VNCERT giục các đơn vị cập nhật bản vá lỗ hổng bị hacker lợi dụng phát tán WannaCry
VNCERT vừa yêu cầu các cơ quan, đơn vị trong cả nước khẩn trương rà soát và cập nhật các bản vá 1 lỗ hổng tường lửa Cisco ASA và 9 lỗ hổng trên Windows trong đó có lỗ hổng EternalBlue đã bị hacker lợi dụng để phát tán mã độc tống tiền WannaCry.
Tính đến 17/5/2017, mã độc tống tiền WannaCry đã lây nhiễm tới hơn 300.000 máy tính Windows tại 99 quốc gia (Ảnh minh họa. Nguồn: Internet)
Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) - đơn vị thuộc Bộ TT&TT làm đầu mối điều phối ứng cứu sự cố quốc gia ngày 17/5 đã có văn bản 154/VNCERT-ĐPƯC về việc báo cáo tình hình cập nhật lỗ hổng và theo dõi, ngăn chặn mã độc WannaCry gửi tới các đơn vị chuyên trách về CNTT, an toàn thông tin (ATTT) của Văn phòng Trung ương Đảng, Văn phòng Chủ tịch nước, Văn phòng Quốc hội, Văn phòng Chính phủ; các đơn vị chuyên trách về CNTT, ATTT các bộ, ngành; các đơn vị thuộc Bộ TT&T; các Sở TT&TT; thành viên mạng lưới ứng cứu sự cố Internet Việt Nam; và các Tổng công ty, Tập đoàn kinh tế; Tổ chức tài chính và ngân hàng; các doanh nghiệp hạ tầng Internet, viễn thông, điện lực, hàng không, giao thông vận tải.
Cụ thể, trong công văn mới nhất gửi các cơ quan, đơn vị, doanh nghiệp trên toàn quốc, VNCERT đã yêu cầu các đơn vị báo cáo kết quả thực hiện 2 văn bản điều phối 123/VNCERT-ĐPƯC ngày 24/4/2017 cảnh báo phương thức tấn công khai thác hệ thống mới của nhóm hacker Shadow Brokers, 144/VNCERT-ĐPƯC ngày 13/5/2017 yêu cầu các đơn vị theo dõi , ngăn chặn kết nối máy chủ điều khiển mã độc WannaCry.
Việc báo cáo kết quả thực hiện 2 văn bản điều phối nêu trên sẽ được thực hiện theo chế độ mật, với các nội dung thông tin báo cáo gồm số lượng máy trạm, máy chủ nhiễm mã độc WannaCry; số lượng máy trạm, máy chủ đã cập nhật và chưa cập nhật các bản vá theo lệnh điều phối số 123 .
Đặc biệt, trong công văn gửi ngày 17/5/2017, VNCERT cũng yêu cầu các cơ quan, đơn vị, doanh nghiệp trong cả nước khẩn trương kiểm tra, rà soát lỗ hổng và hoàn thành gấp việc cập nhật các bản vá cho 9 lỗ hổng của hệ điều hành Windows và 1 lỗ hổng của tường lửa Cisco ASA, gồm có: EternalBlue (MS17-010), EmeralThread (MS10-06), EternalChampion (CVE-2017-0146 và CVE-2017-0147), ErraticGopher, EskimoRoll (MS-14-068), EternalRomance (MS17-010) EducatedScholar (MS09-050), EternalSynergy (MS17-010), Eclipsed Wing (MS08-067), ExtraBacon (CVE-2016-6366).
VNCERT nhấn mạnh: “Các lỗ hổng nêu trên có thể bị hacker tận dụng để tạo ra những chiêu thức tấn công mới nguy hiểm, tinh vi hơn rất nhiều lần”.
Bên cạnh đó, nhằm giúp các cơ quan chức năng theo dõi, phân tích và kịp thời phản ứng nhanh với các phương thức tấn công mới, VNCERT đề nghị các đơn vị ngay khi phát hiện sự cố và không có khả năng xử lý, cần thông báo ngay về đầu mối điều phối ứng cứu sự cố quốc gia – Trung tâm VNCERT, địa chỉ tại tầng 5, tòa nhà 115 Trần Duy Hưng, Cầu Giấy, Hà Nội; và qua các số điện thoại 04 3640 4423 số máy lẻ 112; 0934 424 009, hòm thư điện tử tiếp nhận báo cáo sự cố ir@vncert.gov.vn.
Trong thông tin chia sẻ tại hội nghị phổ biến Quyết định 05/2017/QĐ-TTg của Thủ tướng Chính phủ quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia và chương trình Diễn tập quốc tế ASEAN - Nhật Bản 2017 được tổ chức hôm qua, ngày 18/5, Phó Giám đốc Trung tâm VNCERT Nguyễn Khắc Lịch cũng đã cho biết, cuộc tấn công trên diện rộng bằng mã độc tống tiền WannaCry vừa qua bắt nguồn từ việc nhóm hacker Shadow Brokers công bố mã tấn công lấy từ NSA Mỹ. WannaCry sử dụng lỗ hổng EnternalBlue (MS 17-010), một trong 9 lỗ hổng của hệ điều hành Windows. Mã độc này hỗ trợ 28 ngôn ngữ khác nhau và mã hóa 179 loại tệp tin. Ngoài ra, mã độc WannaCry còn sử dụng DOUBLEPULSAR làm backdoor để truy cập và thực thi mã trên các hệ thống đã bị xâm nhập trước đó.
Theo đại diện VNCERT, trường hợp đầu tiên tại Việt Nam bị nhiễm mã độc tống tiền WannaCry là 1 máy chủ phân giải tên miền ở Thái Nguyên vào 16h thứ 6 ngày 12/5/2017. Đây là trường hợp điển hình về sự chủ quan trong công tác đảm bảo an toàn thông tin. Dù đã được cảnh báo về các lỗ hổng của hệ điều hành Windows song hệ thống của đơn vị này vẫn còn tồn tại những lỗ hổng đó. Chúng tôi đã hỗ trợ xử lý sự cố, “làm cứng” lại hệ thống của đơn vị”, đại diện VNCERT chia sẻ.
Ông Lịch cũng cho biết, theo thông tin từ Intel.malwaretech.com, tính đến 17/5/2017, mã độc tống tiền WannaCry đã lây nhiễm tới hơn 300.000 máy tính Windows tại 99 quốc gia; và trong tổng số hơn 300.000 máy bị lây nhiễm mã độc WannaCry, đến ngày 17/5 đã có 248.995 máy được xử lý và còn 79.155 máy chưa xử lý xong. “Tuy nhiên, tốc độ xử lý trên toàn cầu rất nhanh. Theo số liệu được VNCERT theo dõi trên trang Intel.malwaretech.com đến 6h sáng nay, ngày 18/5/2017, trên toàn cầu hiện còn khoảng 7.000 máy bị nhiễm mã độc WannaCry chưa xử lý, khắc phục xong, trong đó Việt Nam chỉ còn vài trường hợp”, ông Lịch nói.
Thông tin từ Cục An toàn thông tin - Bộ TT&TT cho hay, để chuẩn bị sẵn sàng đối phó kịp thời với các tình huống và rút kinh nghiệm từ bài học thực tế sau vụ mã độc WannCry, vào chiều ngày 16/5/2017, Cục này đã chủ trì buổi làm việc với các doanh nghiệp an ninh mạng Việt Nam Bkav, CMC và các ISP lớn (VNPT, Viettel, FPT), Hiệp hội An toàn thông tin Việt Nam (VNISA) cùng trao đổi, thảo luận đưa ra các biện pháp tổng thể về mặt quản lý cũng như kỹ thuật nhằm đối phó với diễn biến phức tạp liên quan tới các tấn công mạng nói chung và cụ thể là với nguy cơ mã độc hại nói riêng trên môi trường mạng Việt Nam.
Tại cuộc làm việc, các chuyên gia đều có chung nhận định, với sự vụ mã độc WannaCry, cả cơ quan quản lý nhà nước, doanh nghiệp và truyền thông đã làm tốt việc cảnh báo rộng rãi thông tin tới người dân, doanh nghiệp và các cơ quan tổ chức trong việc ứng phó với mã độc WannCry.
Các chuyên gia cũng đánh giá cao vai trò và sự vào cuộc của cơ quan quản lý nhà nước về an toàn thông tin của Bộ TT&TT và đề nghị tiếp tục phát huy trong thời gian tới. Nhờ sự vào cuộc kịp thời đó, thống kê chung tại Việt Nam, số lượng các cá nhân, tổ chức bị nhiễm loại mã độc WannaCry là không nhiều. Tuy nhiên, các doanh nghiệp cũng cảnh báo rằng xu thế này sẽ tiếp tục phát triển và không loại trừ các đợt tấn công tiếp theo sẽ tinh vi và khó đối phó hơn.
Đồng thời, tại cuộc làm việc, các chuyên gia cũng đã trao đổi, đưa ra một số các giải pháp, sáng kiến cụ thể nhằm đối phó với các sự cố tương tự trong tương lai. Cụ thể, dưới sự chủ trì của Cục An toàn thông tin, các bên đã phác thảo cơ chế chia sẻ thông tin giữa các nhà mạng ISP, các công ty an ninh mạng Việt Nam, VNISA để chung tay góp phần xử lý mã độc tại môi trường mạng Việt Nam, nhằm đưa Việt Nam ra khỏi danh sách các nước có tỷ lệ lây nhiễm mã độc nhiều nhất trên thế giới.
Ngay sau khi làn sóng tấn công mạng bằng mã độc tống tiền WannaCry xảy ra, ngày 13/5/2017, Bộ TT&TT đã có các cảnh báo, hướng dẫn kịp thời tới rộng rãi cộng đồng thông qua nhiều phương tiện truyền thông đại chúng. “Tuy nhiên, Cục An toàn thông tin cũng nhận thấy nguy cơ về mã độc nói chung và mã độc tống tiền nói riêng đối với Việt Nam cũng như trên thế giới sẽ tiếp tục diễn biến phức tạp và có thể có nhiều rủi ro mới xảy ra trong tương lai” Cục An toàn thông tin nhận định.
M.T
