Tìm thấy 400.000 lỗ hổng trên 2.200 thiết bị ảo

Theo báo cáo mới được công bố của công ty bảo mật đám mây, các thiết bị ảo, thậm chí được cung cấp bởi các nhà cung cấp bảo mật hay phần mềm lớn cũng vẫn có thể gây rủi ro nghiêm trọng cho các tổ chức.

Các thiết bị ảo có thể rất hữu ích đối với các tổ chức, vì chúng loại bỏ nhu cầu về phần cứng chuyên dụng. Thiết bị ảo thường có giá thành rẻ hoặc miễn phí, dễ cấu hình, dễ bảo trì và dễ triển khai trên các nền tảng đám mây.

Hãng bảo mật Orca đã sử dụng công nghệ SideScanning để kiểm tra các thiết bị ảo nhằm tìm những lỗ hổng và những hệ điều hành đã lỗi thời. Công ty đã quét tổng cộng hơn 2.200 thiết bị ảo từ 540 nhà cung cấp trong tháng 4 và tháng 5, xác định được hơn 400.000 lỗ hổng.

Các thiết bị ảo có được từ những thị trường liên kết với nền tảng đám mây như AWS, VMware, Google Cloud Platform và Microsoft Azure. Tuy nhiên, Orca cho biết, trong nhiều trường hợp, các thiết bị ảo này giống với các thiết bị mà các nhà cung cấp trực tiếp cung cấp.

Những phân tích của Orca gắn cho mỗi thiết bị một thang điểm rủi ro bảo mật từ 0 đến 100. 8% các nhà cung cấp thiết bị này không có vấn đề gì. Các nhà cung cấp có điểm A+, bao gồm Trend Micro, Pulse Secure, BeyondTrust và Versasec.

Gần 1/4 số nhà cung cấp được kiểm thử có các thiết bị ảo đạt điểm A, 12% đạt điểm B. Tuy nhiên, 15% bị điểm F, bao gồm các thiết bị của CA Technologies, Software AG, Intel, Zoho, Symantec, A10 Networks, Cloudflare và Micro Focus.

Orca lưu ý rằng, một số nhà cung cấp có một số thiết bị của họ đạt loại A hoặc A+ và các thiết bị khác rơi vào loại F. Các nhà cung cấp này bao gồm Intel, Symantec, Soho, Cognosys và Tibco.

Orca đã liên hệ với từng nhà cung cấp bị ảnh hưởng trước khi công bố những phát hiện của mình. Công ty cho biết, các nhà cung cấp đã xử lý gần 36.000 trong số 400.000 lỗ hổng đã được xác định bằng cách triển khai các bản vá hoặc gỡ bỏ hoàn toàn thiết bị ảo. Cụ thể, 287 sản phẩm đã được cập nhật và 53 sản phẩm đã  bị gỡ bỏ. Danh sách các công ty đã thực hiện hành động này bao gồm Dell EMC, Cisco, IBM, Symantec, Splunk, Oracle, Kaspersky, Cloudflare, Zoho và Qualys.

Mặt khác, một số nhà cung cấp cho biết họ đã hướng tới những khách hàng để đảm bảo rằng những thiết bị ảo của họ đã được vá, trong khi các nhà cung cấp khác từ chối thực hiện mọi hành động, họ cho rằng lỗ hổng này không có nguy cơ bị khai thác. Không có gì đáng ngạc nhiên khi một số nhà cung cấp đe dọa sẽ có hành động pháp lý chống lại Orca.

Một quan sát thú vị mà công ty an ninh mạng thấy được là các sản phẩm đắt tiền hơn không đạt được điểm số cao hơn so với những sản phẩm rẻ tiền hoặc thậm chí là miễn phí.

Orca cho biết: "Đơn giản vì một nhà cung cấp đạt điểm cao nhất không có nghĩa là tất cả các thiết bị ảo của họ được đảm bảo không bị rủi ro. Dữ liệu hiện tại chỉ như một hướng dẫn, cung cấp một ý tưởng cho các nhà cung cấp cách tiếp cận việc hỗ trợ và bảo trì những thiết bị ảo của mình. Một số đạt điểm cao và đáng tin tưởng, nhưng một sô khác lại rất tệ và các sản phẩm đó cần được tiếp cận một cách thận trọng".

Công ty cũng đã chia sẻ một số khuyến nghị cho các tổ chức để giảm thiểu rủi ro khi sử dụng các thiết bị ảo. Điều này bao gồm quản lý tài sản để theo dõi các thiết bị ảo, những công cụ quản lý lỗ hổng có thể phát hiện ra các điểm yếu và quy trình quản lý bảo mật cần ưu tiên cho những vấn đề nghiêm trọng nhất.

Thiên Thanh (T/h)