Hacker tấn công máy chủ VPN, người dùng có nguy cơ nhiễm mã độc

Cảm giác an toàn mà VPN mang lại có thể không hoàn hảo như nhiều người lầm tưởng. Các chuyên gia an ninh mạng đang cảnh báo về xu hướng tin tặc tấn công máy chủ VPN bị xâm nhập để đánh cắp thông tin nhạy cảm từ người dùng.

Xu hướng đáng báo động này cho thấy những lỗ hổng tiềm ẩn trong các ứng dụng VPN phổ biến. Đầu năm nay, các nhà nghiên cứu tại AmberWolf đã phát hiện ra rằng tội phạm mạng đang nhắm mục tiêu vào các ứng dụng VPN phổ biến như SonicWall NetExtender và Palo Alto Networks GlobalProtect.

Bẫy “VPN giả mạo”

Bằng cách sử dụng kỹ thuật phishing và social engineering (tấn công phi kỹ thuật), kẻ tấn công đã lừa người dùng kết nối với máy chủ VPN giả mạo do chúng kiểm soát. Các trang web độc hại và tài liệu được ngụy trang tinh vi đóng vai trò làm mồi nhử, khiến nạn nhân thiết lập kết nối và cuối cùng làm tổn hại hệ thống của họ.

Khi đã kết nối, người dùng vô tình trao quyền truy cập vào ứng dụng VPN của họ, cho phép kẻ tấn công mạo danh máy chủ đáng tin cậy. Điều này mở ra cánh cửa cho một loạt các hoạt động độc hại, bao gồm đánh cắp thông tin đăng nhập, cài đặt phần mềm độc hại và thậm chí thực thi mã tùy ý với đặc quyền nâng cao. Nguyên nhân gốc rễ của vấn đề nằm ở việc một số ứng dụng VPN không thể xác thực đúng tính hợp pháp của máy chủ mà chúng kết nối.

Lỗ hổng bảo mật “NachoVPN”

AmberWolf đã xác định các lỗ hổng bảo mật này và đặt tên chúng là “NachoVPN”. Những lỗ hổng này đã được báo cáo cho SonicWall và Palo Alto Networks, thúc đẩy họ hành động nhanh chóng. Các lỗ hổng được chính thức theo dõi là CVE-2024-29014 cho SonicWall và CVE-2024-5921 cho Palo Alto Networks. SonicWall đã vá lỗi này vào tháng 7 năm 2024, với phiên bản NetExtender an toàn đầu tiên cho Windows là 10.2.341. Palo Alto Networks đã làm theo vào tháng 11 năm 2024, khuyên người dùng nâng cấp lên GlobalProtect 6.2.6 hoặc kích hoạt chế độ FIPS-CC để tăng cường bảo vệ.

AmberWolf cũng đã phát triển một công cụ mã nguồn mở, được đặt tên là NachoVPN, để mô phỏng cuộc tấn công. Công cụ này không chỉ minh họa cách thức hoạt động của các lỗ hổng mà còn đóng vai trò là tài nguyên cho các nhà nghiên cứu xác định các lỗ hổng bảo mật bổ sung. Nó hỗ trợ nhiều ứng dụng VPN khác nhau, bao gồm Cisco AnyConnect, Ivanti Connect Secure và các ứng dụng SonicWall và Palo Alto bị ảnh hưởng.

Làm thế nào để bảo vệ bản thân?

Công cụ NachoVPN nhấn mạnh bối cảnh mối đe dọa đang phát triển, nơi ngay cả các giải pháp bảo mật đáng tin cậy cũng có thể trở thành phương thức tấn công. AmberWolf nhấn mạnh rằng công cụ này không phụ thuộc vào nền tảng và có khả năng thích ứng, khuyến khích cộng đồng an ninh mạng hợp tác để giải quyết các lỗ hổng mới xuất hiện.

Đối với người dùng, sự cố này là lời nhắc nhở rõ ràng để luôn cảnh giác. Cập nhật thường xuyên phần mềm VPN và thận trọng khi trực tuyến là điều cần thiết để tránh trở thành nạn nhân của các cuộc tấn công tinh vi như vậy. Khi tin tặc ngày càng sáng tạo, việc đi trước các mối đe dọa đòi hỏi cả biện pháp phòng thủ công nghệ và nhận thức của người dùng.