By The Cyber Security Hub

Nhóm APT (Advanced Persistent Threat) Salt Typhoon tiếp tục liên hệ với Trung Quốc về việc tấn công vào các nhà cung cấp dịch vụ viễn thông trên toàn cầu. Theo báo cáo của Insikt Group thuộc Recorded Future, các tác nhân đe dọa này đã xâm nhập vào hệ thống của một số nhà cung cấp viễn thông tại Mỹ bằng cách khai thác các thiết bị mạng Cisco IOS XE chưa được vá lỗi.

Khai thác lỗ hổng bảo mật trên thiết bị Cisco

Các nhà nghiên cứu của Insikt Group phát hiện rằng tin tặc Trung Quốc đã lợi dụng hai lỗ hổng bảo mật nghiêm trọng trên Cisco:

• CVE-2023-20198
• CVE-2023-20273

Chi tiết về CVE-2023-20198

Vào tháng 10 năm 2023, Cisco công bố lỗ hổng zero-day CVE-2023-20198 với điểm CVSS tối đa là 10. Lỗ hổng này được tìm thấy trong phần mềm IOS XE và đã bị khai thác trong các cuộc tấn công thực tế. Cisco phát hiện ra lỗ hổng này khi xử lý nhiều trường hợp hỗ trợ kỹ thuật (TAC).

Kẻ tấn công có thể khai thác lỗ hổng này để chiếm quyền quản trị và kiểm soát hoàn toàn router bị ảnh hưởng. Thông báo cảnh báo từ Cisco cho biết lỗ hổng này cho phép một kẻ tấn công từ xa, không cần xác thực, có thể tạo tài khoản có quyền privilege level 15 trên hệ thống bị ảnh hưởng.

Lỗ hổng ảnh hưởng đến cả thiết bị vật lý và ảo nếu tính năng Web User Interface (Web UI) được kích hoạt cùng với HTTP/HTTPS Server.

Chi tiết về CVE-2023-20273

Cũng vào tháng 10 năm 2023, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã thêm CVE-2023-20273 vào danh mục lỗ hổng bị khai thác đã biết (Known Exploited Vulnerabilities).

Lỗ hổng này liên quan đến một lỗi không xác định trong giao diện quản trị web của Cisco. Kẻ tấn công có thể kết hợp lỗ hổng này với CVE-2023-20198 để nâng cao đặc quyền lên cấp root, từ đó cài cấy mã độc (implant) vào hệ thống tệp của thiết bị.

Trong quá trình điều tra, Cisco phát hiện rằng ngay cả những hệ thống đã được vá lỗi chống lại CVE-2023-20198 vẫn bị tấn công, cho thấy có thể tồn tại một lỗ hổng zero-day khác chưa được công bố.

Tác động toàn cầu đối với các mạng viễn thông

Báo cáo của Insikt Group cho thấy các cuộc tấn công đã xâm nhập vào nhiều mạng viễn thông, bao gồm:

• Các nhà cung cấp dịch vụ Internet (ISP) tại Mỹ và Ý
• Một nhà mạng tại Mỹ có liên kết với Vương quốc Anh
• Các nhà cung cấp tại Nam Phi và Thái Lan

Phân tích của Insikt Group phát hiện hơn 12.000 thiết bị mạng Cisco có giao diện web Web UI công khai trên Internet. Trong số đó, hơn 1.000 thiết bị đã bị nhắm mục tiêu, chiếm khoảng 8% tổng số thiết bị dễ bị tấn công, cho thấy chiến dịch tấn công có chủ đích nhắm vào các nhà cung cấp dịch vụ viễn thông.

Salt Typhoon Thiết bị Cisco nhắm mục tiêu | Nguồn: Recorded Future

Chiến thuật của nhóm Salt Typhoon

Nhóm Salt Typhoon (còn được biết đến với các tên gọi khác như FamousSparrow và GhostEmperor) sử dụng kỹ thuật Generic Routing Encapsulation (GRE) tunnels trên các thiết bị Cisco bị xâm nhập để:

• Duy trì sự hiện diện lâu dài (persistence)
• Tránh bị phát hiện (evade detection)
• Ẩn giấu dữ liệu đánh cắp bằng cách đóng gói nó trong các gói tin GRE

Hình 1: Cơ sở hạ tầng khai thác thiết bi mạng RedMike Cisco (Nguồn: Recorder Future)

Vào giữa tháng 12 năm 2024, nhóm này còn bị phát hiện thực hiện các hoạt động trinh sát trên hạ tầng viễn thông của Mytel – một nhà mạng tại Myanmar.

Khuyến nghị bảo mật

Nhóm Insikt Group khuyến nghị:

• Cập nhật bản vá cho thiết bị Cisco IOS XE ngay lập tức.
• Hạn chế việc tiếp cận các giao diện quản trị và dịch vụ không cần thiết từ Internet.

Chiến dịch tấn công rộng hơn của Salt Typhoon

Salt Typhoon đã hoạt động từ ít nhất năm 2019, tập trung vào các cơ quan chính phủ và doanh nghiệp viễn thông trên toàn thế giới.

Mở rộng phạm vi tại Hoa Kỳ

Vào tháng 1 năm 2025, The Wall Street Journal báo cáo rằng nhóm này đã xâm nhập vào nhiều nhà mạng Hoa Kỳ hơn so với ước tính ban đầu, bao gồm:

• Charter Communications
• Windstream

Các cuộc tấn công này khai thác lỗ hổng trong thiết bị mạng của các hãng lớn như Cisco và Fortinet.

Cuối tháng 12 năm 2024, một quan chức Nhà Trắng xác nhận rằng Salt Typhoon đã xâm nhập thành công vào tổng cộng chín nhà mạng viễn thông Mỹ, như một phần của chiến dịch gián điệp mạng nhắm vào các công ty viễn thông toàn cầu.

Phản ứng của Nhà Trắng và Chính phủ Hoa Kỳ

Cố vấn An ninh mạng Nhà Trắng, Anne Neuberger, tiết lộ rằng vụ vi phạm mới nhất được phát hiện sau khi chính quyền Tổng thống Biden ban hành hướng dẫn nhằm phát hiện hoạt động của Salt Typhoon.

Vào đầu tháng 12 năm 2024, Neuberger xác nhận rằng nhóm này đã tấn công vào các công ty viễn thông tại hàng chục quốc gia, chủ yếu thu thập metadata và các dữ liệu liên lạc quan trọng, đặc biệt từ chính phủ và giới chính trị.

Trong cùng tháng, các nhà mạng lớn của Mỹ như AT&T và Verizon tuyên bố đã bảo vệ hệ thống của họ sau các nỗ lực tấn công gián điệp mạng từ Salt Typhoon.

Dù quy mô tấn công lớn, Neuberger khẳng định:

“Cho đến thời điểm này, chúng tôi chưa phát hiện bất kỳ thông tin liên lạc mật nào bị xâm phạm.”

Cảnh báo và biện pháp phòng vệ toàn cầu

Vào tháng 12 năm 2024, các cơ quan an ninh mạng quốc tế đã đưa ra cảnh báo chung về các chiến dịch gián điệp mạng liên quan đến Cộng hòa Nhân dân Trung Hoa (PRC), nhắm vào hạ tầng viễn thông toàn cầu.

Các cơ quan này cũng phát hành tài liệu:

Hướng dẫn tăng cường giám sát và bảo vệ hạ tầng truyền thông (Enhanced Visibility and Hardening Guidance for Communications Infrastructure)

Tài liệu này cung cấp cho các kỹ sư mạng và chuyên gia bảo mật những phương pháp tốt nhất để tăng cường khả năng phát hiện và bảo vệ thiết bị mạng khỏi các cuộc tấn công từ PRC và các tác nhân đe dọa khác.

Các cơ quan tham gia bao gồm:

• CISA (Cơ quan An ninh mạng & Cơ sở hạ tầng Hoa Kỳ)
• NSA (Cơ quan An ninh Quốc gia Hoa Kỳ)
• FBI (Cục Điều tra Liên bang Hoa Kỳ)
• ASD (Cục Tín hiệu Úc)
• CCCS (Trung tâm An ninh mạng Canada)
• NCSC-NZ (Trung tâm An ninh mạng quốc gia New Zealand)

Bảo mật cơ sở dữ liệu (CSDL) đóng vai trò quan trọng trong việc bảo vệ thông tin quan trọng và nhạy cảm được lưu trữ trong hệ thống máy tính. Trong thời đại số hóa ngày nay, dữ liệu được coi là tài sản vô cùng quý báu của mỗi tổ chức và cá nhân. Bảo mật cơ sở dữ liệu không chỉ liên quan đến việc đảm bảo sự toàn vẹn và tính sẵn sàng của dữ liệu, mà còn bao gồm việc kiểm soát quyền truy cập và sử dụng dữ liệu để đảm bảo rằng chỉ có những người được ủy quyền mới có thể tiếp cận thông tin đó.

Quá trình bảo mật cơ sở dữ liệu bao gồm một loạt các biện pháp kỹ thuật và quản lý nhằm ngăn chặn sự xâm nhập trái phép, sửa đổi không được ủy quyền và lộ thông tin quan trọng. Các giải pháp bảo mật CSDL thường bao gồm việc sử dụng các phương pháp mã hóa dữ liệu, xác thực và ủy quyền người dùng, giám sát và ghi nhật ký hệ thống, cùng với việc triển khai các biện pháp phòng ngừa và phản ứng lại các cuộc tấn công.

Trong bối cảnh mối nguy cơ ngày càng cao từ các cuộc tấn công mạng và việc lưu trữ dữ liệu quan trọng trên các nền tảng kỹ thuật số, việc thực hiện bảo mật cơ sở dữ liệu là một yếu tố cực kỳ quan trọng đối với sự thành công và an toàn của mọi tổ chức và hệ thống.

Mục lục :

I. Cơ sở dữ liệu (database) là gì?

II. Các mối đe dọa phổ biến đối với bảo mật cơ sở dữ liệu

III. Các phương pháp hay nhất về bảo mật cơ sở dữ liệu

Nội dung bài viết:

I. Cơ sở dữ liệu (database) là gì?

Cơ sở dữ liệu (CSDL) là một tập hợp có tổ chức của dữ liệu được lưu trữ và quản lý trên máy tính hoặc các thiết bị lưu trữ khác. Mục tiêu chính của cơ sở dữ liệu là lưu trữ thông tin một cách có tổ chức, dễ dàng truy cập và quản lý, để hỗ trợ việc lấy thông tin ra và lưu trữ thông tin vào một cách hiệu quả.

Các thành phần cơ bản của cơ sở dữ liệu bao gồm:

• Dữ liệu: Là thông tin cần được lưu trữ và quản lý. Dữ liệu có thể bao gồm văn bản, hình ảnh, âm thanh, số liệu và nhiều loại thông tin khác.
• Hệ quản trị cơ sở dữ liệu (DBMS): Là phần mềm quản lý và điều khiển cơ sở dữ liệu. Nó cung cấp giao diện để tương tác với cơ sở dữ liệu, cho phép tạo, sửa đổi, xóa và truy vấn dữ liệu một cách dễ dàng.
• Mô hình dữ liệu: Là cách cấu trúc và tổ chức dữ liệu trong cơ sở dữ liệu. Các mô hình dữ liệu phổ biến bao gồm mô hình quan hệ, mô hình hướng đối tượng, và nhiều mô hình khác.
• Ngôn ngữ truy vấn: Là ngôn ngữ được sử dụng để tạo ra các truy vấn (queries) để trích xuất dữ liệu từ cơ sở dữ liệu. SQL (Structured Query Language) là một trong những ngôn ngữ truy vấn phổ biến nhất.

II. Các mối đe dọa phổ biến đối với bảo mật cơ sở dữ liệu

Có nhiều mối đe dọa phổ biến mà có thể đối mặt trong việc bảo mật cơ sở dữ liệu. Dưới đây là một số mối đe dọa quan trọng:

• SQL Injection (Tấn công SQL Injection): Đây là một loại tấn công phổ biến khi kẻ tấn công chèn mã SQL độc hại vào các truy vấn SQL được thực thi trên cơ sở dữ liệu. Khi thành công, tấn công này có thể cho phép tấn công viên trích xuất, thay đổi hoặc xóa dữ liệu trong cơ sở dữ liệu.
• Lỗ hổng phần mềm quản lý cơ sở dữ liệu: Phần mềm quản lý cơ sở dữ liệu (DBMS) có thể chứa lỗ hổng bảo mật mà kẻ tấn công có thể khai thác để truy cập trái phép vào dữ liệu hoặc gây ra sự cố trong hệ thống.
• Tràn bộ đệm (Buffer Overflow): Tấn công tràn bộ đệm xảy ra khi kẻ tấn công chèn dữ liệu dài hơn khả năng chứa của một vùng nhớ (buffer), làm cho dữ liệu tràn ra ngoài và ghi đè lên vùng nhớ kế cận. Điều này có thể dẫn đến việc kiểm soát hệ thống hoặc thực hiện mã độc hại.
• Tấn công từ chối dịch vụ (DoS) và phân tán (DDoS): Tấn công DoS nhằm làm cho dịch vụ hoặc máy chủ không hoạt động bằng cách quấy rối bằng lưu lượng truy cập lớn. Tấn công DDoS mở rộng khái niệm này bằng cách sử dụng mạng botnet để tăng cường lưu lượng truy cập.
• Lỗi xác thực và phân quyền: Sự cẩu thả trong việc quản lý xác thực và phân quyền có thể dẫn đến việc nhân viên hoặc kẻ tấn công có thể có quyền truy cập vào dữ liệu mà họ không được ủy quyền.
• Mất dữ liệu: Mất dữ liệu có thể xảy ra do lỗi phần mềm, hỏng hóc phần cứng hoặc tấn công cố ý. Sự mất mát này có thể gây thiệt hại về thông tin quan trọng của doanh nghiệp hoặc tổ chức.
• Mã độc và mã độc hại: Kẻ tấn công có thể chèn mã độc vào cơ sở dữ liệu để gây hại cho hệ thống hoặc truy cập trái phép vào dữ liệu.
• Rò rỉ dữ liệu: Dữ liệu nhạy cảm có thể bị lộ thông qua các lỗ hổng trong bảo mật hoặc việc kiểm soát không đúng đắn.
• Lỗi thiết lập và cấu hình: Cài đặt và cấu hình không an toàn có thể mở ra các lỗ hổng bảo mật mà kẻ tấn công có thể tận dụng.

Để bảo vệ cơ sở dữ liệu khỏi những mối đe dọa này, tổ chức cần thực hiện các biện pháp bảo mật mạnh mẽ như xác thực và phân quyền đúng đắn, kiểm tra lỗ hổng bảo mật định kỳ, cài đặt các bản vá bảo mật, và duy trì việc giám sát liên tục.

III. Các phương pháp hay nhất về bảo mật cơ sở dữ liệu

Trong bối cảnh không ngừng phát triển của công nghệ thông tin, việc bảo mật cơ sở dữ liệu trở nên cấp bách để đảm bảo tính toàn vẹn và an toàn cho những dữ liệu quan trọng, đặc biệt là những dữ liệu nhạy cảm. Bảo mật cơ sở dữ liệu không chỉ giúp ngăn chặn các cuộc tấn công từ các nguồn nguy cơ khác nhau mà còn góp phần duy trì lòng tin của khách hàng, đối tác và các bên liên quan.

Dưới đây là một số phương pháp quan trọng giúp nâng cao bảo mật cho cơ sở dữ liệu:

• Sử dụng phân quyền và quản lý quyền truy cập: Thiết lập các quyền truy cập dựa trên nguyên tắc của nguyên tắc “tối thiểu cần thiết”. Mỗi người dùng chỉ nên có quyền truy cập và thao tác trên dữ liệu mà họ cần để thực hiện công việc. Điều này giảm thiểu nguy cơ lộ thông tin do người dùng không cần thiết truy cập vào dữ liệu nhạy cảm.

• Mã hóa dữ liệu: Áp dụng mã hóa cho dữ liệu nhạy cảm trong cơ sở dữ liệu. Mã hóa có thể áp dụng ở mức dữ liệu (mã hóa cột), ở mức toàn bộ dữ liệu (mã hóa toàn bộ cơ sở dữ liệu) hoặc thậm chí ở mức tệp dữ liệu. Điều này đảm bảo rằng ngay cả khi có sự xâm nhập, dữ liệu vẫn được bảo vệ và không thể đọc được.

• Kiểm tra thường xuyên và giám sát hành vi: Thực hiện kiểm tra thường xuyên cho hoạt động của cơ sở dữ liệu để phát hiện sớm các hoạt động không hợp lệ hoặc đáng ngờ. Các công cụ kiểm tra lỗ hổng và giám sát giúp theo dõi người dùng, các thay đổi dữ liệu và các tình huống bất thường, từ đó nhanh chóng phát hiện và xử lý các vấn đề bảo mật.
• Bảo mật vật lý: Lập kế hoạch bảo vệ vật lý cho các máy chủ chứa dữ liệu. Đảm bảo rằng chúng được đặt trong môi trường kiểm soát với hệ thống kiểm soát truy cập, giám sát an ninh và cơ chế phát hiện xâm nhập. Điều này ngăn chặn truy cập vật lý trái phép và bảo vệ dữ liệu.

• Bảo vệ khỏi tấn công sql injection: Đảm bảo tính an toàn cho biểu mẫu web và các truy vấn cơ sở dữ liệu là quan trọng. Sử dụng kiểm tra đầu vào cẩn thận và sử dụng các phương pháp như truy vấn tham số hóa để ngăn chặn cuộc tấn công SQL injection.

• Sao lưu thường xuyên: Thực hiện sao lưu dữ liệu định kỳ và lưu trữ chúng ở nơi an toàn. Điều này đảm bảo rằng bạn có thể khôi phục dữ liệu trong trường hợp có sự cố bảo mật hoặc mất dữ liệu.

• Kế hoạch phản ứng sự cố: Phát triển kế hoạch phản ứng sự cố chi tiết để biết cách đối phó với các tình huống bất ngờ như xâm nhập hệ thống hoặc mất dữ liệu. Kế hoạch này nên bao gồm các bước cụ thể để báo cáo, khắc phục và phục hồi sau sự cố.

• Sử dụng phần mềm antivirus: Sử dụng phần mềm antivirus chất lượng là một phần quan trọng của chiến lược bảo mật cơ sở dữ liệu. Phần mềm antivirus giúp quét và phát hiện các loại mã độc, phần mềm độc hại, và các hoạt động không mong muốn trong cơ sở dữ liệu của bạn. Nó giúp ngăn chặn các mối đe dọa có thể gây nguy hại cho tính toàn vẹn và bảo mật của dữ liệu.Một số phần mềm được đánh giá cao trong việc bảo về database : Sophos endpoint, kaspersky, avg.

Nhìn chung, việc bảo mật cơ sở dữ liệu đòi hỏi sự kết hợp của nhiều biện pháp khác nhau để đảm bảo tính toàn vẹn và an toàn cho dữ liệu. Tuy môi trường bảo mật có thể thay đổi tùy theo ngữ cảnh và yêu cầu cụ thể, nhưng các phương pháp trên cung cấp nền tảng mạnh mẽ để bảo vệ cơ sở dữ liệu và duy trì niềm tin từ các bên liên quan.