Bài học từ vụ Cleo Exploit: Bằng chứng nhấn mạnh lý do tại sao Secure MFT là quan trọng 

Vào tháng 12 năm 2024, các nhà nghiên cứu an ninh mạng đã phát hiện ra lỗ hổng thực thi mã từ xa (RCE) đáng báo động trong các sản phẩm truyền tệp được quản lý của Cleo, như được CSO Online đưa tin lần đầu.

Những kẻ tấn công đã tích cực khai thác lỗ hổng này trong thực tế, bỏ qua cả các bản vá mới phát hành. Bất chấp các bản cập nhật bảo mật ban đầu của Cleo, những kẻ tấn công vẫn có thể tiếp tục xâm phạm các hệ thống được cập nhật, tiết lộ các điểm yếu sâu xa trong việc xử lý tệp cơ bản, xác thực đầu vào và khả năng phục hồi của nền tảng.

Sự cố mới nhất này là một phần của xu hướng đáng lo ngại: các giải pháp truyền tệp được quản lý đã trở thành mục tiêu hàng đầu cho các cuộc tấn công mạng tinh vi . Các nền tảng này, chịu trách nhiệm truyền tệp an toàn dữ liệu nhạy cảm cao qua các kênh đáng tin cậy, là điểm xâm nhập hấp dẫn cho kẻ tấn công.

Một vi phạm trong môi trường MFT (truyền tệp được quản lý) có thể gây ra hậu quả thảm khốc, từ rò rỉ dữ liệu hệ thống và vi phạm quy định đến gián đoạn hoạt động trên toàn cơ sở hạ tầng trọng yếu các ngành, tất cả đều có thể gây tổn hại nghiêm trọng đến danh tiếng.

Secure MFT không còn tùy chọn trong cơ sở hạ tầng trọng yếu môi trường. Các tổ chức phải vượt ra ngoài việc vá lỗi phản ứng và các giải pháp chống vi-rút đơn lẻ. Thay vào đó, các tổ chức phải áp dụng các kiến trúc bảo mật chủ động, nhiều lớp, tiên tiến được thiết kế riêng để bảo vệ MFT hoạt động chống lại các mối đe dọa hiện đại.

Ngày nay, những điều sau đây không còn là phương pháp hay nhất nữa mà thay vào đó là những nhu cầu thiết yếu trong hoạt động:

Vào cuối năm 2024, các nhà nghiên cứu bảo mật đã xác định được việc khai thác tích cực lỗ hổng thực thi mã từ xa zero-day quan trọng trong các sản phẩm truyền tệp được quản lý của Cleo. Các giải pháp bị ảnh hưởng bao gồm Cleo LexiCom, Cleo VLTrader và Cleo Harmony, được sử dụng rộng rãi trong các môi trường doanh nghiệp.

Cleo LexiCom là một máy tính để bàn MFT khách hàng để kết nối với các mạng lưới giao dịch lớn. Cleo VLTrader cung cấp cấp độ máy chủ MFT khả năng dành cho các doanh nghiệp vừa, trong khi Cleo Harmony hướng đến mục tiêu đáp ứng nhu cầu tích hợp và truyền tệp an toàn của các doanh nghiệp lớn.

Ngay cả sau khi bản vá bảo mật ban đầu được phát hành vào tháng 10 năm 2024, những kẻ tấn công vẫn tiếp tục nhắm mục tiêu thành công vào các hệ thống Cleo, khai thác các điểm yếu chưa được giải quyết đầy đủ, theo báo cáo của Darktrace vào tháng 12 năm 2024.

Các nhóm bảo mật kêu gọi các tổ chức ngay lập tức ngắt kết nối các máy chủ bị ảnh hưởng khỏi internet và thực hiện các biện pháp giảm thiểu tạm thời trong khi chờ bản sửa lỗi hoàn chỉnh hơn.

1. Khai thác lỗ hổng tải tệp lên để thực hiện ghi tệp trái phép
2. Thả các tập tin độc hại vào thư mục "Autorun", kích hoạt thực thi tự động
3. Tận dụng tính năng chạy tự động để triển khai chuỗi tải trọng liên quan đến các tệp ZIP, tệp cấu hình XML và các lệnh PowerShell độc hại

Các cuộc điều tra tiếp theo đã tiết lộ dấu hiệu của các chiến thuật tấn công tiên tiến, chẳng hạn như do thám Active Directory, xóa tệp ẩn và triển khai cửa hậu Java tùy chỉnh được gọi là Cleopatra.

Vụ vi phạm Cleo không phải là một sự cố riêng lẻ. Trong nhiều năm qua, các hệ thống chuyển tập tin được quản lý đã trở thành mục tiêu chính của các tác nhân đe dọa tinh vi. Các tập tin nhạy cảm được trao đổi thông qua các nền tảng này thường gắn chặt với hoạt động kinh doanh, dữ liệu khách hàng hoặc thông tin được quản lý, khiến phần thưởng cho việc xâm phạm thành công cực kỳ cao. 

Các vụ việc nghiêm trọng trước đây như MOVEit Transfer, Accellion File Transfer Appliance và Fortra GoAnywhere đều cho thấy một mô hình nhất quán: kẻ tấn công đang tập trung vào các công nghệ truyền tệp như một điểm xâm nhập chiến lược vào mạng doanh nghiệp.  

Sự cố Cleo củng cố rằng ngay cả các tổ chức có hệ thống được vá và cập nhật cũng có nguy cơ nếu MFT các giải pháp không được thiết kế với các nguyên tắc bảo mật nhiều lớp tích hợp sẵn.

Khai thác Cleo làm nổi bật nhu cầu MFT các giải pháp không chỉ dựa vào việc vá lỗi mà còn được xây dựng từ đầu với các biện pháp kiểm soát bảo mật nhiều lớp. MetaDefender Managed File Transfer ( MFT ) được thiết kế cho các môi trường ưu tiên bảo mật, trong đó kiểm soát chuyển giao dựa trên chính sách, ngăn ngừa mối đe dọa nhiều lớp, quản trị tập trung và cô lập vùng nghiêm ngặt là điều cần thiết.

Việc bảo đảm những điểm tiếp xúc đầu tiên là rất quan trọng. MetaDefender MFT tăng cường kiểm soát truy cập để chặn xâm nhập trái phép trước khi kẻ tấn công có thể tải lên các tệp độc hại hoặc xâm nhập vào mạng.

• Kiểm soát truy cập Secure : Hạn chế MetaDefender MFT truy cập vào mạng nội bộ đáng tin cậy hoặc được bảo mật bằng VPN. Điều này ngăn chặn việc tiếp xúc trực tiếp với những kẻ tấn công bên ngoài đang cố gắng tải lên các phần mềm độc hại.
• Xác thực đa yếu tố (MFA): Thực thi thêm một lớp xác minh người dùng. Ngay cả khi thông tin đăng nhập bị đánh cắp, kẻ tấn công cũng không thể dễ dàng truy cập trái phép.
• Kiểm soát truy cập dựa trên vai trò với sự chấp thuận của giám sát viên: Áp dụng các quyền chi tiết cho người dùng và quy trình làm việc. Ngay cả người dùng đã xác thực cũng phải nhận được sự chấp thuận của giám sát viên đối với các hành động tải lên và tải xuống quan trọng.

Việc dừng các tệp độc hại tại cổng sẽ ngăn chặn các cuộc tấn công xâm nhập vào bên trong hệ thống. MetaDefender MFT phân tích kỹ lưỡng dữ liệu đầu vào trước khi bất kỳ nội dung độc hại nào có thể được kích hoạt. 

• Đường ống kiểm tra tệp sâu: Xác định và chặn các tệp được ngụy trang dưới phần mở rộng sai. Các tệp ZIP hoặc tệp XML độc hại được phát hiện tại thời điểm tải lên.  
• Phát hiện quốc gia xuất xứ: Kiểm tra các tệp đến theo vị trí địa lý. Các tệp đến từ các khu vực bị hạn chế hoặc có nguy cơ cao có thể bị chặn tự động. 
• Trích xuất lưu trữ và quét nội dung: Giải nén hoàn toàn các tệp nén trước khi chuyển. Điều này sẽ phát hiện phần mềm độc hại ẩn bên trong các tệp lưu trữ lồng nhau, chẳng hạn như khai thác PowerShell. Tìm hiểu thêm về các tệp lưu trữ và mối đe dọa mà chúng gây ra tại đây . 

Cần phải vượt ra ngoài phạm vi quét tĩnh để phòng thủ chống lại các mối đe dọa tiên tiến và chưa biết. MetaDefender MFT áp dụng quét đa công cụ và vô hiệu hóa rủi ro ở cấp độ nội dung. 

• Metascan™ Multiscanning với hơn 30 Engine: Quét đồng thời mọi tệp bằng nhiều công cụ phát hiện mối đe dọa và chống vi-rút. Phần mềm độc hại và các tệp giống webshell bị chặn trước khi thực thi. Tìm hiểu thêm về Multiscanning tại đây . 
• Deep CDR™ (Giải trừ & Tái thiết Nội dung): Xây dựng lại các tệp bằng cách xóa các thành phần đang hoạt động hoặc có thể thực thi. Các phiên bản sạch, an toàn của tệp được phân phối trong khi các mối đe dọa ẩn được vô hiệu hóa. Tìm hiểu cách Deep CDR tái tạo tệp tại đây . 
• File-Based Vulnerability Assessment : Phân tích các tệp để tìm lỗ hổng đã biết có thể bị khai thác sau này. Tính năng này phát hiện các loại tài liệu bị tấn công trước khi chạy.