Phát hiện 194 lỗ hổng bảo mật qua Chương trình Diễn tập thực chiến đảm bảo ATTT mạng 2023

Chiều 1/6, Bộ Thông tin và Truyền thông (TT&TT) phối hợp với UBND TP Hồ Chí Minh đồng chủ trì bế mạc chương trình “Diễn tập thực chiến an toàn thông tin năm 2023”. Đây là chương trình do Cục An toàn thông tin Bộ TT&TT cùng Sở TT&TT TP Hồ Chí Minh tổ chức.

Đến dự có Phó Cục trưởng Cục An toàn thông tin Bộ TT&TT Trần Đăng Khoa; Giám đốc Sở TT&TT TP Hồ Chí Minh Lâm Đình Thắng; Phó Giám đốc Sở TT&TT Võ Thị Trung Trinh; Giám đốc Trung tâm Công nghệ thông tin TP Hồ Chí Minh Nguyễn Đức Chung.

Phó Cục trưởng Cục An toàn thông tin Bộ TT&TT Trần Đăng Khoa cho biết, sau hơn 5 ngày “đấu trí” của chương trình “Diễn tập thực chiến” (không báo trước) với 12 đơn vị, đã phát hiện ra 194 lỗ hổng bảo mật. Trong đó, có 93 điểm yếu lỗ hổng ở mức cao; 53 điểm yếu lỗ hổng trung bình…

Phó Cục trưởng Cục An toàn thông tin Bộ TT&TT Trần Đăng Khoa cho biết qua diễn tập thực chiến, phát hiện 194 lỗ hổng bảo mật.

“Nếu chủ động phát hiện điểm yếu lỗ hổng để cập nhật, khắc phục sửa chữa sẽ là thành công. Diễn tập thực chiến đã triển khai hơn 1 năm và cho kết quả như đã nêu, từ đó cho thấy cần diễn tập thường xuyên. Trong cuộc diễn tập này, đối với các đội thuộc cơ quan Nhà nước sẽ không chấm điểm hay xếp hạng”, ông Trần Đăng Khoa nói.

Phát biểu bế mạc “Diễn tập thực chiến”, Giám đốc Sở TT&TT TP Hồ Chí Minh Lâm Đình Thắng nhận định: “Quá trình triển khai diễn tập đã nhận được nhiều sự hỗ trợ từ nhiều đơn vị. Trong diễn tập thực chiến năm nay, TP được lựa chọn làm nơi diễn tập thực chiến nên rất có “lãi”, TP chọn các hệ thống đang hoạt động để thực chiến và từ đó phát hiện ra các lỗi và đưa ra biện pháp khắc phục. Qua 5 ngày diễn tập, cho thấy sự chuyên nghiệp trong tổ chức; các đội có thêm kinh nghiệm; nâng cao thêm năng lực; có nhiều ý tưởng cho việc bảo vệ an toàn thông tin của các hệ thống (từ lúc nhận lệnh đến triển khai đầu tư trong vòng 5 tháng)”.

Cũng theo Giám đốc Sở TT&TT TP Hồ Chí Minh, Sở luôn ủng hộ diễn tập thực chiến, do đó sẽ nghiên cứu liệu có triển khai rộng rãi mô hình này không. Vì vậy kiến nghị Bộ TT&TT tiếp tục chọn TP Hồ Chí Minh để triển khai các quy định, tiêu chí mới để các tỉnh, thành cùng học hỏi, trao đổi kinh nghiệm lẫn nhau.

Giám đốc Sở TT&TT TP Hồ Chí Minh Lâm Đình Thắng cho biết TP rất có lãi từ "Diễn tập thực chiến an toàn mạng năm 2023".

Tại buổi bế mạc “Diễn tập thực chiến năm 2023”, nhiều đội thi thuộc các doanh nghiệp tư nhân về công nghệ thông tin đã báo cáo kinh nghiệm phát hiện ra lỗ hổng. Đội thi thuộc Công ty NCS cho biết, thành viên đội có nhiệm vụ xâm nhập ngẫu nhiên vào hệ thống mạng của các doanh nghiệp, tập đoàn để tìm ra lỗ hổng. Từ việc xâm nhập phát hiện 40 lỗ hổng gắn nhiều mã nguy hiểm, cho phép các hacker đánh chiếm từ xa và điều khiển trên hệ thống. Trong năm 2022, các thành viên của đội đã tìm ra 17 lỗ hổng của một số đơn vị và được thưởng 100.000 USD.

Theo đại diện Công ty NCS, các lỗ hổng có thể cho hacker chiếm đoạt tài sản, biến tài khoản trong ngân hàng của người dùng từ 100.000 USD xuống còn 100 USD. Qua diễn tập thực chiến năm 2023, đội của công ty phát hiện ra 53 lỗ hổng về phân quyền và kiểm soát tài khoản. Các lỗ hổng rất nghiêm trọng, đơn cử như e-Form trên dịch vụ công, khi người dùng nộp bộ hồ sơ thì ứng dụng sẽ tải ra e-Form tương ứng, nếu bị tấn công thì kẻ tấn công có thể chỉnh sửa những thông tin điện tử trên hệ thống với mục đích lừa đào, thậm chí có thể chèn mã để chuyển hướng người dùng đến 1 trang nào đó.

Đối với lỗ hổng kiểm soát tài khoản, xảy ra trong việc chiếm dụng thông tin căn cước công dân (CCCD) của người khác, khi đó kẻ tấn công có thể xem thông tin, sửa và khóa thông tin. Còn về lỗ hổng phân quyền và logic, kẻ tấn công có thể chỉnh sửa e-Mail của trang dịch vụ công, hay số ĐTDĐ của bất kỳ ai đó để thực hiện hành vi lừa đảo; lỗ hổng phân quyền cũng cho phép kẻ tấn công xem và sửa, xóa hồ sơ của bất kỳ người nào…

“Do đó sau diễn tập thực chiến, khuyến nghị cần đánh giá lại phân quyền. Chỉ cung cấp quyền hạn cần thiết cho người dùng (các quyền hạn tương ứng: cập nhập thông tin, sửa, xóa…), phân loại theo dữ liệu ưu tiên (ai được truy cập dữ liệu nhạy cảm). Kiểm tra hợp lệ hóa và giới hạn các tham số người dùng đưa lên (không đưa số âm, các ký tự đặc biệt). Kiểm tra logic và quá trình phê duyệt để người dùng bình thường không thể sửa bất kỳ thông số quan trọng nào (thông tin, số trong CCCD…)”, đại diện Công ty NCS cho biết.

Thùy Chi (T/h)