Hơn 80% hoạt động khai thác Ivanti EPMM liên quan tới một IP duy nhất

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
127
1.605 bài viết
Hơn 80% hoạt động khai thác Ivanti EPMM liên quan tới một IP duy nhất
WhiteHat Team
Một chiến dịch khai thác lỗ hổng bảo mật đang diễn ra trên diện rộng nhắm vào Ivanti Endpoint Manager Mobile (EPMM) - nền tảng được nhiều cơ quan, doanh nghiệp sử dụng để quản trị điện thoại thông minh, máy tính bảng và các thiết bị đầu cuối của nhân viên.
1771058532749.png

Trong giai đoạn đầu tháng 2/2026, khoảng 83% lưu lượng khai thác xuất phát từ một địa chỉ IP duy nhất đặt trên hạ tầng lưu trữ ẩn danh, khó bị gỡ bỏ (bulletproof hosting) của PROSPERO - nhà cung cấp dịch vụ hạ tầng máy chủ/hosting ở nước ngoài. Loại hạ tầng này thường bị tội phạm mạng lợi dụng để che giấu nguồn gốc và duy trì hoạt động tấn công trong thời gian dài. Mẫu hình lưu lượng cho thấy đối tượng tấn công đang sử dụng công cụ tự động hóa để quét trên diện rộng, nhằm thu thập danh sách các hệ thống EPMM tồn tại lỗ hổng.

Các cuộc tấn công tập trung vào hai lỗ hổng đặc biệt nghiêm trọng trên EPMM là CVE-2026-1281 và CVE-2026-1340 đều cho phép thực thi mã từ xa mà không cần xác thực. Ivanti xác nhận đã ghi nhận một số khách hàng bị ảnh hưởng do lỗ hổng bị khai thác trước khi kịp triển khai bản vá. Nhiều cơ quan tại châu Âu cũng đã công bố việc bị nhắm tới.
1771058550175.png
Đáng chú ý, hạ tầng tấn công nói trên còn được các đối tượng sử dụng để đồng thời dò quét và khai thác nhiều lỗ hổng trên các phần mềm khác không liên quan, bao gồm cả nền tảng máy chủ ứng dụng doanh nghiệp và các hệ thống quản trị công nghệ thông tin. Phần lớn lưu lượng tấn công chỉ thực hiện các truy vấn xác nhận qua hệ thống phân giải tên miền (DNS) nhằm kiểm tra mục tiêu có “khai thác được hay không”, thay vì triển khai mã độc ngay lập tức. Mẫu hình hoạt động này được đánh giá là dấu hiệu điển hình của chiến thuật xâm nhập ban đầu để bán quyền truy cập: kẻ tấn công đánh dấu các hệ thống dễ tổn thương, sau đó quay lại khai thác sâu hoặc chuyển giao quyền truy cập cho các nhóm tội phạm mạng khác.

Phân tích sâu hơn cho thấy cùng hạ tầng này đang nhắm tới một số lỗ hổng cụ thể trên các sản phẩm phổ biến, bao gồm CVE-2026-21962 trên nền tảng máy chủ ứng dụng Oracle WebLogic, CVE-2026-24061 trong dịch vụ telnetd thuộc bộ công cụ mạng GNU và CVE-2025-24799 trên hệ thống quản lý công nghệ thông tin GLPI. Việc đồng thời khai thác nhiều nền tảng khác nhau cho thấy đây là chiến dịch quét, tấn công tự động trên diện rộng, không chỉ giới hạn ở một sản phẩm hay một nhóm nạn nhân cụ thể.

Theo nhận định của chuyên gia WhiteHat, việc tấn công vào hạ tầng quản lý thiết bị di động tiềm ẩn rủi ro đặc biệt lớn. Khi EPMM bị xâm nhập, kẻ tấn công có thể kiểm soát kênh quản lý thiết bị của cả tổ chức, từ đó mở đường cho việc cài đặt phần mềm độc hại lên thiết bị người dùng, thu thập dữ liệu nhạy cảm hoặc di chuyển ngang trong hệ thống nội bộ. Trong bối cảnh doanh nghiệp Việt Nam ngày càng phụ thuộc vào quản trị thiết bị tập trung và làm việc từ xa, tác động lan rộng có thể vượt ra ngoài phạm vi một máy chủ đơn lẻ.

Khuyến cáo đối với cơ quan, doanh nghiệp tại Việt Nam:​
  • Khẩn trương cập nhật đầy đủ bản vá cho EPMM theo hướng dẫn của nhà sản xuất​
  • Rà soát các hệ thống quản lý thiết bị di động đang công khai trên Internet, kiểm tra dấu hiệu bị xâm nhập trước thời điểm vá​
  • Phân tích nhật ký DNS và nhật ký máy chủ để phát hiện các truy vấn thăm dò bất thường​
  • Thiết lập biện pháp lọc, chặn lưu lượng từ các hạ tầng lưu trữ ẩn danh liên quan đến PROSPERO tại biên mạng​
  • Theo dõi truy cập tới đường dẫn /mifs/403.jsp, có thể liên quan đến hoạt động xâm nhập ban đầu trên EPMM.​
Ivanti nhấn mạnh việc cập nhật bản vá kịp thời là biện pháp hiệu quả nhất để ngăn chặn khai thác, đồng thời đã cung cấp chỉ dấu tấn công IoC và công cụ hỗ trợ phát hiện để khách hàng chủ động kiểm tra hệ thống.

Giờ đây các lỗ hổng nghiêm trọng thường bị khai thác chỉ trong thời gian rất ngắn sau khi công bố, giới chuyên gia khuyến cáo các tổ chức tại Việt Nam cần coi việc vá lỗi và giám sát hạ tầng quản trị thiết bị là ưu tiên an ninh cấp bách, nhằm tránh nguy cơ mất quyền kiểm soát hệ thống từ những điểm yếu tưởng chừng “ở rìa mạng”.
Theo The Hacker News
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Lỗ hổng “không cần đăng nhập” đe dọa an toàn hệ thống Windows của doanh nghiệp
  • Chrome vá 11 lỗ hổng nghiêm trọng, ngăn nguy cơ thực thi mã từ xa
  • Gần 800.000 website WordPress có thể bị chiếm quyền do lỗ hổng WPvivid
  • Lỗ hổng zero-day đầu tiên của Apple bị khai thác, ảnh hưởng iPhone, Mac và nhiều thiết bị khác
  • Lỗ hổng React2Shell bị khai thác ồ ạt trên các hệ thống web hiện đại
  • Lỗ hổng zero-day trong Windows DWM đang bị khai thác để chiếm quyền SYSTEM
    • Thẻ
    chiến dịch khai thác diện rộng cve-2026-1281 cve-2026-1340 ivanti epmm lỗ hổng thực thi mã từ xa quản trị thiết bị di động (mdm) tấn công bulletproof hosting
    Bên trên