-
09/04/2020
-
139
-
1.879 bài viết
Chiến dịch tấn công cPanel leo thang, xuất hiện nhóm APT khai thác sâu CVE-2026-41940
Cuối tháng 4/2026, WhiteHat đã cảnh báo về lỗ hổng nghiêm trọng CVE-2026-41940 trên cPanel/WHM. Thời điểm đó, vấn đề chủ yếu được nhìn nhận như một lỗ hổng nguy hiểm có khả năng bị khai thác rộng rãi. Tuy nhiên, dữ liệu sau đó cho thấy tình hình nghiêm trọng hơn nhiều.
Lỗ hổng này thực tế đã bị khai thác từ tháng 2/2026 dưới dạng zero-day trước khi thông tin được công bố. Khi mã khai thác (PoC) bị phát tán công khai, các chiến dịch quét và tấn công tự động nhanh chóng bùng nổ, ảnh hưởng tới hàng chục nghìn hệ thống trên toàn cầu.
Vấn đề nằm ở việc lỗ hổng cho phép bỏ qua xác thực và chiếm quyền root, đồng nghĩa với việc kẻ tấn công có thể kiểm soát hoàn toàn máy chủ hosting.
Lỗ hổng này thực tế đã bị khai thác từ tháng 2/2026 dưới dạng zero-day trước khi thông tin được công bố. Khi mã khai thác (PoC) bị phát tán công khai, các chiến dịch quét và tấn công tự động nhanh chóng bùng nổ, ảnh hưởng tới hàng chục nghìn hệ thống trên toàn cầu.
Vấn đề nằm ở việc lỗ hổng cho phép bỏ qua xác thực và chiếm quyền root, đồng nghĩa với việc kẻ tấn công có thể kiểm soát hoàn toàn máy chủ hosting.
Xuất hiện tấn công có tổ chức
Nếu giai đoạn đầu chủ yếu là khai thác diện rộng mang tính cơ hội, thì các thông tin mới cho thấy chiến dịch đã bước sang một cấp độ khác.
Cụ thể, sự xuất hiện của nhóm tin tặc Mr_Rot13 cho thấy dấu hiệu của một chiến dịch có tổ chức và mục tiêu rõ ràng. Nhóm này không chỉ khai thác lỗ hổng để xâm nhập, mà còn triển khai hàng loạt kỹ thuật nhằm duy trì quyền truy cập lâu dài. Chúng cài đặt SSH key trái phép, sử dụng webshell làm kênh dự phòng, đồng thời chỉnh sửa giao diện đăng nhập để âm thầm thu thập thông tin tài khoản quản trị.
Bên cạnh đó, các backdoor đa nền tảng được cài đặt cho phép điều khiển hệ thống từ xa một cách linh hoạt. Hoạt động tấn công cũng được tự động hóa ở quy mô lớn, với hàng nghìn địa chỉ IP tham gia trên toàn cầu.
Cụ thể, sự xuất hiện của nhóm tin tặc Mr_Rot13 cho thấy dấu hiệu của một chiến dịch có tổ chức và mục tiêu rõ ràng. Nhóm này không chỉ khai thác lỗ hổng để xâm nhập, mà còn triển khai hàng loạt kỹ thuật nhằm duy trì quyền truy cập lâu dài. Chúng cài đặt SSH key trái phép, sử dụng webshell làm kênh dự phòng, đồng thời chỉnh sửa giao diện đăng nhập để âm thầm thu thập thông tin tài khoản quản trị.
Bên cạnh đó, các backdoor đa nền tảng được cài đặt cho phép điều khiển hệ thống từ xa một cách linh hoạt. Hoạt động tấn công cũng được tự động hóa ở quy mô lớn, với hàng nghìn địa chỉ IP tham gia trên toàn cầu.
Mã JavaScript được chèn vào (Ảnh: xlab)
Từ tấn công diện rộng đến xâm nhập có chủ đích
Đáng lo nhất là sự thay đổi về mục tiêu. Nếu trước đây các chiến dịch chủ yếu nhằm phát tán botnet hoặc ransomware, thì hiện tại đã ghi nhận các vụ xâm nhập vào hệ thống nhạy cảm tại Đông Nam Á, kèm theo hoạt động đánh cắp dữ liệu quy mô lớn.
Điều này cho thấy tin tặc không còn dừng ở phá hoại hay kiếm lợi ngắn hạn, mà đang chuyển sang duy trì truy cập, theo dõi và khai thác dữ liệu dài hạn. Đây là đặc trưng điển hình của các chiến dịch APT hoặc gián điệp mạng.
Điều này cho thấy tin tặc không còn dừng ở phá hoại hay kiếm lợi ngắn hạn, mà đang chuyển sang duy trì truy cập, theo dõi và khai thác dữ liệu dài hạn. Đây là đặc trưng điển hình của các chiến dịch APT hoặc gián điệp mạng.
Quản lý từ xa các hệ thống bị xâm nhập thông qua trang web (Ảnh: Xlab)
Mặc dù cPanel đã phát hành bản vá cho CVE-2026-41940 và nhiều hệ thống đã cập nhật, rủi ro vẫn còn hiện hữu do không ít máy chủ có thể đã bị xâm nhập trước đó. Vì vậy, “đã vá” không đồng nghĩa với “đã an toàn”, khi tin tặc có thể đã cài backdoor hoặc SSH key trái phép để duy trì truy cập.
Lỗ hổng này hiện đã trở thành một phần của chiến dịch tấn công nhiều giai đoạn trên quy mô toàn cầu, nhắm trực tiếp vào hạ tầng hosting. Với mức độ phổ biến của cPanel, nguy cơ ảnh hưởng đến website, email và dữ liệu doanh nghiệp là rất lớn.
Đáng chú ý, Đông Nam Á, bao gồm Việt Nam đã nằm trong danh sách mục tiêu. Do đó, các tổ chức cần coi đây là sự cố đang diễn ra, chủ động kiểm tra log, rà soát truy cập bất thường và thay đổi toàn bộ thông tin xác thực nếu từng chậm vá.
Trọng tâm hiện nay không chỉ là cập nhật, mà là xác định hệ thống đã bị xâm nhập hay chưa.
Theo Cyber Press