Hôm nay, #HC3 đã cảnh báo về lỗ hổng phần mềm Veeam Backup & Replication. Lỗ hổng này cho phép người dùng không xác thực có quyền truy cập vào mạng Veeam đang vận hành trong vành đai mạng cơ sở hạ tầng dự phòng và lấy thông tin xác thực được mã hóa được lưu trữ trong cơ sở dữ liệu cấu hình. Nhà cung cấp đã khuyến nghị tất cả người dùng tổ chức chăm sóc sức khỏe nên cập nhật hệ thống và vá các lỗ hổng để tránh bị tấn công mạng. Phần mềm Veeam Backup & Replication còn được sử dụng để bảo vệ và khôi phục các tệp và ứng dụng riêng lẻ cho các môi trường như Microsoft Exchange và SharePoint, được sử dụng trong lĩnh vực HPH. Cảnh báo này được đưa ra sau khi FIN7 – một nhóm tội phạm mạng có động cơ tài chính – đã thực hiện các cuộc tấn công vào máy chủ Veeam. Việc sử dụng xác thực đa yếu tố được khuyến nghị để ngăn chặn kẻ xấu sử dụng thông tin đăng nhập bị đánh cắp của tội phạm mạng. #veeam #cybersecurity #HPH #tấn côngmạng #FIN7
bản tin
Sed ut perspiciatis unde.
Theo nhà cung cấp, người dùng không được xác thực có thể có quyền truy cập vào mạng Veeam đang vận hành trong vành đai mạng cơ sở hạ tầng dự phòng và lấy thông tin xác thực được mã hóa được lưu trữ trong cơ sở dữ liệu cấu hình.
TẠI SAO NÓ QUAN TRỌNG
Sau khi ngày càng có nhiều cuộc tấn công mạng khai thác lỗ hổng phần mềm Veeam Backup & Replication, được theo dõi là CVE-2023-27532, Trung tâm điều phối an ninh mạng ngành y tế khuyến nghị tất cả người dùng tổ chức chăm sóc sức khỏe nên cập nhật hệ thống và vá các lỗ hổng.
Cơ quan này cho biết: “Điều khiến mối đe dọa này trở nên nghiêm trọng là ngoài việc sao lưu và khôi phục máy ảo, nó còn được sử dụng để bảo vệ và khôi phục các tệp và ứng dụng riêng lẻ cho các môi trường như Microsoft Exchange và SharePoint, được sử dụng trong lĩnh vực HPH”. Ghi chú phân tích ngày 10 tháng 5.
Phần mềm này cũng có khả năng cung cấp khả năng khôi phục cấp độ giao dịch của cơ sở dữ liệu Oracle và Microsoft SQL.
Veeam đã đưa ra cảnh báo cho khách hàng của mình vào ngày 7 tháng 3, lưu ý rằng quy trình dễ bị tổn thương là Veeam.Backup.Service.exe – TCP 9401 theo mặc định – và khuyên họ nên cập nhật phần mềm của mình.
WithSecure Labs đã xác định FIN7 – một nhóm tội phạm mạng có động cơ tài chính – trong các cuộc tấn công gần đây vào máy chủ Veeam.
“Vào ngày 28 tháng 3 năm 2023, hoạt động ban đầu đã được quan sát thấy trên các máy chủ kết nối internet chạy phần mềm Sao lưu & Sao lưu Veeam,” theo trang web của nó.
“Một quy trình máy chủ SQL ‘sqlservr.exe’ liên quan đến phiên bản Sao lưu Veeam đã thực thi một lệnh shell, lệnh này thực hiện tải xuống trong bộ nhớ và thực thi tập lệnh PowerShell.”
WithSecure Labs lưu ý rằng tác nhân đe dọa đã thử nghiệm chuyển động ngang bằng thông tin xác thực đã bị lọc.
XU HƯỚNG LỚN HƠN
Cho dù đó là lừa đảo trực tuyến, khai thác lỗ hổng để đánh cắp thông tin đăng nhập hoặc tận dụng các kế hoạch đe dọa nội bộ, bệnh viện, chương trình y tế và các tổ chức chăm sóc sức khỏe khác là mục tiêu hàng đầu của những kẻ xấu luôn tìm cách xâm nhập mạng một cách dễ dàng.
John Hendley, người đứng đầu chiến lược tại IBM Security X-Force, khuyên trong một báo cáo chi phí vi phạm dữ liệu năm 2022: “Các tổ chức nên xem xét việc triển khai quản lý quyền truy cập và danh tính của họ để bắt buộc sử dụng xác thực đa yếu tố.
“Chỉ một bước này cũng giúp hạn chế đáng kể khả năng sử dụng thông tin đăng nhập bị đánh cắp của tội phạm mạng, đây là một trong những phương pháp thỏa hiệp ban đầu yêu thích của chúng.”
TRÊN HỒ SƠ
“HC3 khuyến nghị rằng tất cả các đơn vị thuộc ngành HPH nên cảnh giác và nhận thức được hoạt động đáng ngờ, luôn cập nhật hệ thống và ngay lập tức vá bất kỳ hệ thống dễ bị tổn thương nào,” cơ quan này cho biết trong lưu ý cảnh báo.
“Bên cạnh đó, các tổ chức được khuyến khích thực hiện một cách tiếp cận chủ động bằng cách sử dụng các công cụ và dịch vụ an ninh mạng miễn phí của CISA để tăng cường vị thế không gian mạng của họ.”
Andrea Fox là biên tập viên cao cấp của Healthcare IT News.
Email: afox@himss.org
Healthcare IT News là một ấn phẩm của HIMSS Media.