-
09/04/2020
-
128
-
1.784 bài viết
Lỗ hổng nghiêm trọng trong Ivanti EPMM bị khai thác, CISA yêu cầu vá khẩn trong 4 ngày
Cơ quan An ninh mạng và Hạ tầng Mỹ (CISA) vừa phát đi cảnh báo khẩn, yêu cầu các cơ quan liên bang phải hoàn tất việc vá một lỗ hổng nghiêm trọng trong hệ thống Ivanti Endpoint Manager Mobile trong vòng 4 ngày, trước hạn chót vào ngày 11/4. Động thái này được đưa ra sau khi lỗ hổng đã bị khai thác thực tế từ đầu năm và được đánh giá là có mức độ rủi ro cao, đặc biệt với các hệ thống cho phép truy cập trực tiếp từ Internet.
Lỗ hổng có mã định danh CVE-2026-1340 là một lỗi chèn mã nghiêm trọng, cho phép kẻ tấn công thực thi mã từ xa trên các thiết bị Ivanti Endpoint Manager Mobile đang được truy cập trực tiếp từ Internet mà không cần đăng nhập hay có sẵn quyền truy cập. Điều này đồng nghĩa chỉ cần hệ thống chưa được vá và đang công khai ra Internet, kẻ tấn công có thể gửi dữ liệu độc hại để thực thi mã và chiếm quyền điều khiển hệ thống.
Trước đó, vào ngày 29/1, Ivanti đã phát hành bản vá cho CVE-2026-1340 cùng một lỗ hổng khác là CVE-2026-1281, đồng thời xác nhận cả hai đã bị khai thác dưới dạng zero-day trong các cuộc tấn công thực tế. Dù chỉ ghi nhận số lượng hạn chế khách hàng bị ảnh hưởng tại thời điểm công bố, hãng vẫn khuyến nghị mạnh mẽ người dùng nhanh chóng cập nhật để giảm thiểu nguy cơ bị xâm nhập.
Dữ liệu theo dõi từ tổ chức giám sát Internet Shadowserver Foundation cho thấy hiện vẫn còn gần 950 địa chỉ IP có dấu hiệu sử dụng EPMM đang được truy cập trực tiếp từ Internet, tập trung chủ yếu tại châu Âu và Bắc Mỹ. Tuy nhiên, chưa có thông tin cụ thể bao nhiêu trong số này đã được cập nhật bản vá, cho thấy bề mặt tấn công vẫn còn ở mức đáng kể.
Thiết bị EPMM truy cập từ Internet (Shadowserver)
Sau khi bổ sung CVE-2026-1340 vào danh mục lỗ hổng đang bị khai thác (KEV), CISA đã yêu cầu các cơ quan thuộc khối hành pháp dân sự liên bang tuân thủ chỉ thị BOD 22-01, buộc phải triển khai biện pháp khắc phục trong thời gian ngắn. Cơ quan này nhấn mạnh rằng các lỗ hổng dạng này thường xuyên bị tin tặc lợi dụng làm điểm xâm nhập ban đầu và có thể gây rủi ro nghiêm trọng trên diện rộng. Trong trường hợp không thể áp dụng biện pháp giảm thiểu theo hướng dẫn của nhà cung cấp, tổ chức cần cân nhắc dừng sử dụng sản phẩm để đảm bảo an toàn.
Dù chỉ thị mang tính bắt buộc đối với các cơ quan chính phủ Mỹ, CISA cũng khuyến cáo tất cả tổ chức và doanh nghiệp cần ưu tiên vá lỗ hổng này càng sớm càng tốt. Thực tế cho thấy Ivanti liên tục trở thành mục tiêu trong nhiều chiến dịch tấn công zero-day những năm gần đây, với tổng cộng 33 lỗ hổng đã bị khai thác, trong đó có 12 lỗ hổng liên quan trực tiếp đến các chiến dịch ransomware.
Với hơn 40.000 khách hàng trên toàn cầu, hệ sinh thái sản phẩm của Ivanti tiếp tục là mục tiêu hấp dẫn đối với các nhóm tấn công có chủ đích. Trong bối cảnh các lỗ hổng đã bị khai thác công khai, khoảng thời gian chậm trễ trong việc cập nhật bản vá không còn là rủi ro tiềm tàng, mà đã trở thành điểm yếu có thể bị tận dụng bất cứ lúc nào.
Dù chỉ thị mang tính bắt buộc đối với các cơ quan chính phủ Mỹ, CISA cũng khuyến cáo tất cả tổ chức và doanh nghiệp cần ưu tiên vá lỗ hổng này càng sớm càng tốt. Thực tế cho thấy Ivanti liên tục trở thành mục tiêu trong nhiều chiến dịch tấn công zero-day những năm gần đây, với tổng cộng 33 lỗ hổng đã bị khai thác, trong đó có 12 lỗ hổng liên quan trực tiếp đến các chiến dịch ransomware.
Với hơn 40.000 khách hàng trên toàn cầu, hệ sinh thái sản phẩm của Ivanti tiếp tục là mục tiêu hấp dẫn đối với các nhóm tấn công có chủ đích. Trong bối cảnh các lỗ hổng đã bị khai thác công khai, khoảng thời gian chậm trễ trong việc cập nhật bản vá không còn là rủi ro tiềm tàng, mà đã trở thành điểm yếu có thể bị tận dụng bất cứ lúc nào.
Theo Bleeping Computer