CISA cảnh báo khẩn: 4 lỗ hổng đang bị khai thác, nguy cơ biến thiết bị thành “cửa hậu”

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
131
1.840 bài viết
CISA cảnh báo khẩn: 4 lỗ hổng đang bị khai thác, nguy cơ biến thiết bị thành “cửa hậu”
WhiteHat Team
Một cảnh báo mới từ Cybersecurity and Infrastructure Security Agency (CISA) bổ sung 4 lỗ hổng nguy hiểm
vào danh mục các lỗ hổng đã bị khai thác ngoài thực tế (KEV), cho thấy nguy cơ không còn nằm trên lý thuyết mà đã hiện hữu, ảnh hưởng trực tiếp đến cả hệ thống doanh nghiệp lẫn thiết bị người dùng cá nhân.
lo-hong-bao-mat-1-761-16896570864941352888847.jpg

Ảnh: Internet

Các lỗ hổng được phát hiện trên ba nền tảng quen thuộc gồm phần mềm hỗ trợ từ xa SimpleHelp, hệ thống quản lý nội dung màn hình Samsung MagicINFO 9 Server và dòng router D-Link DIR-823X. Đây đều là những sản phẩm phổ biến trong nhiều môi trường khác nhau, từ doanh nghiệp đến gia đình, khiến phạm vi ảnh hưởng trở nên rộng hơn nhiều so với một sự cố bảo mật thông thường.

Cụ thể, lỗ hổng nghiêm trọng nhất mang mã CVE-2024-57726 với điểm CVSS lên tới 9,9 xuất hiện trong SimpleHelp. Lỗi này cho phép người dùng có quyền thấp tạo ra các khóa API với đặc quyền cao hơn mức cho phép, từ đó leo thang quyền hạn và chiếm quyền quản trị hệ thống. Một lỗ hổng khác cũng trên nền tảng này, CVE-2024-57728 với điểm CVSS 7,2, cho phép tin tặc lợi dụng cơ chế xử lý file nén để ghi dữ liệu vào các vị trí tùy ý trong hệ thống, từ đó thực thi mã độc.

Không dừng lại ở đó, máy chủ Samsung MagicINFO 9 Server cũng tồn tại lỗ hổng CVE-2024-7399 với điểm CVSS 8,8, cho phép kẻ tấn công ghi file với quyền hệ thống, mở đường cho việc kiểm soát toàn bộ máy chủ. Trong khi đó, router D-Link DIR-823X (một thiết bị phổ biến trong nhiều hộ gia đình) lại tồn tại lỗ hổng command injection mang mã CVE-2025-29635 với điểm CVSS 7,5, cho phép thực thi lệnh từ xa thông qua các yêu cầu gửi tới hệ thống.

Điểm đáng lo ngại không chỉ nằm ở mức độ nghiêm trọng của các lỗ hổng, mà còn ở việc chúng đã bị khai thác trong thực tế. Các báo cáo an ninh cho thấy một số lỗ hổng trong SimpleHelp đã bị lợi dụng như bước đệm cho các cuộc tấn công mã hóa dữ liệu, trong đó có liên quan đến chiến dịch ransomware của nhóm DragonForce. Trong khi đó, lỗ hổng trên Samsung MagicINFO và router D-Link được sử dụng để phát tán mã độc botnet Mirai, bao gồm cả biến thể mới mang tên tuxnokill.

Cơ chế khai thác của các lỗ hổng này phản ánh một vấn đề quen thuộc nhưng nguy hiểm trong an ninh mạng: kiểm soát quyền truy cập và dữ liệu đầu vào không chặt chẽ. Từ một tài khoản có quyền hạn thấp hoặc một yêu cầu gửi từ bên ngoài, tin tặc có thể từng bước leo thang đặc quyền, cài mã độc và chiếm quyền kiểm soát hệ thống. Khi đó, thiết bị không chỉ bị xâm nhập mà còn có thể trở thành một phần của mạng botnet toàn cầu, tham gia vào các cuộc tấn công quy mô lớn mà chính chủ sở hữu không hề hay biết.

Hệ quả của việc khai thác các lỗ hổng này không chỉ dừng lại ở mất dữ liệu. Đối với doanh nghiệp, đó có thể là gián đoạn vận hành, rò rỉ thông tin khách hàng và tổn hại uy tín thương hiệu. Với người dùng cá nhân, một chiếc router bị chiếm quyền có thể trở thành “bàn đạp” cho các cuộc tấn công khác, đồng thời khiến toàn bộ hệ thống mạng gia đình bị đặt vào tình trạng rủi ro.

Đáng chú ý, lỗ hổng trên D-Link DIR-823X xuất hiện trên thiết bị đã hết vòng đời hỗ trợ. Điều này đồng nghĩa với việc nhà sản xuất có thể không phát hành bản vá, khiến người dùng tiếp tục sử dụng thiết bị đồng nghĩa với việc chấp nhận rủi ro. Đây cũng là một thực tế phổ biến nhưng ít được chú ý: nhiều thiết bị cũ vẫn hoạt động bình thường, nhưng lại trở thành “điểm mù” về bảo mật.

Trước tình hình này, CISA khuyến nghị các tổ chức và người dùng cần nhanh chóng cập nhật bản vá đối với các hệ thống còn được hỗ trợ. Riêng với các thiết bị đã hết vòng đời như dòng router D-Link DIR-823X, giải pháp được đưa ra là ngừng sử dụng trước thời hạn 8/5/2026 để tránh nguy cơ bị khai thác. Bên cạnh đó, việc kiểm tra nhật ký hệ thống, hạn chế quyền truy cập và không mở các cổng quản trị ra internet nếu không cần thiết cũng là những biện pháp quan trọng giúp giảm thiểu rủi ro.

Câu chuyện của 4 lỗ hổng lần này cho thấy không phải những hệ thống phức tạp nhất mới là mục tiêu dễ bị tấn công mà chính những thiết bị quen thuộc, tưởng như vô hại lại có thể trở thành mắt xích yếu nhất. Trong thế giới số ngày càng kết nối, an ninh mạng không còn là câu chuyện của riêng chuyên gia mà còn là trách nhiệm của mọi người dùng khi mỗi thiết bị đều có thể trở thành “cửa ngõ” cho các mối đe dọa.​
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Lỗ hổng nghiêm trọng trong Ivanti EPMM bị khai thác, CISA yêu cầu vá khẩn trong 4 ngày
  • CISA bổ sung lỗ hổng F5 BIG-IP APM vào danh sách lỗ hổng đang bị khai thác
  • CISA cảnh báo lỗ hổng SolarWinds Web Help Desk có thể chiếm quyền máy chủ
  • CISA cảnh báo lỗ hổng SSRF trên GitLab đang bị khai thác, đe dọa an ninh CI/CD
  • CISA cảnh báo khẩn: Nhiều lỗ hổng đang bị tin tặc khai thác ngoài thực tế
  • CISA cảnh báo lỗ hổng VMware vCenter bị khai thác, nguy cơ chiếm quyền ESXi
    • Thẻ
    cisa cve-2024-57726 cve-2024-57728 cve-2025-29635
    Bên trên