Ngân hàng Việt nào dính “lỗ hổng” bảo mật Shellshock?

Ngày 24/9/2014, giới chuyên gia bảo mật thế giới đã đưa ra cảnh báo về lỗ hổng bảo mật Shellshock, nguy hiểm hơn cả lỗ hổng Heartbleed được phát hiện trước đó. Tuy nhiên, các ngân hàng Việt Nam lại tỏ ra khá “hờ hững” trước thông tin này.

Lỗ hổng đe dọa trực tiếp đến các ngân hàng!

Thông báo của Hội đồng thẩm tra các tổ chức tài chính liên bang Mỹ (FFIEC) hôm 26/9 cảnh báo các ngân hàng và cơ quan tài chính của Mỹ có khả năng sẽ trở thành mục tiêu tấn công của tin tặc trước mối nguy của rệp máy tính Shellshock, vốn đang đe dọa đến hàng triệu máy tính trên thế giới.

FFIEC cho rằng các thể chế tài chính từ Quỹ Dự trữ liên bang đến tất cả ngân hàng của Mỹ nên nhanh chóng sửa chữa và nâng cấp các phần mềm sử dụng trong các hệ thống máy tính của mình nhằm tránh những hậu quả khôn lường do rệp Shellshock gây ra.

Giới chuyên gia an ninh mạng quốc tế nhận định Shellshock gây nguy hiểm cho các hệ thống máy chủ, thiết bị mạng và ứng dụng trên nền Linux/Unix, bao gồm cả máy Mac OS X trên toàn thế giới và nguy cơ khai thác rộng lớn.

Shellshock (hay còn gọi là Bash bug) có mức độ nguy hiểm, phức tạp và ảnh hưởng thậm chí lớn hơn cả Heartbleed, cho phép tin tặc điều khiển từ xa máy chủ của các trang web hay các hệ thống mạng máy tính, từ đó thực hiện các cuộc tấn công.

Shellshock không đe dọa máy tính dùng Windows hay thiết bị Windows Phone do các hệ điều hành Microsoft phát triển không dùng nhân Linux.

Chỉ những hệ thống máy chủ, thiết bị mạng như tường lửa (firewall), bộ định tuyến mạng (router) cùng nhiều ứng dụng như OpenSSH, DHCP trên nền Linux/Unix nhúng phần mềm Bash bên trong, bao gồm cả hệ điều hành OS X cho máy Mac, hay iOS cho iPhone/iPad của Apple mới bị mắc lỗi này.


Chuyên gia bảo mật Nguyễn Hồng Phúc nhận định: “Lỗi Shellshock rất phức tạp, tin tặc có thể chiếm quyền đó để điều khiển hệ thống mục tiêu, thực thi các câu lệnh từ xa và có thể tấn công leo thang đặc quyền. Lỗi Shellshock mang nguy cơ lớn, không phân biệt biên giới, mở ra khả năng khai thác cho tin tặc mà các chuyên gia chưa thể ước lượng được hết. Bên cạnh đó, rất khó vá lỗi cho Bash bởi nhà phát triển gốc đã ngừng cập nhật phiên bản mới cho Bash. Thay vào đó, các bản cập nhật đều do cộng đồng sử dụng bao gồm các công ty tự phát triển cho phiên bản hệ điều hành hay ứng dụng của mình."

Ông Nguyễn Minh Đức, chuyên gia an ninh mạng Tập đoàn FPT cho rằng: Lỗi Shellshock có tầm ảnh hưởng lớn và hiện tại chưa thể xác định phạm vi giới hạn của lỗi trên thiết bị hay ứng dụng. “Trên thực tế, lỗi Shellshock đe dọa hạ tầng mạng doanh nghiệp, chủ yếu là máy chủ web hơn là đối tượng người dùng phổ thông với máy tính cá nhân. Khi khai thác thành công sẽ có mức độ nguy hiểm cao, cho phép hacker từ xa điều khiển được máy chủ, thiết bị mục tiêu”, ông Đức cho biết.

Ngân hàng Việt tỏ ra “thờ ơ”?

Theo thống kê của BizLIVE, hiện mới chỉ có một vài ngân hàng lên tiếng về lỗ hổng này. Các ngân hàng cũng không tỏ ra “sốt sắng” như khi đối phó với lỗ hổng trước đó là Heartbleed.

Sáng nay (3/10), mới chỉ có Maritime Bank lên tiếng khẳng định đã kiểm tra hệ thống và đảm bảo an toàn. Theo thông báo của Maritime Bank, ngân hàng điện tử (M-Banking) và hệ thống thẻ của ngân hàng này không bị ảnh hưởng bởi lỗ hổng bảo mật Shellshock do các máy chủ Ngân hàng điện tử, hệ thống thẻ và Webserver của Maritime Bank không sử dụng các hệ điều hành Unix, Linux.

Với các thiết bị trung gian Firewall, IPS, Load Balancing, Router, Switch,... Maritime Bank liên tục theo dõi các cảnh báo từ nhà sản xuất, các thiết bị và phiên bản mà Maritime Bank đang sử dụng không bị ảnh hưởng bởi lỗ hổng bảo mật này.

Ngoài ra, để chủ động bảo vệ các máy chủ, Maritime Bank đã xây dựng tường lửa nhằm nhận dạng và khóa các truy cập liên quan tới lỗ hổng bảo mật Shellshock; theo dõi để phát hiện ngay các tấn công khai thác lỗ hổng bảo mật Shellshock; rà soát để loại bỏ các mã độc (nếu có)...

Ngân hàng này cũng đưa ra khuyến cáo đối với các khách hàng có máy tính cá nhân sử dụng hệ điểu hành Unix, Linux như MAC OS của Apple, Ubuntu,... nên kiểm tra và cập nhật ngay các phiên bản mới nhất.

Trả lời phóng viên BizLIVE.vn, đại diện ngân hàng TMCP Sài Gòn (SCB) cũng cho biết: "Tất cả các máy chủ chạy HĐH Linux của SCB đã được fix lỗi ngay khi lỗ hổng trên được công bố vào ngày 24/09/2014 nên hệ thống SCB hiện tại hoàn toàn được đảm bảo an toàn, không bị ảnh hưởng bởi vấn đề trên".

Trong khi đó, một loạt các ngân hàng lớn như Vietcombank, BIDV, Vietinbank, Agribank, MB Bank, ACB… hay các ngân hàng nhỏ hơn như VPBank, Ocean Bank, Tiên Phong, SHB, Đông Á, Sacombank, Phương Đông, Bắc Á… vẫn chưa đưa ra bất kỳ thông tin xác nhận cũng như cảnh báo nào cho khách hàng.