⚠️⚠️⚠️ Bạn có nên tắt IPv6 để giảm thiểu RCE TCP/IP không ? | #TEKPost96 by TUNGTEK
Published by TUNGTEK Tùng 🌥️,
Các tổ chức có nên vô hiệu hóa IPv6 để bảo vệ chống lại RCE TCP/IP "đáng sợ" không?
CVE-2024-38063 cho phép kẻ tấn công chưa xác thực thực hiện thực thi mã từ xa bằng cách "liên tục gửi các gói tin IPv6".
Microsoft đã xác nhận lỗi RCE trên Patch Tuesday vào đầu tuần này (Ảnh: ChatGPT)
Khi Microsoft công bố vòng CVE mới nhất trên Patch Tuesday vào đầu tuần này, có một lỗ hổng bảo mật nổi bật.
Mặc dù chưa bị khai thác rộng rãi hoặc tiết lộ công khai, Lỗ hổng thực thi mã từ xa (RCE) TCP/IP trên Windows được theo dõi với tên gọi CVE-2024-38063 đã gây ra cuộc tranh luận dữ dội trên mạng xã hội.
Một số người dùng kêu gọi hành động quyết liệt như vô hiệu hóa IPv6 để bảo vệ chống lại lỗ hổng "đáng sợ" này, trong khi những người khác chỉ khuyên các tổ chức cài đặt bản vá và bình tĩnh.
Lỗi này cho phép những kẻ tấn công không được xác thực thực thi mã từ xa bằng cách gửi nhiều lần các gói IPv6, bao gồm "các gói được tạo đặc biệt", đến máy Windows. Nó được coi là có thể bị sâu tấn công , có nghĩa là nó có khả năng lây lan qua các hệ thống mà không cần xác thực hoặc tương tác của người dùng.
Với xếp hạng CVSS là 9,8, lỗi này có mức độ nghiêm trọng nghiêm trọng và là lỗ hổng Integer Underflow , có thể bị khai thác để kích hoạt lỗi tràn bộ đệm có thể được sử dụng để thực thi mã tùy ý trên các hệ thống Windows 10, Windows 11 và Windows Server. XiaoWei của Kunlun Lab lần đầu tiên phát hiện ra lỗi này .
Trên LinkedIn, Marcus Hutchins, được biết đến trực tuyến với cái tên MalwareTech và nổi tiếng vì sự tham gia nổi bật của mình trong cuộc chiến chống WannaCry, đã viết: "Cái này có vẻ tệ. Lỗ hổng thực thi mã từ xa trong trình phân tích cú pháp IPv6 của nhân Windows. Có vẻ như quá trình phân tích cú pháp diễn ra trước khi gói tin được chuyển đến tường lửa hệ thống, vì vậy miễn là các gói tin IPv6 có thể đến được máy mục tiêu và IPv6 được bật trong Windows, hệ thống sẽ có thể bị khai thác bất kể cài đặt tường lửa cục bộ."
Khi được hỏi làm sao ông biết lỗi nằm trong trình phân tích cú pháp IPv6, Hutchins trả lời: "Không chia sẻ bất kỳ chi tiết nào có thể dẫn đến việc khai thác".
Tắt IPv6, phiên bản mới nhất của Giao thức Internet, và quay lại IPv4 dường như là một cách chắc chắn để đánh bại lỗi RCE.
Trong cảnh báo về lỗ hổng bảo mật, Microsoft đã viết: "Các yếu tố giảm thiểu sau đây có thể hữu ích trong tình huống của bạn: Hệ thống sẽ không bị ảnh hưởng nếu IPv6 bị vô hiệu hóa trên máy mục tiêu".
Nhưng liệu đây có phải là dùng búa tạ để đập vỡ hạt dẻ không? Chúng tôi đã hỏi ý kiến của nhiều chuyên gia an ninh.
Brian Hysell, Cố vấn chính phụ trách, Synopsys Software Integrity Group , cho biết: " IPv6 từng khá mơ hồ, nhưng hiện nay đã đạt tới 43% tỷ lệ áp dụng theo số liệu thống kê của Google. Phạm vi sử dụng của IPv6 có thể không được thể hiện rõ ngay trong một tổ chức lớn và Microsoft khuyên bạn nên tắt IPv6.
"Do đó, việc vô hiệu hóa hoàn toàn IPv6 có thể gây ra những rủi ro không mong muốn đối với tính khả dụng của hệ thống, do đó, việc khắc phục sự cố cốt lõi bằng cách áp dụng bản vá là điều được khuyến nghị, như thường lệ. Mặt khác, nhiều quản trị viên hệ thống báo cáo rằng họ đã vô hiệu hóa nó trong Windows mà không thấy vấn đề gì.
"Lỗ hổng này nằm trong mã do Microsoft viết để triển khai IPv6, không phải trong chính IPv6. Về mặt lý thuyết, việc triển khai IPv6 có thể dễ bị lỗ hổng hơn IPv4 do IPv6 mới hơn và ít phổ biến hơn trong lịch sử, do đó có thể ít được giám sát hơn. Nhưng điều đó khó có thể xác định theo bất kỳ cách khách quan nào."
Chris Bates, CISO tại SandboxAQ , đã có lập trường cứng rắn. "Nếu công ty hoặc người dùng không sử dụng IPv6, họ nên vô hiệu hóa nó", ông nói với The Stack . "Đây là cách quản lý bề mặt tấn công cơ bản: Nếu bạn không sử dụng nó, bạn không duy trì hoặc giám sát nó. Bằng cách vô hiệu hóa nó, bạn sẽ giảm bề mặt tấn công của công ty mình".
Stephen Fewer, Nhà nghiên cứu bảo mật chính tại Rapid7 , chỉ ra rằng lỗ hổng này "không phải là lỗi cố hữu trong thiết kế giao thức IPv6 mà là lỗi trong quá trình triển khai giao thức IPv6 của Microsoft trong trình điều khiển hạt nhân" - điều này có nghĩa là Linux và các hệ thống khác sử dụng giao thức IPv6 không phải của Microsoft sẽ "hoàn toàn không bị ảnh hưởng".
"Tuy nhiên, trong môi trường doanh nghiệp, có thể có hàng nghìn tài sản Windows được bật IPv6 theo mặc định và chúng tôi khuyến nghị các tổ chức áp dụng bản vá càng sớm càng tốt", ông khuyên. "Mặc dù việc giảm bề mặt tấn công luôn hữu ích — và vô hiệu hóa chức năng không sử dụng để giảm thiểu lỗ hổng là một cách để đạt được điều đó — nhưng việc vô hiệu hóa IPv6 có thể không khả thi trong một số môi trường doanh nghiệp này mà không ảnh hưởng đến chức năng quan trọng đối với doanh nghiệp".
TUNGTEK - 19.08.24 - Bài Viết Gốc - Dịch bởi Google Dịch
Update Còm từ anh Việt Nguyễn
⚠️⚠️⚠️ Bạn có nên tắt IPv6 để giảm thiểu RCE TCP/IP không ? | #TEKPost96 by TUNGTEK - https://tek.tungtek.com/post/ban-co-nen-tat-ipv6-de-giam-thieu-rce-tcp-ip-khong-tekpost96-by-tungtek
➖➖➖➖➖
Chào mọi người, mình là TUNGTEK Tùng 🌥️, bên mình có nhiều sản phẩm dịch vụ công nghệ, mong muốn được chia sẻ và hợp tác cùng làm việc. Các bạn liên hệ với Tùng qua Phone/Zalo: 0963509115
TDrive & Google Drive: Dịch vụ lưu trữ dữ liệu cho các nhân và doanh nghiệp. | TBackup: Sao lưu dữ liệu lên đám mây cho cá nhân và doanh nghiệp. | TRecovery: Cứu dữ liệu SSD, HDD, NAS, SAN...| TEKCyber & NoRansmwareVN: Dịch vụ cứu dữ liệu bị mã hóa và truy vết cho cá nhân, doanh nghiệp. | TFix: Dịch vụ sửa chữa, nâng cấp phần cứng Laptop. | ITRemote: Dịch vụ IT Hepldesk thuê ngoài. | TMail: Dịch vụ Email Server Google, Mail Hosting...