VNIS Origin Shield loại bỏ lỗ hổng Spring4Shell hiệu quả

Spring4shell là lỗ hổng bảo mật thuộc sở hữu của ứng dụng mã nguồn mở Spring Framework (được dùng để cung cấp, hỗ trợ cơ sở hạ tầng để phát triển các tầng ứng dụng hoặc website dựa trên nền tảng Java).

Lỗ hổng này được đánh giá mức độ cực kỳ nghiêm trọng là 9.8/10 dựa theo hệ thống chấm điểm lỗ hổng bảo mật CVSS (Common Vulnerability Scoring System), được công bố vào ngày 29/03/2022 theo một bài báo trên Twitter (đã bị xóa) bởi một nhóm chuyên gia an ninh đến từ Trung Quốc.

Vì Spring Framework thường xuyên được các lập trình viên sử dụng chung với phần mềm Java nhằm cấu tạo ra tầng ứng dụng cũng như website cho các doanh nghiệp. Do đó, dựa vào lỗ hổng Spring4shell các tin tặc sẽ dễ dàng khai thác nhằm mục đích truy cập trái phép vào tất cả dữ liệu quan trọng của website doanh nghiệp và có quyền kiểm soát tất cả các tài nguyên website doanh nghiệp.

Theo báo cáo của Upgard, các chuyên gia bảo mật an ninh mạng cho rằng ảnh hưởng đến lỗ hổng Spring4shell sẽ ngang bằng với các rủi ro mà các lỗ hổng như Log4j, Heartbleed và Shellshock đem lại.

Dựa theo báo cáo của CheckPoint, đây là bảng báo cáo của các doanh nghiệp đã bị ảnh hưởng bởi Spring4shell đến từ nhiều quốc gia trên thế giới.

Và đây là thống kê của CheckPoint về các ngành nghề bị ảnh hưởng bởi lỗ hổng Spring4Shell, ngành bị ảnh hưởng nặng nhất là nhà cung cấp phần mềm với thiệt hại lên đến 28%.

Đầu tiên, các kẻ tấn công sẽ đưa ra các yêu cầu theo trình tự để đặt các thuộc tính theo trình ghi nhật ký của Tomcat.

Giai đoạn 1.

Mục đích các tin tặc gửi các yêu cầu này là để tạo một file JSP (JavaServer Pages), cho phép các tin tặc vượt qua các thuộc tính bằng cách sử dụng các tham số truy vấn để xác định các vị trí mà chúng có thể ghi giá trị và thực thi mã.

Giai đoạn 2.

Sau khi các tin tặc đã tạo thành công file JSP, chúng sẽ thực hiện yêu cầu (curl) để chạy lệnh shell từ xa với các tham số đã được đặt sẵn. Ví dụ

curl http://localhost:8080/shell.jsp?cmd=whoami

Cụ thể hơn, tệp JSP sẽ được ghi vào webapps/ROOT/ và nó sẽ chứa trọng tải từ bộ thuộc tính mẫu Tomcat ở trên. Tệp này sẽ được sử dụng để kết nối, truy cập vào máy chủ, tham số truy vấn cmd và có thể được sử dụng để nhập bất kỳ lệnh Linux nào. Ví dụ “whoami”

Một khi tin tặc đã thành công thâm nhập được vào máy chủ, các tin tặc sẽ tự do làm được mọi thứ bằng cách dùng tham số cmd.

VNIS là nền tảng cung cấp các giải pháp bảo mật hiệu quả khi nhắc tới các lỗ hổng gây thiệt hại cho website doanh nghiệp như top 10 OWASP. Thêm vào đó, các công nghệ hiện đại của VNIS sẽ đảm bảo website của doanh nghiệp hoạt động ổn định ngay cả khi đang bị tấn công.

Tường lửa bảo vệ máy chủ gốc kết hợp với bộ quản lý CRS (Core Rule Set)

Tường lửa bảo vệ máy chủ gốc được tích hợp hơn 2,000 bộ quy tắc bảo mật kết hợp với khả năng quản lý CRS. Điều này cho phép VNIS có thể lọc các biến yêu cầu như tham số theo yêu cầu, URL và nội dung yêu cầu. Như vậy, bất kỳ biến nào (theo yêu cầu) có chứa cú pháp tấn công: “class.module.classLoader”, thì sẽ bị ngăn chặn và VNIS sẽ lưu yêu cầu đó là một mối đe dọa tới máy chủ gốc.

Ngoài ra, VNIS sỡ hữu tường lửa dựa trên nền tảng đám mây (Cloud WAF - Web Application Firewall) giúp cho doanh nghiệp chống lại các cuộc tấn công nhắm vào tầng ứng dụng (Layer 7). Cùng với hệ thống tường lửa web được đặt tại nhiều quốc gia, VNIS có thể phát hiện và tự động ngăn chặn tất cả các lỗ hổng bảo mật nghiêm trọng được liệt kê bởi OWASP (top 10 OWASP như Broken Access Control, SQL Injection, Cryptographic Failures,... đảm bảo website doanh nghiệp luôn được bảo vệ.

Công nghệ truyền tải nội dung (CDN - Content Delivery Network)

Bên cạnh cung cấp hệ thống tường lửa dựa trên đám mây hiện đại, VNIS cũng là dịch vụ đáp ứng toàn diện về hiệu suất truyền tải website cho các doanh nghiệp tại Việt Nam và cả Nước ngoài. Với hệ thống Multi CDN có mặt tại nhiều quốc gia, VNIS có khả năng giúp doanh nghiệp nâng cấp và bổ sung các CDN vào hệ thống Multi CDN mạnh mẽ với hơn 2,300 PoPs trên toàn thế giới. Điều này cho phép VNIS có thể hỗ trợ website doanh nghiệp chịu tải được 6 tỷ lương truy cập cùng 1 lúc bằng lượng băng thông CDN lên đến 2,600 Tbps. Đảm bảo cho website của các doanh nghiệp có thể hoạt động tốt khi bị tấn công vào tầng mạng (Layer 3) và tầng giao vận (Layer 4). Ngoài ra, Multi CDN của VNIS được tích hợp thêm hệ thống giám sát người dùng thực RUM (Real User Monitoring) và cân bằng tải thông minh AI (AI Loadbalancing). Giúp cho website của doanh nghiệp kiểm soát được các truy cập độc hại và đảm bảo hoạt động khi bị tấn công.

Trung tâm điều hành an ninh mạng SOC (Security Operation Center)

VNIS sở hữu hệ thống giám sát kết hợp cùng đội ngũ chuyên bảo mật an ninh mạng nhiều năm kinh nghiệm sẽ đảm bảo doanh nghiệp luôn được hỗ trợ 24/7. Ngoài ra, hệ thống sẽ giám sát, phân tích và thông báo các cuộc tấn công cho đội ngũ bảo mật từ đó sẽ các cuộc tấn công sẽ được ngăn chặn kịp thời, đảm bảo trải nghiệm tốt nhất cho người dùng.

Để được trải nghiệm cũng như tìm hiểu thêm thông tin dịch vụ bảo mật website, các doanh nghiệp có thể để lại thông tin liên hệ bên dưới hoặc gọi vào hotline: (028) 7306 8789 của chúng tôi.