-
09/04/2020
-
128
-
1.683 bài viết
Cảnh báo lỗ hổng trong Ivanti Endpoint Manager đang bị khai thác
CISA vừa phát hiện lỗ hổng trong phần mềm quản lý thiết bị Ivanti Endpoint Manager (EPM). Lỗ hổng này cho phép kẻ tấn công bỏ qua cơ chế xác thực để truy cập dữ liệu nhạy cảm của hệ thống. Đáng chú ý, theo CISA, lỗ hổng đã và đang bị khai thác trong thực tế, làm gia tăng nguy cơ các tổ chức bị đánh cắp thông tin hoặc xâm nhập sâu vào mạng nội bộ.
Lỗ hổng được định danh CVE-2026-1603 và nằm trong cơ chế xác thực của EPM (nền tảng được nhiều doanh nghiệp sử dụng để quản lý máy tính, thiết bị và các tài nguyên CNTT trong hệ thống).
Theo phân tích kỹ thuật, đây là một lỗ hổng bỏ qua xác thực xảy ra do hệ thống xử lý sai một đường truy cập hoặc kênh giao tiếp thay thế trong quá trình xác thực. Trong hệ thống phân loại lỗ hổng phần mềm, vấn đề này được xếp vào CWE-288 - Authentication Bypass Using an Alternate Path or Channel. Điều này có nghĩa là kẻ tấn công có thể tìm ra một con đường khác để truy cập vào hệ thống mà không cần đi qua cơ chế đăng nhập hợp lệ.
Khi khai thác thành công, tin tặc có thể truy cập vào các dữ liệu xác thực được lưu trữ trong hệ thống, bao gồm thông tin đăng nhập hoặc các dữ liệu nhạy cảm khác.
Cơ chế khai thác lỗ hổng
Trong điều kiện bình thường, EPM yêu cầu người dùng phải xác thực trước khi truy cập các chức năng quản trị hoặc dữ liệu hệ thống. Tuy nhiên, lỗ hổng CVE-2026-1603 cho phép kẻ tấn công bỏ qua bước xác thực này thông qua một đường truy cập thay thế.
Điều nguy hiểm là kẻ tấn công có thể thực hiện việc khai thác từ xa và không cần tài khoản đăng nhập. Khi truy cập thành công, chúng có thể lấy được thông tin đăng nhập được lưu trữ trong hệ thống quản lý thiết bị.
Các thông tin này có thể bao gồm:
Điều nguy hiểm là kẻ tấn công có thể thực hiện việc khai thác từ xa và không cần tài khoản đăng nhập. Khi truy cập thành công, chúng có thể lấy được thông tin đăng nhập được lưu trữ trong hệ thống quản lý thiết bị.
Các thông tin này có thể bao gồm:
- Tài khoản dịch vụ
- Thông tin đăng nhập của người dùng
- Dữ liệu xác thực được lưu trữ trong hệ thống
Những dữ liệu này thường có quyền truy cập cao trong hệ thống, do đó khi bị lộ, chúng có thể trở thành bàn đạp cho các cuộc tấn công sâu hơn.
Nguy cơ và mức độ ảnh hưởng
Theo cảnh báo của CISA, lỗ hổng CVE-2026-1603 đang bị khai thác ngoài thực tế. Điều này khiến mức độ nguy hiểm của nó tăng đáng kể so với các lỗ hổng chưa bị khai thác.
Nếu bị lợi dụng, lỗ hổng có thể dẫn đến nhiều rủi ro nghiêm trọng đối với hệ thống doanh nghiệp:
Nếu bị lợi dụng, lỗ hổng có thể dẫn đến nhiều rủi ro nghiêm trọng đối với hệ thống doanh nghiệp:
- Rò rỉ thông tin đăng nhập và dữ liệu nhạy cảm
- Truy cập trái phép vào hệ thống quản trị
- Chiếm quyền kiểm soát các thiết bị đầu cuối
- Mở rộng tấn công vào toàn bộ mạng nội bộ
Trong nhiều môi trường doanh nghiệp, EPM đóng vai trò quản lý hàng trăm hoặc hàng nghìn thiết bị. Vì vậy, nếu bị xâm nhập, kẻ tấn công có thể kiểm soát hoặc thao túng số lượng lớn máy tính trong hệ thống.
CISA cho biết hiện chưa có bằng chứng cho thấy lỗ hổng này đang được sử dụng trong các chiến dịch ransomware, tuy nhiên với khả năng truy cập sâu vào hệ thống, nó hoàn toàn có thể trở thành bước khởi đầu cho những cuộc tấn công quy mô lớn.
CISA cho biết hiện chưa có bằng chứng cho thấy lỗ hổng này đang được sử dụng trong các chiến dịch ransomware, tuy nhiên với khả năng truy cập sâu vào hệ thống, nó hoàn toàn có thể trở thành bước khởi đầu cho những cuộc tấn công quy mô lớn.
Khuyến nghị bảo mật và biện pháp khắc phục
Trước nguy cơ từ lỗ hổng CVE-2026-1603, CISA khuyến nghị các tổ chức sử dụng EPM cần nhanh chóng thực hiện các biện pháp giảm thiểu rủi ro.
Trước hết, các quản trị viên hệ thống cần áp dụng ngay các biện pháp khắc phục và hướng dẫn bảo mật do Ivanti cung cấp để ngăn chặn việc khai thác lỗ hổng.
Bên cạnh đó, các chuyên gia an ninh mạng cũng khuyến nghị:
Trước hết, các quản trị viên hệ thống cần áp dụng ngay các biện pháp khắc phục và hướng dẫn bảo mật do Ivanti cung cấp để ngăn chặn việc khai thác lỗ hổng.
Bên cạnh đó, các chuyên gia an ninh mạng cũng khuyến nghị:
- Nhanh chóng triển khai bản vá hoặc biện pháp giảm thiểu từ Ivanti
- Kiểm tra hệ thống để phát hiện dấu hiệu truy cập trái phép
- Giám sát các hoạt động bất thường liên quan đến thông tin xác thực
- Áp dụng các hướng dẫn bảo mật trong BOD 22-01 đối với hạ tầng dịch vụ đám mây
- Thường xuyên rà soát danh sách Known Exploited Vulnerabilities (KEV) của CISA để kịp thời xử lý các lỗ hổng đang bị khai thác
Trong trường hợp tổ chức chưa thể triển khai bản vá hoặc biện pháp khắc phục cần thiết, CISA khuyến nghị tạm ngừng sử dụng EPM cho đến khi hệ thống được bảo mật đầy đủ. Theo CISA, các cơ quan liên bang và tổ chức liên quan cần hoàn thành việc triển khai biện pháp khắc phục trước ngày 23/3/2026.
Trong bối cảnh các cuộc tấn công mạng ngày càng tinh vi, việc phát hiện và khắc phục sớm những lỗ hổng như CVE-2026-1603 sẽ giúp các tổ chức giảm thiểu nguy cơ bị xâm nhập và bảo vệ tốt hơn dữ liệu cũng như hạ tầng công nghệ của mình.
Trong bối cảnh các cuộc tấn công mạng ngày càng tinh vi, việc phát hiện và khắc phục sớm những lỗ hổng như CVE-2026-1603 sẽ giúp các tổ chức giảm thiểu nguy cơ bị xâm nhập và bảo vệ tốt hơn dữ liệu cũng như hạ tầng công nghệ của mình.