện toán đám mây để giảm thiểu hiệu quả các mối đe dọa bên ngoài và bên trong, chẳng hạn như di chuyển ngang, trong các giới hạn cho phép của mạng tổ chức.</p>



<h1 class="wp-block-heading"><strong>Nhu cầu về các định nghĩa.</strong></h1>



<p class="wp-block-paragraph">Trong khi việc quản lý quyền truy cập không đúng cách là một mối quan ngại đáng kể, đây không phải là mối lo duy nhất. Mối đe dọa bảo mật đám mây lớn thứ hai hiện nay xuất phát từ việc thiếu các định nghĩa rõ ràng về vai trò và trách nhiệm tại các điểm ranh giới giữa các silo khác nhau trong đám mây.</p>



<p class="wp-block-paragraph">Những ranh giới này, chẳng hạn như giữa các trung tâm dữ liệu và đám mây, hoặc giữa điện toán biên và đám mây, đặc biệt nhạy cảm. Đây là những &#8220;khu vực xám&#8221;; những khu vực mà việc xác định trách nhiệm là gây tranh cãi nhất.</p>



<p class="wp-block-paragraph">Sự mơ hồ trong vai trò và trách nhiệm tại các điểm ranh giới này có thể tạo ra một dạng &#8220;DMZ&#8221; (vùng phi quân sự hóa) không được quản lý mà kẻ thù có thể khai thác. Nếu không có quyền sở hữu và các biện pháp bảo mật rõ ràng, những khu vực này trở nên dễ bị tấn công.</p>



<p class="wp-block-paragraph">Việc thiếu một cách tiếp cận thống nhất để bảo mật các ranh giới hạ tầng đám mây dẫn đến những khoảng trống bảo mật đáng kể, khiến kẻ tấn công dễ dàng khai thác các kiểm soát quyền truy cập yếu và thực hiện các cuộc tấn công mạng, cho phép chúng xâm nhập và di chuyển ngang qua mạng.</p>



<p class="wp-block-paragraph">Mối đe dọa này đặc biệt nguy hiểm vì những điểm yếu này dễ bị kẻ tấn công khai thác. Kẻ thù nhắm vào những khu vực &#8220;DMZ&#8221; không được quản lý này, lợi dụng sự thiếu hụt quyền sở hữu và trách nhiệm rõ ràng. Các lỗ hổng có thể không được giải quyết, cho phép kẻ tấn công tiếp cận và di chuyển mà không bị phát hiện, dẫn đến các vụ rò rỉ dữ liệu, mất thông tin nhạy cảm và các sự cố bảo mật nghiêm trọng khác.</p>



<p class="wp-block-paragraph">Để chống lại mối đe dọa này, chúng ta phải đảm bảo có tầm nhìn tổng thể về các kiểm soát quyền truy cập mạng trong toàn tổ chức. Việc tích hợp các công cụ và quy trình cung cấp cái nhìn toàn diện về các kiểm soát quyền truy cập ở tất cả các lĩnh vực, bao gồm đám mây, trung tâm dữ liệu và điện toán biên, là rất quan trọng.</p>



<p class="wp-block-paragraph">Ngoài việc có các đội ngũ bảo mật chuyên biệt cho các khu vực được chỉ định, việc thành lập một đội ngũ chuyên trách với sự giám sát toàn cầu đối với nền tảng đám mây là cần thiết. Cách tiếp cận này giúp quản lý bề mặt tấn công hiệu quả và đảm bảo rằng các giải pháp bảo mật toàn diện được áp dụng trên toàn bộ môi trường.</p>



<p class="wp-block-paragraph">Đội ngũ này nên theo dõi và quản lý tư thế bảo mật của tổ chức từ một nền tảng trung tâm để đảm bảo các chính sách nhất quán và phản ứng nhanh chóng đối với bất kỳ lỗ hổng hoặc cấu hình sai nào được phát hiện.</p>



<h1 class="wp-block-heading"><strong>Kết luận.</strong></h1>



<p class="wp-block-paragraph">Các thách thức về bảo mật đám mây, cả mới lẫn cũ, sẽ tiếp tục xuất hiện nhưng bằng cách triển khai một chiến lược bảo mật toàn diện, tập trung vào việc quản lý quyền truy cập đúng cách và định nghĩa rõ ràng vai trò và trách nhiệm của các đội ngũ, đặc biệt là tại các điểm ranh giới quan trọng, chúng ta có thể bảo vệ tốt hơn các khối tải khỏi các vi phạm an ninh tiềm ẩn.</p>



<p class="wp-block-paragraph">Ngoài ra, việc tận dụng tự động hóa trong các quy trình này sẽ củng cố bề mặt tấn công của bạn chống lại ngay cả những mối đe dọa cấp bách nhất.</p>



<p class="wp-block-paragraph">Nguồn: <a href="http://tufin.com/blog/what-are-the-biggest-cloud-security-concerns-today">tufin.com/blog/what-are-the-biggest-cloud-security-concerns-today</a>&nbsp;</p>
]]></content:encoded>
					
					<wfw:commentRss>https://thegioifirewall.com/nhung-moi-quan-ngai-lon-nhat-ve-bao-mat-dam-may-hien-nay-la-gi/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>Hiểu tường lửa mã nguồn mở.</title>
		<link>https://thegioifirewall.com/hieu-tuong-lua-ma-nguon-mo/</link>
					<comments>https://thegioifirewall.com/hieu-tuong-lua-ma-nguon-mo/#respond</comments>
		
		<dc:creator><![CDATA[Steve]]></dc:creator>
		<pubDate>Thu, 03 Oct 2024 08:18:53 +0000</pubDate>
				<category><![CDATA[Tin tức]]></category>
		<category><![CDATA[Firewall]]></category>
		<category><![CDATA[Tường lửa mã nguồn mở]]></category>
		<guid isPermaLink="false">https://thegioifirewall.com/?p=20593</guid>

					<description><![CDATA[Các tường lửa thế hệ mới (NGFW) mã nguồn mở kết hợp các khía cạnh cơ bản của bảo mật mạng với lợi ích của phần mềm mã nguồn mở. Tường lửa mã nguồn mở có thể là một lựa chọn bảo mật mạng tiết kiệm chi phí nếu bạn có những người phù hợp [&#8230;]]]></description>
										<content:encoded><![CDATA[
<p class="wp-block-paragraph">Các tường lửa thế hệ mới (NGFW) mã nguồn mở kết hợp các khía cạnh cơ bản của bảo mật mạng với lợi ích của phần mềm mã nguồn mở.</p>



<p class="wp-block-paragraph">Tường lửa mã nguồn mở có thể là một lựa chọn bảo mật mạng tiết kiệm chi phí nếu bạn có những người phù hợp để quản lý chúng. Theo hầu hết các giấy phép mã nguồn mở, bạn có thể sử dụng, chỉnh sửa và chia sẻ phần mềm đồng thời có quyền truy cập vào mã nguồn.</p>



<p class="wp-block-paragraph">Với tính minh bạch này, bạn có thể hiểu rõ hơn về kiến trúc và hành vi của tường lửa. Tuy nhiên, điều này cũng có nghĩa là bạn cần có những người có kiến thức kỹ thuật để triển khai và quản lý tường lửa, đặc biệt là vì nhiều tường lửa mã nguồn mở thiếu các tính năng cao cấp mà tường lửa thương mại cung cấp.</p>



<p class="wp-block-paragraph">Để xác định việc dựa vào hoặc tích hợp tường lửa mã nguồn mở có phù hợp với trường hợp sử dụng của bạn hay không, bạn nên hiểu rõ chúng là gì, các chức năng mà từng loại tường lửa cung cấp, và những thách thức đi kèm với chúng.</p>



<h1 class="wp-block-heading"><strong>Các quy tắc phổ biến của tường lửa mã nguồn mở</strong></h1>



<p class="wp-block-paragraph">Việc cài đặt tường lửa mã nguồn mở không tự động đảm bảo an ninh mạng. Một số thực tiễn tốt nhất để cấu hình tường lửa mã nguồn mở bao gồm:</p>



<ul class="wp-block-list">
<li><strong><em>Chặn theo mặc định (Deny by default):</em></strong> Chặn tất cả lưu lượng truy cập đến và chuyển tiếp, chỉ cho phép lưu lượng đi ra ngoài.</li>



<li><strong><em>Cho phép các kết nối đã được thiết lập (Allow established connections):</em></strong> Cho phép các gói tin liên quan đến các phiên kết nối đang hoạt động được thông qua trong khi vẫn đảm bảo an ninh.</li>



<li><strong><em>Cho phép các dịch vụ thiết yếu (Allow essential services):</em></strong> Duy trì lưu lượng truy cập đến các ứng dụng và dịch vụ quan trọng.</li>



<li><strong><em>Triển khai bảo vệ quét cổng (Implement port scanning protection): </em></strong>Ngăn chặn các cuộc tấn công dò quét cổng để khai thác lỗ hổng bảo mật.</li>



<li><strong><em>Cho phép yêu cầu ping (Allow ping requests):</em></strong> Cho phép lưu lượng giúp quản lý và khắc phục sự cố mạng.</li>



<li><strong><em>Sử dụng VPN:</em></strong> Mã hóa lưu lượng truy cập để giảm thiểu rủi ro từ các cuộc tấn công mạng dựa trên mạng.</li>



<li><strong><em>Triển khai lọc web (Implement web filtering):</em></strong> Chặn truy cập vào các trang web liên quan đến phần mềm độc hại, lừa đảo và virus.</li>
</ul>



<h1 class="wp-block-heading"><strong>Tường lửa mã nguồn mở so với tường lửa thương mại.</strong></h1>



<p class="wp-block-paragraph">Khi lựa chọn giải pháp tường lửa, bạn có thể phải xem xét ưu và nhược điểm của tường lửa mã nguồn mở so với tường lửa thương mại. Tường lửa mã nguồn mở cung cấp các lợi ích như tính minh bạch, linh hoạt và hiệu quả về chi phí, cho phép bạn tùy chỉnh các tính năng và thích ứng với nhu cầu bảo mật thay đổi. Mặt khác, nếu bạn muốn cách tiếp cận &#8220;ít can thiệp&#8221; hơn, thì tường lửa thương mại có thể thực tế hơn vì chúng thường cung cấp hỗ trợ mạnh mẽ, giao diện thân thiện với người dùng và nhiều tính năng tích hợp sẵn.</p>



<h1 class="wp-block-heading"><strong>Ưu điểm của tường lửa mã nguồn mở</strong></h1>



<p class="wp-block-paragraph">Tường lửa mã nguồn mở cung cấp một số lợi thế như:</p>



<ul class="wp-block-list">
<li><strong><em>Hiệu quả về chi phí:</em></strong> Là giải pháp miễn phí, cho phép tổ chức phân bổ tài nguyên một cách hiệu quả.</li>



<li><strong><em>Tùy chỉnh:</em></strong> Linh hoạt cho các công ty có nhu cầu vận hành hoặc yêu cầu quy định đặc biệt.</li>



<li><strong><em>Minh bạch: </em></strong>Mã nguồn có sẵn để xác định lỗ hổng bảo mật và kiểm tra tính toàn vẹn.</li>
</ul>



<p class="wp-block-paragraph"><strong>Nhược điểm của tường lửa mã nguồn mở</strong></p>



<p class="wp-block-paragraph">Dù có những lợi ích, tường lửa mã nguồn mở cũng có những hạn chế. Bạn cần lưu ý rằng chúng đòi hỏi:</p>



<ul class="wp-block-list">
<li><strong><em>Chuyên môn kỹ thuật: </em></strong>Cần có kiến thức về mạng và giao thức bảo mật để cài đặt và bảo trì.</li>



<li><strong><em>Chức năng hạn chế:</em></strong> Ít tính năng bảo mật nâng cao, hạn chế khả năng bảo vệ.</li>



<li><strong><em>Giao diện người dùng: </em></strong>Thiếu bảng điều khiển trung tâm để quản lý triển khai.</li>



<li><strong><em>Không có phát triển được tài trợ:</em></strong> Không có đội ngũ phát triển tài trợ để nâng cấp và cải thiện khả năng của tường lửa mã nguồn mở.</li>
</ul>



<h1 class="wp-block-heading"><strong>Tối ưu hóa các quy tắc</strong></h1>



<p class="wp-block-paragraph">Khi môi trường của bạn mở rộng, số lượng tường lửa bạn triển khai cũng tăng theo. Bạn có thể có sự kết hợp giữa tường lửa mã nguồn mở và tường lửa thương mại, điều này khiến việc quản lý trở nên thách thức hơn. Bạn cần đảm bảo tối ưu hóa các tập quy tắc của mình để đảm bảo:</p>



<ul class="wp-block-list">
<li>Các quy tắc chặn lưu lượng được đặt ở đầu danh sách quy tắc.</li>



<li>Các quy tắc cụ thể cấp quyền truy cập nằm gần đầu danh sách quy tắc.</li>



<li>Các quy tắc có tần suất sử dụng cao được ưu tiên.</li>



<li>Các quy tắc ít được sử dụng được loại bỏ khi cần thiết.</li>
</ul>



<h1 class="wp-block-heading"><strong>Liên tục giám sát và điều chỉnh.</strong></h1>



<p class="wp-block-paragraph">Cho dù bạn đang thêm người dùng và ứng dụng mới hay gỡ bỏ chúng, bạn cần liên tục xem xét và điều chỉnh cấu hình tường lửa của mình. Như một phần của quy trình quản lý thay đổi, bạn nên:</p>



<ul class="wp-block-list">
<li>Hiểu lưu lượng dữ liệu trên mạng nội bộ của bạn.</li>



<li>Xem xét khả năng kết nối với internet công cộng.</li>



<li>Xác định các rủi ro mà các thay đổi có thể gây ra.</li>



<li>Tài liệu hóa quy trình phân tích rủi ro và bất kỳ phê duyệt nào cần thiết.</li>
</ul>



<p class="wp-block-paragraph">Nguồn: <a href="https://www.tufin.com/blog/understanding-open-source-firewalls">https://www.tufin.com/blog/understanding-open-source-firewalls</a>&nbsp;</p>
]]></content:encoded>
					
					<wfw:commentRss>https://thegioifirewall.com/hieu-tuong-lua-ma-nguon-mo/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>Tại sao Quản lý Chính sách An ninh Mạng lại Quan trọng cho Doanh Nghiệp của Bạn.</title>
		<link>https://thegioifirewall.com/tai-sao-quan-ly-chinh-sach-an-ninh-mang-lai-quan-trong-cho-doanh-nghiep-cua-ban/</link>
					<comments>https://thegioifirewall.com/tai-sao-quan-ly-chinh-sach-an-ninh-mang-lai-quan-trong-cho-doanh-nghiep-cua-ban/#respond</comments>
		
		<dc:creator><![CDATA[Steve]]></dc:creator>
		<pubDate>Wed, 02 Oct 2024 09:03:53 +0000</pubDate>
				<category><![CDATA[Tin tức]]></category>
		<category><![CDATA[an ninh mạng]]></category>
		<guid isPermaLink="false">https://thegioifirewall.com/?p=20589</guid>

					<description><![CDATA[Hầu hết các tổ chức vẫn thiếu một chính sách an ninh mạng toàn cầu và toàn diện quy định cách thức mà mọi người có thể truy cập tài nguyên và dữ liệu trên mạng lưới hybrid của họ. Nghiên cứu gần đây đã chỉ ra rằng việc chuyển sang đám mây không cung [&#8230;]]]></description>
										<content:encoded><![CDATA[
<p class="wp-block-paragraph">Hầu hết các tổ chức vẫn thiếu một chính sách an ninh mạng toàn cầu và toàn diện quy định cách thức mà mọi người có thể truy cập tài nguyên và dữ liệu trên mạng lưới hybrid của họ. Nghiên cứu gần đây đã chỉ ra rằng việc chuyển sang đám mây không cung cấp mức bảo vệ an ninh tốt hơn đáng kể so với các mạng on-premises.</p>



<p class="wp-block-paragraph">Một nghiên cứu năm 2023 của Vanson Bourne cho thấy, trong số các tổ chức được khảo sát, 47% tất cả các vụ vi phạm dữ liệu trong năm qua xuất phát từ đám mây. Nghiên cứu cũng cho thấy 46% không có cái nhìn đầy đủ về kết nối của các dịch vụ đám mây trong tổ chức của họ, và chỉ có 24% rất tự tin rằng họ có thể ngăn chặn những kẻ tấn công di chuyển bên trong mạng của họ.</p>



<p class="wp-block-paragraph">Để có được cái nhìn đó, nhiều tổ chức đang sử dụng quản lý chính sách an ninh mạng (NSPM), giúp các quản trị viên mạng có cái nhìn tổng quan về toàn bộ mạng lưới hybrid của họ và cho phép họ tổ chức và cập nhật các chính sách an ninh mạng và các biện pháp kiểm soát an ninh của mình.</p>



<h1 class="wp-block-heading"><strong>Thay thế bộ điều khiển dự phòng mới để khôi phục chức năng dư thừa.</strong></h1>



<p class="wp-block-paragraph">NSPM không chỉ là một yếu tố &#8220;tốt để có&#8221; mà là một thành phần cần thiết để bảo vệ chống lại các mối đe dọa an ninh. Quản lý chính sách an ninh mạng rất quan trọng đối với tổ chức của bạn vì nó tăng cường hiệu quả quản lý an ninh mạng, cải thiện quản lý rủi ro, cho phép bạn tinh giản các chính sách an ninh và nâng cao khả năng đáp ứng các yêu cầu báo cáo tuân thủ.</p>



<p class="wp-block-paragraph">Hầu hết các doanh nghiệp có mạng lưới phức tạp, phân mảnh với nhiều giải pháp an ninh khác nhau, tạo ra các bề mặt tấn công lớn cho malware và các cuộc tấn công mạng.</p>



<p class="wp-block-paragraph">Các công cụ quản lý an ninh mạng có thể giúp các quản trị viên có được cái nhìn mà họ cần để quản lý hiệu quả kết nối, điểm cuối, tường lửa và các quy tắc tường lửa tạo thành mạng của họ. NSPM giúp giảm độ phức tạp trong quản lý chính sách, từ đó giảm thiểu thiệt hại về doanh thu và tài nguyên.</p>



<p class="wp-block-paragraph">Nếu không có NSPM, các tổ chức sẽ phải đối mặt với một loạt các thiếu sót trong quản lý an ninh mạng và an ninh mạng nói chung:</p>



<ul class="wp-block-list">
<li>Thiếu chính sách an ninh mạng được tài liệu hóa, hợp lý và toàn diện</li>



<li>Không tuân thủ các quy định trong ngành</li>



<li>Khả năng cao hơn về việc thất bại trong kiểm toán và các vụ vi phạm</li>



<li>Khó khăn trong việc quản lý lỗ hổng trên mạng với nguồn lực hạn chế</li>



<li>Thiếu cái nhìn về cấu trúc mạng của bạn</li>



<li>Quản lý cấu hình chậm hơn và tốn thời gian hơn</li>



<li>Không có xác minh về các thay đổi trong mạng</li>
</ul>



<p class="wp-block-paragraph">NSPM cho phép đội ngũ quản lý mạng của bạn tránh một loạt các kết quả tiêu cực, bao gồm:</p>



<ul class="wp-block-list">
<li>Sử dụng các quy trình thủ công rủi ro và không tuân thủ chính sách của công ty hoặc quy định trong ngành, có thể làm gián đoạn các ứng dụng kinh doanh quan trọng và dẫn đến các khoản phạt kiểm toán và phải làm lại.</li>



<li>Thiếu khả năng phát hiện và đánh giá tư thế an ninh của mạng do độ phức tạp hoặc quyền sở hữu quy trình.</li>



<li>Thiếu khả năng nhìn thấy truy cập mạng, cũng như khả năng khắc phục sự cố và tuân thủ chính sách trong các môi trường dựa trên đám mây.</li>



<li>Các đội ngũ mạng và an ninh gặp khó khăn trong việc cải thiện tính linh hoạt và giảm rủi ro mà không làm tăng chi phí.</li>



<li>Một loạt các yêu cầu thay đổi chính sách được tài liệu hóa kém cần phải trải qua các đánh giá rủi ro hàng ngày.</li>



<li>Đám mây được quản lý trong một silo mà không có khả năng nhìn thấy và chính sách an ninh được xác định.</li>
</ul>



<h1 class="wp-block-heading"><strong>&nbsp;Lợi ích của Quản lý Chính sách An ninh Mạng.</strong></h1>



<p class="wp-block-paragraph">Với NSPM, bạn có thể tối ưu hóa tư thế an ninh của mình thông qua phân tích rủi ro tự động theo thời gian thực và quản lý vòng đời quy tắc. NSPM hỗ trợ việc dọn dẹp tự động các quy tắc rủi ro và không sử dụng, giảm thiểu các vectơ tấn công.</p>



<p class="wp-block-paragraph">Với NSPM, các lỗ hổng mạng được ưu tiên và giảm thiểu dựa trên mức độ phơi bày và ảnh hưởng của chúng. Tương tự, việc tự động hóa các thay đổi mạng và giám sát kết nối ứng dụng dẫn đến ít sự cố hơn và thời gian giải quyết trung bình thấp hơn. Những thay đổi này cũng có thể được thực hiện trong vài phút thay vì vài ngày.</p>



<p class="wp-block-paragraph">Những hiệu quả này có nghĩa là bạn sẽ tốn ít thời gian hơn để làm lại các công việc liên quan đến thay đổi mạng, và các đội ngũ có kỹ năng cao của bạn có thể tập trung vào các hoạt động có giá trị cao hơn. Có nhiều kết quả tích cực khác mà NSPM mang lại:</p>



<ul class="wp-block-list">
<li>Ít cuộc kiểm toán thất bại hơn, tiết kiệm thời gian và tài nguyên cần thiết cho các cuộc kiểm toán lại và tránh các khoản phạt tốn kém.</li>



<li>Tăng thời gian hoạt động của doanh nghiệp và giảm thời gian khắc phục sự cố và phục hồi sự cố.</li>



<li>An ninh không còn là yếu tố cản trở trong việc triển khai ứng dụng, thúc đẩy chuyển đổi số.</li>
</ul>



<h1 class="wp-block-heading"><strong>Rủi ro khi không có Quản lý Chính sách An ninh Mạng</strong></h1>



<p class="wp-block-paragraph">Thiếu NSPM có thể làm tăng bề mặt tấn công của bạn và dẫn đến việc lộ dữ liệu nhạy cảm, gây ra tổn thất về danh tiếng và các khoản phạt. Việc không tuân thủ các quy định trong ngành có thể dẫn đến thất bại trong kiểm toán và tăng cường giám sát hoặc hình phạt theo quy định.</p>



<p class="wp-block-paragraph">Quản lý an ninh mạng kém có thể dẫn đến việc không thể mở rộng tổ chức của bạn và áp dụng các công nghệ mới một cách an toàn, cũng như gây ra sự chậm trễ trong việc thay đổi các ứng dụng sinh doanh thu cần thiết.</p>



<p class="wp-block-paragraph">Các cấu hình sai có thể làm tăng thời gian ngừng hoạt động của các ứng dụng quan trọng, dẫn đến mất doanh thu và làm xấu đi danh tiếng của bạn với khách hàng. Các vụ vi phạm có thể tốn hàng triệu đô la (báo cáo của Vanson Bourne cho biết trung bình tổ chức mất gần 4,1 triệu đô la do các vụ vi phạm đám mây chỉ trong năm qua).</p>



<p class="wp-block-paragraph">Tất cả những hậu quả này có thể dẫn đến giảm năng suất và morale trong lực lượng lao động của bạn.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://thegioifirewall.com/tai-sao-quan-ly-chinh-sach-an-ninh-mang-lai-quan-trong-cho-doanh-nghiep-cua-ban/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>Nơi nào có Ransomware, nơi đó có sự xâm phạm tài khoản dịch vụ</title>
		<link>https://thegioifirewall.com/noi-nao-co-ransomware-noi-do-co-su-xam-pham-tai-khoan-dich-vu/</link>
					<comments>https://thegioifirewall.com/noi-nao-co-ransomware-noi-do-co-su-xam-pham-tai-khoan-dich-vu/#respond</comments>
		
		<dc:creator><![CDATA[admin]]></dc:creator>
		<pubDate>Tue, 24 Sep 2024 09:17:47 +0000</pubDate>
				<category><![CDATA[Tin tức]]></category>
		<category><![CDATA[Ransomware]]></category>
		<guid isPermaLink="false">https://thegioifirewall.com/?p=20434</guid>

					<description><![CDATA[Cho đến vài năm trước, chỉ có một số ít chuyên gia quản lý danh tính và quyền truy cập (IAM) biết đến tài khoản dịch vụ. Tuy nhiên, trong những năm gần đây, các tài khoản Non-Human Identities (NHI) này đã trở thành mục tiêu tấn công phổ biến và bị xâm nhập. Các [&#8230;]]]></description>
										<content:encoded><![CDATA[
<figure class="wp-block-image size-full"><img loading="lazy" decoding="async" width="910" height="473" src="https://thegioifirewall.com/wp-content/uploads/2024/09/noi-nao-co-ransomware-noi-do-co-su-xam-pham-tai-khoan-dich-vu.png" alt="" class="wp-image-20436" srcset="https://thegioifirewall.com/wp-content/uploads/2024/09/noi-nao-co-ransomware-noi-do-co-su-xam-pham-tai-khoan-dich-vu.png 910w, https://thegioifirewall.com/wp-content/uploads/2024/09/noi-nao-co-ransomware-noi-do-co-su-xam-pham-tai-khoan-dich-vu-300x156.png 300w, https://thegioifirewall.com/wp-content/uploads/2024/09/noi-nao-co-ransomware-noi-do-co-su-xam-pham-tai-khoan-dich-vu-768x399.png 768w" sizes="auto, (max-width: 910px) 100vw, 910px" /></figure>



<p class="wp-block-paragraph">Cho đến vài năm trước, chỉ có một số ít chuyên gia quản lý danh tính và quyền truy cập (IAM) biết đến tài khoản dịch vụ. Tuy nhiên, trong những năm gần đây, các tài khoản Non-Human Identities (NHI) này đã trở thành mục tiêu tấn công phổ biến và bị xâm nhập. Các báo cáo đánh giá cho thấy, hơn 70% các cuộc tấn công ransomware liên quan đến sự xâm phạm tài khoản dịch vụ, đóng vai trò quan trọng trong việc di chuyển ngang trên hệ thống. Mặc dù vậy, có một sự chênh lệch đáng lo ngại giữa mức độ phơi nhiễm và tác động tiềm ẩn của việc xâm phạm tài khoản dịch vụ, và các biện pháp bảo mật sẵn có để giảm thiểu rủi ro này.</p>



<p class="wp-block-paragraph">Bài viết này khám phá lý do tại sao tài khoản dịch vụ lại trở thành mục tiêu hấp dẫn, tại sao chúng lại vượt ra ngoài phạm vi kiểm soát của hầu hết các biện pháp bảo mật, và cách tiếp cận mới về bảo mật danh tính hợp nhất có thể ngăn chặn việc tài khoản dịch vụ bị xâm phạm và lạm dụng.</p>



<p class="wp-block-paragraph">Trong môi trường Active Directory (AD), tài khoản dịch vụ là tài khoản người dùng không liên quan đến con người mà được dùng để giao tiếp giữa các máy móc. Chúng được tạo ra bởi quản trị viên để tự động hóa các tác vụ lặp lại hoặc khi cài đặt phần mềm tại chỗ. Ví dụ, nếu bạn có một hệ thống EDR, tài khoản dịch vụ sẽ chịu trách nhiệm tải các bản cập nhật về cho các máy chủ và điểm cuối.</p>



<p class="wp-block-paragraph">Các tài khoản dịch vụ thường là mục tiêu của kẻ tấn công vì chúng có quyền truy cập cao vào nhiều máy khác nhau, nhưng lại ít được chú ý và thường không được áp dụng các biện pháp bảo mật như xác thực hai yếu tố (MFA) hay quản lý tài khoản đặc quyền (PAM). Điều này khiến chúng trở nên dễ bị lợi dụng để thực hiện các cuộc tấn công như ransomware.</p>



<p class="wp-block-paragraph">Nền tảng bảo mật danh tính của Silverfort cung cấp một giải pháp mới để bảo vệ tài khoản dịch vụ bằng cách phát hiện, phân tích hành vi và tạo các biện pháp phòng ngừa tự động dựa trên hành vi chuẩn của tài khoản. Qua đó, giúp ngăn chặn kẻ tấn công lợi dụng các tài khoản dịch vụ để thực hiện các hành vi độc hại.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://thegioifirewall.com/noi-nao-co-ransomware-noi-do-co-su-xam-pham-tai-khoan-dich-vu/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>Chiến dịch Cryptojacking mới của TeamTNT nhắm vào máy chủ CentOS với Rootkit</title>
		<link>https://thegioifirewall.com/chien-dich-cryptojacking-moi-cua-teamtnt-nham-vao-may-chu-centos-voi-rootkit/</link>
					<comments>https://thegioifirewall.com/chien-dich-cryptojacking-moi-cua-teamtnt-nham-vao-may-chu-centos-voi-rootkit/#respond</comments>
		
		<dc:creator><![CDATA[admin]]></dc:creator>
		<pubDate>Mon, 23 Sep 2024 08:31:03 +0000</pubDate>
				<category><![CDATA[Tin tức]]></category>
		<category><![CDATA[Secure Shell]]></category>
		<category><![CDATA[Virtual Private Server]]></category>
		<guid isPermaLink="false">https://thegioifirewall.com/?p=20429</guid>

					<description><![CDATA[Chiến dịch cryptojacking mang tên TeamTNT dường như đã tái xuất, với mục tiêu nhắm vào các hệ thống Virtual Private Server (VPS) chạy trên hệ điều hành CentOS. Theo báo cáo của các nhà nghiên cứu từ Group-IB, Vito Alfano và Nam Le Phuong, cuộc tấn công bắt đầu bằng cách brute force tấn [&#8230;]]]></description>
										<content:encoded><![CDATA[
<figure class="wp-block-image size-large"><img loading="lazy" decoding="async" width="1024" height="576" src="https://thegioifirewall.com/wp-content/uploads/2024/09/chien-dich-cryptojacking-moi-cua-teamtnt-nham-vao-may-chu-centos-voi-rootkit-1024x576.png" alt="" class="wp-image-20431" srcset="https://thegioifirewall.com/wp-content/uploads/2024/09/chien-dich-cryptojacking-moi-cua-teamtnt-nham-vao-may-chu-centos-voi-rootkit-1024x576.png 1024w, https://thegioifirewall.com/wp-content/uploads/2024/09/chien-dich-cryptojacking-moi-cua-teamtnt-nham-vao-may-chu-centos-voi-rootkit-300x169.png 300w, https://thegioifirewall.com/wp-content/uploads/2024/09/chien-dich-cryptojacking-moi-cua-teamtnt-nham-vao-may-chu-centos-voi-rootkit-768x432.png 768w, https://thegioifirewall.com/wp-content/uploads/2024/09/chien-dich-cryptojacking-moi-cua-teamtnt-nham-vao-may-chu-centos-voi-rootkit-800x450.png 800w, https://thegioifirewall.com/wp-content/uploads/2024/09/chien-dich-cryptojacking-moi-cua-teamtnt-nham-vao-may-chu-centos-voi-rootkit.png 1280w" sizes="auto, (max-width: 1024px) 100vw, 1024px" /></figure>



<p class="wp-block-paragraph">Chiến dịch cryptojacking mang tên TeamTNT dường như đã tái xuất, với mục tiêu nhắm vào các hệ thống Virtual Private Server (VPS) chạy trên hệ điều hành CentOS.</p>



<p class="wp-block-paragraph">Theo báo cáo của các nhà nghiên cứu từ Group-IB, Vito Alfano và Nam Le Phuong, cuộc tấn công bắt đầu bằng cách brute force tấn công dịch vụ Secure Shell (SSH) trên tài sản của nạn nhân, từ đó kẻ tấn công tải lên một tập lệnh độc hại.</p>



<p class="wp-block-paragraph">Tập lệnh này có nhiệm vụ vô hiệu hóa các tính năng bảo mật, xóa nhật ký, kết thúc các quy trình khai thác tiền điện tử và ngăn chặn các nỗ lực phục hồi. Chuỗi tấn công này cuối cùng giúp triển khai rootkit Diamorphine để ẩn các quy trình độc hại, đồng thời thiết lập quyền truy cập từ xa vĩnh viễn vào hệ thống bị xâm nhập.</p>



<p class="wp-block-paragraph">Chiến dịch này được cho là có liên quan đến TeamTNT với mức độ tin cậy trung bình, do những điểm tương đồng trong chiến thuật, kỹ thuật và quy trình (TTPs) đã quan sát được.</p>



<p class="wp-block-paragraph">TeamTNT lần đầu tiên bị phát hiện vào năm 2019, tiến hành các hoạt động khai thác tiền điện tử trái phép bằng cách xâm nhập vào các môi trường đám mây và container. Mặc dù nhóm này đã tuyên bố &#8220;giải nghệ&#8221; vào tháng 11 năm 2021, nhưng các báo cáo công khai đã phát hiện nhiều chiến dịch mới từ tháng 9 năm 2022.</p>



<p class="wp-block-paragraph">Hoạt động mới nhất liên quan đến nhóm này xuất hiện dưới dạng một tập lệnh shell, kiểm tra xem hệ thống có bị nhiễm các chiến dịch cryptojacking khác hay không, sau đó vô hiệu hóa bảo mật thiết bị bằng cách tắt SELinux, AppArmor và tường lửa.</p>



<p class="wp-block-paragraph">Tập lệnh cũng tìm kiếm daemon liên quan đến nhà cung cấp đám mây Alibaba có tên aliyun.service và nếu phát hiện, nó tải một tập lệnh từ update.aegis.aliyun.com để gỡ cài đặt dịch vụ này.</p>



<p class="wp-block-paragraph">Ngoài việc tiêu diệt các quy trình khai thác tiền điện tử khác, tập lệnh thực thi một loạt lệnh để xóa dấu vết của các quy trình container và các hình ảnh liên quan đến việc khai thác tiền điện tử.</p>



<figure class="wp-block-image size-full"><img loading="lazy" decoding="async" width="898" height="541" src="https://thegioifirewall.com/wp-content/uploads/2024/09/chien-dich-cryptojacking-moi-cua-teamtnt-nham-vao-may-chu-centos-voi-rootkit-1.png" alt="" class="wp-image-20432" srcset="https://thegioifirewall.com/wp-content/uploads/2024/09/chien-dich-cryptojacking-moi-cua-teamtnt-nham-vao-may-chu-centos-voi-rootkit-1.png 898w, https://thegioifirewall.com/wp-content/uploads/2024/09/chien-dich-cryptojacking-moi-cua-teamtnt-nham-vao-may-chu-centos-voi-rootkit-1-300x181.png 300w, https://thegioifirewall.com/wp-content/uploads/2024/09/chien-dich-cryptojacking-moi-cua-teamtnt-nham-vao-may-chu-centos-voi-rootkit-1-768x463.png 768w" sizes="auto, (max-width: 898px) 100vw, 898px" /></figure>



<p class="wp-block-paragraph">Hơn nữa, nó thiết lập tính liên tục bằng cách cấu hình cron job để tải tập lệnh về mỗi 30 phút từ máy chủ từ xa và sửa đổi file /root/.ssh/authorized_keys để thêm tài khoản backdoor.</p>



<p class="wp-block-paragraph">Các nhà nghiên cứu cũng lưu ý rằng kẻ tấn công đã thực hiện nhiều thay đổi trong cấu hình dịch vụ SSH và tường lửa, đồng thời tạo người dùng backdoor với quyền root và xóa lịch sử lệnh để che giấu hoạt động của mình.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://thegioifirewall.com/chien-dich-cryptojacking-moi-cua-teamtnt-nham-vao-may-chu-centos-voi-rootkit/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>Tin tặc tận dụng mật khẩu mặc định trong phần mềm Foundation để xâm nhập các công ty xây dựng</title>
		<link>https://thegioifirewall.com/tin-tac-tan-dung-mat-khau-mac-dinh-trong-phan-mem-foundation-de-xam-nhap-cac-cong-ty-xay-dung/</link>
					<comments>https://thegioifirewall.com/tin-tac-tan-dung-mat-khau-mac-dinh-trong-phan-mem-foundation-de-xam-nhap-cac-cong-ty-xay-dung/#respond</comments>
		
		<dc:creator><![CDATA[admin]]></dc:creator>
		<pubDate>Fri, 20 Sep 2024 09:46:51 +0000</pubDate>
				<category><![CDATA[Tin tức]]></category>
		<category><![CDATA[an ninh mạng]]></category>
		<category><![CDATA[FOUNDATION]]></category>
		<category><![CDATA[Microsoft SQL]]></category>
		<guid isPermaLink="false">https://thegioifirewall.com/?p=20421</guid>

					<description><![CDATA[Theo phát hiện mới từ công ty an ninh mạng Huntress, các tác nhân đe dọa đã nhắm vào ngành xây dựng bằng cách xâm nhập vào phần mềm kế toán FOUNDATION. Huntress cho biết, kẻ tấn công đã thực hiện tấn công brute-force quy mô lớn vào phần mềm và dễ dàng truy cập [&#8230;]]]></description>
										<content:encoded><![CDATA[
<figure class="wp-block-image size-full"><img loading="lazy" decoding="async" width="909" height="472" src="https://thegioifirewall.com/wp-content/uploads/2024/09/tin-tac-tan-dung-mat-khau-mac-dinh-trong-phan-mem-foundation.png" alt="" class="wp-image-20423" srcset="https://thegioifirewall.com/wp-content/uploads/2024/09/tin-tac-tan-dung-mat-khau-mac-dinh-trong-phan-mem-foundation.png 909w, https://thegioifirewall.com/wp-content/uploads/2024/09/tin-tac-tan-dung-mat-khau-mac-dinh-trong-phan-mem-foundation-300x156.png 300w, https://thegioifirewall.com/wp-content/uploads/2024/09/tin-tac-tan-dung-mat-khau-mac-dinh-trong-phan-mem-foundation-768x399.png 768w" sizes="auto, (max-width: 909px) 100vw, 909px" /></figure>



<p class="wp-block-paragraph">Theo phát hiện mới từ công ty an ninh mạng Huntress, các tác nhân đe dọa đã nhắm vào ngành xây dựng bằng cách xâm nhập vào phần mềm kế toán FOUNDATION.</p>



<p class="wp-block-paragraph">Huntress cho biết, kẻ tấn công đã thực hiện tấn công brute-force quy mô lớn vào phần mềm và dễ dàng truy cập bằng cách sử dụng thông tin đăng nhập mặc định của sản phẩm. Các mục tiêu của mối đe dọa này bao gồm các lĩnh vực phụ như hệ thống ống nước, HVAC (hệ thống sưởi, thông gió và điều hòa không khí), bê tông và các ngành liên quan khác.</p>



<p class="wp-block-paragraph">Phần mềm FOUNDATION sử dụng Microsoft SQL (MS SQL) Server để quản lý cơ sở dữ liệu và trong một số trường hợp, cổng TCP 4243 được mở để truy cập trực tiếp vào cơ sở dữ liệu qua ứng dụng di động. Theo Huntress, máy chủ này bao gồm hai tài khoản có quyền cao, bao gồm tài khoản quản trị hệ thống mặc định &#8220;sa&#8221; và tài khoản &#8220;dba&#8221; do FOUNDATION tạo ra, thường được để lại với mật khẩu mặc định không đổi.</p>



<p class="wp-block-paragraph">Kẻ tấn công có thể sử dụng cách brute-force để xâm nhập máy chủ và khai thác tùy chọn cấu hình xp_cmdshell nhằm thực thi các lệnh hệ điều hành tùy ý.</p>



<p class="wp-block-paragraph">Dấu hiệu đầu tiên của hoạt động này được phát hiện vào ngày 14 tháng 9 năm 2024, khi khoảng 35.000 lần thử đăng nhập brute-force vào một máy chủ MS SQL đã được ghi nhận trước khi kẻ tấn công thành công truy cập.</p>



<p class="wp-block-paragraph">Trong số 500 máy chủ chạy phần mềm FOUNDATION được bảo vệ bởi Huntress, có 33 máy chủ được phát hiện là công khai truy cập với thông tin đăng nhập mặc định. Để giảm thiểu rủi ro, Huntress khuyến nghị nên xoay vòng mật khẩu của các tài khoản mặc định, ngừng công khai ứng dụng trên internet nếu có thể và vô hiệu hóa tùy chọn xp_cmdshell khi cần thiết.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://thegioifirewall.com/tin-tac-tan-dung-mat-khau-mac-dinh-trong-phan-mem-foundation-de-xam-nhap-cac-cong-ty-xay-dung/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
	</channel>
</rss>
