-
09/04/2020
-
124
-
1.532 bài viết
CISA cảnh báo khẩn: Nhiều lỗ hổng đang bị tin tặc khai thác ngoài thực tế
Cơ quan An ninh mạng và Hạ tầng Hoa Kỳ (CISA) đã phát đi cảnh báo ở mức cao khi bổ sung bốn lỗ hổng nghiêm trọng vào danh sách Known Exploited Vulnerabilities (KEV). Động thái này cho thấy mối đe dọa không còn dừng ở mức lý thuyết mà đã trở thành rủi ro hiện hữu với nhiều hệ thống công nghệ phổ biến, từ môi trường phát triển phần mềm, hạ tầng mạng doanh nghiệp cho tới hệ thống email.
Theo CISA, các tổ chức bị ảnh hưởng phải hoàn tất khắc phục trước ngày 12/02/2026, áp dụng cho các hệ thống liên bang và hạ tầng quan trọng. Với khu vực tư nhân, đây cũng là mốc thời gian mang tính sống còn nếu không muốn trở thành nạn nhân tiếp theo.
Những lỗ hổng nào đang bị khai thác?
Mã độc ẩn trong thư viện phát triển phần mềm
Lỗ hổng đầu tiên gây lo ngại đặc biệt vì liên quan đến chuỗi cung ứng phần mềm. Gói "eslint-config-prettier" của Prettier (một công cụ rất phổ biến trong giới lập trình) bị phát hiện chứa mã độc, được định danh là CVE-2025-54313.
Điểm nguy hiểm nằm ở chỗ, mã độc sẽ được kích hoạt ngay trong quá trình cài đặt, thông qua tệp "install.js". Trên các hệ thống Windows, mã này triển khai một DLL độc hại có liên quan đến node-gyp, từ đó mở đường cho việc chiếm quyền kiểm soát môi trường phát triển. Điều này đặc biệt rủi ro với các hệ thống CI/CD, nơi mã nguồn có thể được biên dịch và phát hành hàng loạt chỉ trong thời gian ngắn.
Nói cách khác, chỉ cần một lập trình viên cài nhầm gói phụ thuộc, toàn bộ chuỗi phát triển phần mềm phía sau có thể bị nhiễm mã độc mà không hề hay biết.
Điểm nguy hiểm nằm ở chỗ, mã độc sẽ được kích hoạt ngay trong quá trình cài đặt, thông qua tệp "install.js". Trên các hệ thống Windows, mã này triển khai một DLL độc hại có liên quan đến node-gyp, từ đó mở đường cho việc chiếm quyền kiểm soát môi trường phát triển. Điều này đặc biệt rủi ro với các hệ thống CI/CD, nơi mã nguồn có thể được biên dịch và phát hành hàng loạt chỉ trong thời gian ngắn.
Nói cách khác, chỉ cần một lập trình viên cài nhầm gói phụ thuộc, toàn bộ chuỗi phát triển phần mềm phía sau có thể bị nhiễm mã độc mà không hề hay biết.
Lỗ hổng truy cập trái phép trong môi trường phát triển web
Lỗ hổng thứ hai, CVE-2025-31125, ảnh hưởng tới Vite/ViteJS, một công cụ build và dev server rất phổ biến trong phát triển web hiện đại.
Lỗ hổng cho phép kẻ tấn công lợi dụng các tham số truy vấn như "?inline&import" hoặc "?raw?import" để truy cập vào những tệp lẽ ra không được phép công khai. Tuy nhiên, điều kiện để khai thác là dev server phải bị phơi bày ra mạng, thay vì chỉ chạy nội bộ.
Dù phạm vi có vẻ hẹp, nhưng trong thực tế, không ít đội ngũ phát triển đã vô tình để lộ dev server ra Internet, đặc biệt trong các môi trường thử nghiệm hoặc dự án nhỏ. Khi đó, tin tặc có thể đọc mã nguồn, cấu hình nhạy cảm hoặc dữ liệu chưa được bảo vệ.
Lỗ hổng cho phép kẻ tấn công lợi dụng các tham số truy vấn như "?inline&import" hoặc "?raw?import" để truy cập vào những tệp lẽ ra không được phép công khai. Tuy nhiên, điều kiện để khai thác là dev server phải bị phơi bày ra mạng, thay vì chỉ chạy nội bộ.
Dù phạm vi có vẻ hẹp, nhưng trong thực tế, không ít đội ngũ phát triển đã vô tình để lộ dev server ra Internet, đặc biệt trong các môi trường thử nghiệm hoặc dự án nhỏ. Khi đó, tin tặc có thể đọc mã nguồn, cấu hình nhạy cảm hoặc dữ liệu chưa được bảo vệ.
Bypass xác thực trong hạ tầng SD-WAN doanh nghiệp
Một trong những lỗ hổng nguy hiểm nhất trong đợt cảnh báo này là CVE-2025-34026, tồn tại trong nền tảng SD-WAN Versa Concerto.
Nguyên nhân xuất phát từ cấu hình sai trong Traefik reverse proxy, cho phép kẻ tấn công bỏ qua cơ chế xác thực, từ đó truy cập trái phép vào các chức năng quản trị. Không chỉ dừng ở đó, tin tặc còn có thể tiếp cận các heap dump và trace log - những “mỏ vàng” thông tin có thể chứa mật khẩu, token truy cập và dữ liệu nhạy cảm khác.
Với SD-WAN vốn là xương sống kết nối mạng của nhiều doanh nghiệp, việc bị chiếm quyền kiểm soát có thể kéo theo gián đoạn dịch vụ, rò rỉ dữ liệu và thậm chí là bàn đạp cho các cuộc tấn công sâu hơn vào hệ thống nội bộ.
Nguyên nhân xuất phát từ cấu hình sai trong Traefik reverse proxy, cho phép kẻ tấn công bỏ qua cơ chế xác thực, từ đó truy cập trái phép vào các chức năng quản trị. Không chỉ dừng ở đó, tin tặc còn có thể tiếp cận các heap dump và trace log - những “mỏ vàng” thông tin có thể chứa mật khẩu, token truy cập và dữ liệu nhạy cảm khác.
Với SD-WAN vốn là xương sống kết nối mạng của nhiều doanh nghiệp, việc bị chiếm quyền kiểm soát có thể kéo theo gián đoạn dịch vụ, rò rỉ dữ liệu và thậm chí là bàn đạp cho các cuộc tấn công sâu hơn vào hệ thống nội bộ.
Lỗ hổng thực thi file từ xa trong hệ thống email Zimbra
Lỗ hổng cuối cùng, CVE-2025-68645, ảnh hưởng đến Zimbra Collaboration Suite, một nền tảng email và cộng tác được nhiều tổ chức sử dụng.
Đây là lỗ hổng PHP Remote File Inclusion, cho phép kẻ tấn công thao túng cơ chế xử lý yêu cầu tại endpoint /h/rest. Bằng cách tinh chỉnh request, tin tặc có thể ép hệ thống nạp và thực thi các tệp tùy ý từ thư mục WebRoot.
Email vốn là mục tiêu ưa thích của tin tặc để xâm nhập ban đầu, nên một lỗ hổng cho phép thực thi mã từ xa trong nền tảng này được đánh giá là đặc biệt nguy hiểm, nhất là khi kết hợp với các chiến dịch lừa đảo hoặc phát tán mã độc.
Đây là lỗ hổng PHP Remote File Inclusion, cho phép kẻ tấn công thao túng cơ chế xử lý yêu cầu tại endpoint /h/rest. Bằng cách tinh chỉnh request, tin tặc có thể ép hệ thống nạp và thực thi các tệp tùy ý từ thư mục WebRoot.
Email vốn là mục tiêu ưa thích của tin tặc để xâm nhập ban đầu, nên một lỗ hổng cho phép thực thi mã từ xa trong nền tảng này được đánh giá là đặc biệt nguy hiểm, nhất là khi kết hợp với các chiến dịch lừa đảo hoặc phát tán mã độc.
Mức độ nguy hiểm và phạm vi ảnh hưởng
Điểm chung của bốn lỗ hổng trên là đều đã bị khai thác ngoài thực tế, không còn là cảnh báo phòng ngừa. Chúng tác động lên nhiều lớp khác nhau của hệ sinh thái CNTT:
- Môi trường phát triển và chuỗi cung ứng phần mềm
- Hạ tầng mạng và kết nối doanh nghiệp
- Hệ thống email - cửa ngõ giao tiếp quan trọng nhất của tổ chức
Hậu quả có thể bao gồm chiếm quyền máy chủ, đánh cắp dữ liệu, cài cắm backdoor lâu dài hoặc làm bàn đạp cho các cuộc tấn công quy mô lớn hơn như ransomware.
Doanh nghiệp và người dùng cần làm gì?
WhiteHat khuyến cáo, việc rà soát và vá lỗi ngay lập tức là ưu tiên hàng đầu. Trong trường hợp chưa có bản vá chính thức, cần áp dụng biện pháp giảm thiểu rủi ro như hạn chế truy cập mạng, vô hiệu hóa các dịch vụ không cần thiết và tăng cường giám sát. Các tổ chức nên:
- Kiểm kê toàn bộ phần mềm, thư viện và nền tảng đang sử dụng để xác định mức độ phơi nhiễm
- Ưu tiên xử lý các hệ thống có kết nối Internet hoặc liên quan đến dữ liệu nhạy cảm
- Theo dõi sát các khuyến cáo từ nhà cung cấp và CISA, đồng thời chuẩn bị phương án ứng phó sự cố
Việc CISA liên tiếp cập nhật danh sách KEV cho thấy bức tranh an ninh mạng hiện nay ngày càng phức tạp, nơi một lỗ hổng nhỏ trong công cụ quen thuộc cũng có thể dẫn tới hậu quả lớn. Từ môi trường lập trình, hạ tầng mạng cho đến hệ thống email, không có khu vực nào là “vùng an toàn tuyệt đối”. Chủ động vá lỗi, giám sát và nâng cao nhận thức vẫn là tuyến phòng thủ hiệu quả nhất trước một thế giới số đầy rủi ro như hiện nay.
WhiteHat