Duy Linh
Writer
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) vừa bổ sung một lỗ hổng bảo mật mới ảnh hưởng đến Ivanti Endpoint Manager (EPM) vào danh mục các lỗ hổng đã bị khai thác trong thực tế.
CISA cảnh báo về lỗ hổng bảo mật trong Ivanti Endpoint Manager: Lỗ hổng bỏ qua xác thực đã bị khai thác trong thực tế.
Danh mục Các lỗ hổng đã bị khai thác (Known Exploited Vulnerabilities – KEV) cho biết vấn đề này đang bị tin tặc khai thác tích cực. Lỗ hổng được theo dõi với mã CVE-2026-1603, cho phép kẻ tấn công vượt qua cơ chế xác thực và có thể truy cập vào dữ liệu thông tin đăng nhập nhạy cảm lưu trữ trong hệ thống.
Ivanti Endpoint Manager là nền tảng được nhiều tổ chức sử dụng để quản lý thiết bị đầu cuối, triển khai phần mềm và thực thi các chính sách bảo mật trong mạng doanh nghiệp. Vì đóng vai trò quan trọng trong cơ sở hạ tầng CNTT, các lỗ hổng trong nền tảng này có thể tạo ra rủi ro nghiêm trọng nếu bị khai thác.
Nếu bị khai thác, kẻ tấn công từ xa không cần xác thực có thể vượt qua các kiểm soát xác thực tiêu chuẩn và truy cập vào dữ liệu thông tin đăng nhập cụ thể được lưu trong hệ thống.
Hiện chi tiết kỹ thuật của phương thức tấn công chưa được công bố. Tuy nhiên, các lỗ hổng bỏ qua xác thực thường cho phép tin tặc giành quyền truy cập sâu hơn vào môi trường doanh nghiệp.
Các chuyên gia bảo mật cảnh báo rằng dạng lỗ hổng này đặc biệt nguy hiểm vì nó loại bỏ một trong những lớp bảo vệ quan trọng nhất của hệ thống nội bộ.
Trong môi trường mà các nền tảng quản lý thiết bị đầu cuối kiểm soát hàng nghìn thiết bị, một cuộc tấn công thành công có thể khiến thông tin đăng nhập quản trị hoặc dữ liệu quản lý hệ thống bị lộ.
Ngày 9/3/2026, CISA đã chính thức đưa CVE-2026-1603 vào danh mục KEV, cho thấy lỗ hổng này đã được ghi nhận trong các cuộc tấn công ngoài thực tế.
Danh mục KEV được xem là nguồn thông tin đáng tin cậy về các lỗ hổng đã bị khai thác trong các sự cố bảo mật thực tế. Danh sách này giúp các tổ chức ưu tiên vá lỗi dựa trên mối đe dọa thực tế thay vì các rủi ro lý thuyết.
Đối với các cơ quan liên bang Hoa Kỳ, việc một lỗ hổng xuất hiện trong danh mục KEV sẽ kích hoạt thời hạn khắc phục bắt buộc theo Chỉ thị Hoạt động Ràng buộc (BOD) 22-01. Các cơ quan phải áp dụng biện pháp giảm thiểu hoặc vá lỗi trước ngày 23/3/2026.
Hiện chưa có bằng chứng cho thấy lỗ hổng này đang được sử dụng trong các chiến dịch tấn công mã độc tống tiền. Tuy nhiên, nguy cơ lộ thông tin đăng nhập khiến nó trở thành mục tiêu hấp dẫn đối với các nhóm tội phạm mạng.
Các nhóm bảo mật nên ưu tiên thực hiện các hành động sau:
CISA cũng khuyến khích cả khu vực công và tư nhân tích hợp danh mục KEV vào quy trình quản lý lỗ hổng bảo mật. Không giống các danh sách lỗ hổng truyền thống chỉ phản ánh rủi ro tiềm tàng, KEV tập trung vào những lỗ hổng đang bị khai thác trong thực tế.
Bằng cách ưu tiên khắc phục các lỗ hổng trong KEV, các tổ chức có thể giảm đáng kể nguy cơ bị tấn công mạng và tăng cường khả năng phòng thủ trước các chiến dịch tấn công nhắm vào hệ thống doanh nghiệp và cơ sở hạ tầng quan trọng.
Các chuyên gia bảo mật nhấn mạnh rằng khi các tác nhân đe dọa ngày càng nhắm đến các công cụ quản lý doanh nghiệp, việc vá lỗi nhanh chóng, giám sát liên tục và kiểm soát truy cập chặt chẽ là yếu tố then chốt để giảm thiểu rủi ro từ các lỗ hổng như CVE-2026-1603.
CISA cảnh báo về lỗ hổng bảo mật trong Ivanti Endpoint Manager: Lỗ hổng bỏ qua xác thực đã bị khai thác trong thực tế.
Danh mục Các lỗ hổng đã bị khai thác (Known Exploited Vulnerabilities – KEV) cho biết vấn đề này đang bị tin tặc khai thác tích cực. Lỗ hổng được theo dõi với mã CVE-2026-1603, cho phép kẻ tấn công vượt qua cơ chế xác thực và có thể truy cập vào dữ liệu thông tin đăng nhập nhạy cảm lưu trữ trong hệ thống.
Ivanti Endpoint Manager là nền tảng được nhiều tổ chức sử dụng để quản lý thiết bị đầu cuối, triển khai phần mềm và thực thi các chính sách bảo mật trong mạng doanh nghiệp. Vì đóng vai trò quan trọng trong cơ sở hạ tầng CNTT, các lỗ hổng trong nền tảng này có thể tạo ra rủi ro nghiêm trọng nếu bị khai thác.
Chi tiết lỗ hổng bảo mật Ivanti Endpoint Manager
Theo CISA, CVE-2026-1603 là lỗ hổng bỏ qua xác thực do việc sử dụng đường dẫn hoặc kênh thay thế trong ứng dụng. Vấn đề này liên quan đến CWE-288, một dạng điểm yếu xảy ra khi cơ chế xác thực được triển khai không đúng cách.Nếu bị khai thác, kẻ tấn công từ xa không cần xác thực có thể vượt qua các kiểm soát xác thực tiêu chuẩn và truy cập vào dữ liệu thông tin đăng nhập cụ thể được lưu trong hệ thống.
Hiện chi tiết kỹ thuật của phương thức tấn công chưa được công bố. Tuy nhiên, các lỗ hổng bỏ qua xác thực thường cho phép tin tặc giành quyền truy cập sâu hơn vào môi trường doanh nghiệp.
Các chuyên gia bảo mật cảnh báo rằng dạng lỗ hổng này đặc biệt nguy hiểm vì nó loại bỏ một trong những lớp bảo vệ quan trọng nhất của hệ thống nội bộ.
Trong môi trường mà các nền tảng quản lý thiết bị đầu cuối kiểm soát hàng nghìn thiết bị, một cuộc tấn công thành công có thể khiến thông tin đăng nhập quản trị hoặc dữ liệu quản lý hệ thống bị lộ.
Ngày 9/3/2026, CISA đã chính thức đưa CVE-2026-1603 vào danh mục KEV, cho thấy lỗ hổng này đã được ghi nhận trong các cuộc tấn công ngoài thực tế.
Danh mục KEV được xem là nguồn thông tin đáng tin cậy về các lỗ hổng đã bị khai thác trong các sự cố bảo mật thực tế. Danh sách này giúp các tổ chức ưu tiên vá lỗi dựa trên mối đe dọa thực tế thay vì các rủi ro lý thuyết.
Đối với các cơ quan liên bang Hoa Kỳ, việc một lỗ hổng xuất hiện trong danh mục KEV sẽ kích hoạt thời hạn khắc phục bắt buộc theo Chỉ thị Hoạt động Ràng buộc (BOD) 22-01. Các cơ quan phải áp dụng biện pháp giảm thiểu hoặc vá lỗi trước ngày 23/3/2026.
Hiện chưa có bằng chứng cho thấy lỗ hổng này đang được sử dụng trong các chiến dịch tấn công mã độc tống tiền. Tuy nhiên, nguy cơ lộ thông tin đăng nhập khiến nó trở thành mục tiêu hấp dẫn đối với các nhóm tội phạm mạng.
Các biện pháp giảm thiểu rủi ro
CISA khuyến nghị các tổ chức đang sử dụng Ivanti Endpoint Manager cần rà soát môi trường hệ thống và nhanh chóng áp dụng các biện pháp khắc phục do nhà cung cấp cung cấp.Các nhóm bảo mật nên ưu tiên thực hiện các hành động sau:
- Cài đặt các bản cập nhật bảo mật hoặc bản vá do Ivanti phát hành ngay khi có sẵn.
- Tuân thủ hướng dẫn trong Chỉ thị Vận hành Ràng buộc BOD 22-01 của CISA để khắc phục lỗ hổng.
- Theo dõi nhật ký mạng và hoạt động thiết bị đầu cuối để phát hiện dấu hiệu truy cập trái phép hoặc rò rỉ thông tin đăng nhập.
- Hạn chế tối đa truy cập từ bên ngoài vào hệ thống quản lý thiết bị đầu cuối.
CISA cũng khuyến khích cả khu vực công và tư nhân tích hợp danh mục KEV vào quy trình quản lý lỗ hổng bảo mật. Không giống các danh sách lỗ hổng truyền thống chỉ phản ánh rủi ro tiềm tàng, KEV tập trung vào những lỗ hổng đang bị khai thác trong thực tế.
Bằng cách ưu tiên khắc phục các lỗ hổng trong KEV, các tổ chức có thể giảm đáng kể nguy cơ bị tấn công mạng và tăng cường khả năng phòng thủ trước các chiến dịch tấn công nhắm vào hệ thống doanh nghiệp và cơ sở hạ tầng quan trọng.
Các chuyên gia bảo mật nhấn mạnh rằng khi các tác nhân đe dọa ngày càng nhắm đến các công cụ quản lý doanh nghiệp, việc vá lỗi nhanh chóng, giám sát liên tục và kiểm soát truy cập chặt chẽ là yếu tố then chốt để giảm thiểu rủi ro từ các lỗ hổng như CVE-2026-1603.
Đọc chi tiết tại đây: gbhackers
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
