Nguyễn Tiến Đạt
Intern Writer
Một lỗ hổng bảo mật nghiêm trọng trong phần mềm quản lý tường lửa của Cisco đang bị tin tặc khai thác như zero-day, cho phép thực thi mã từ xa và chiếm quyền root, làm dấy lên lo ngại về nguy cơ tấn công diện rộng.
Theo cảnh báo từ Amazon Threat Intelligence, lỗ hổng mang mã CVE-2026-20131 đạt điểm CVSS tối đa 10/10 – mức nguy hiểm cao nhất trong thang đánh giá bảo mật. Lỗi xuất phát từ việc xử lý không an toàn dữ liệu Java do người dùng cung cấp, cho phép kẻ tấn công từ xa, không cần xác thực, thực thi mã tùy ý và giành quyền kiểm soát hệ thống ở cấp độ root.
Đáng chú ý, lỗ hổng này đã bị khai thác từ cuối tháng 1/2026, trước khi được công bố rộng rãi, khiến nhiều tổ chức có thể đã bị xâm nhập mà không hay biết.
Các công cụ được triển khai bao gồm trojan điều khiển từ xa, web shell hoạt động trong bộ nhớ, cùng nhiều script phục vụ thu thập thông tin hệ thống như cấu hình phần cứng, phần mềm, dữ liệu người dùng và hoạt động mạng. Đáng chú ý, tin tặc còn sử dụng phần mềm truy cập từ xa như ConnectWise ScreenConnect để duy trì quyền kiểm soát lâu dài.
Ngoài ra, một số công cụ được thiết kế nhằm che giấu dấu vết, bao gồm cơ chế xóa log định kỳ và thiết lập proxy để ẩn danh nguồn tấn công.
Xu hướng tấn công hiện nay cũng cho thấy sự dịch chuyển rõ rệt: thay vì nhắm vào người dùng cá nhân, các nhóm ransomware đang tập trung khai thác thiết bị hạ tầng như tường lửa, VPN và máy chủ doanh nghiệp để mở rộng phạm vi ảnh hưởng.
Bên cạnh đó, các chiến dịch hiện đại không chỉ dừng lại ở mã hóa dữ liệu mà còn kết hợp đánh cắp thông tin nhằm gia tăng áp lực tống tiền.
Việc kiểm soát các công cụ truy cập từ xa, triển khai mô hình bảo mật nhiều lớp và giám sát liên tục lưu lượng mạng cũng được xem là những biện pháp cần thiết nhằm giảm thiểu rủi ro.
Các chuyên gia nhấn mạnh, doanh nghiệp cần chuyển sang chiến lược phòng thủ chủ động, kết hợp giữa phát hiện sớm, phản ứng nhanh và xây dựng hệ thống bảo mật nhiều lớp để duy trì khả năng chống chịu trước các cuộc tấn công ngày càng tinh vi.
Theo cảnh báo từ Amazon Threat Intelligence, lỗ hổng mang mã CVE-2026-20131 đạt điểm CVSS tối đa 10/10 – mức nguy hiểm cao nhất trong thang đánh giá bảo mật. Lỗi xuất phát từ việc xử lý không an toàn dữ liệu Java do người dùng cung cấp, cho phép kẻ tấn công từ xa, không cần xác thực, thực thi mã tùy ý và giành quyền kiểm soát hệ thống ở cấp độ root.
Đáng chú ý, lỗ hổng này đã bị khai thác từ cuối tháng 1/2026, trước khi được công bố rộng rãi, khiến nhiều tổ chức có thể đã bị xâm nhập mà không hay biết.
Chuỗi tấn công nhiều lớp, tinh vi
Theo phân tích kỹ thuật, chiến dịch của nhóm ransomware Interlock được triển khai theo nhiều giai đoạn. Ban đầu, tin tặc gửi các yêu cầu HTTP được tạo đặc biệt nhằm khai thác lỗ hổng trên hệ thống Cisco FMC. Sau khi xâm nhập thành công, hệ thống sẽ kết nối ra máy chủ bên ngoài để xác nhận, trước khi tải về các thành phần mã độc.
Các công cụ được triển khai bao gồm trojan điều khiển từ xa, web shell hoạt động trong bộ nhớ, cùng nhiều script phục vụ thu thập thông tin hệ thống như cấu hình phần cứng, phần mềm, dữ liệu người dùng và hoạt động mạng. Đáng chú ý, tin tặc còn sử dụng phần mềm truy cập từ xa như ConnectWise ScreenConnect để duy trì quyền kiểm soát lâu dài.
Ngoài ra, một số công cụ được thiết kế nhằm che giấu dấu vết, bao gồm cơ chế xóa log định kỳ và thiết lập proxy để ẩn danh nguồn tấn công.
Rủi ro từ các lỗ hổng chưa có bản vá
Các chuyên gia nhận định, nguy cơ lớn nhất của vụ việc không chỉ nằm ở mức độ nghiêm trọng của lỗ hổng, mà còn ở bản chất zero-day – khi chưa có bản vá, các hệ thống gần như không có khả năng phòng thủ hiệu quả.Xu hướng tấn công hiện nay cũng cho thấy sự dịch chuyển rõ rệt: thay vì nhắm vào người dùng cá nhân, các nhóm ransomware đang tập trung khai thác thiết bị hạ tầng như tường lửa, VPN và máy chủ doanh nghiệp để mở rộng phạm vi ảnh hưởng.
Bên cạnh đó, các chiến dịch hiện đại không chỉ dừng lại ở mã hóa dữ liệu mà còn kết hợp đánh cắp thông tin nhằm gia tăng áp lực tống tiền.
Khuyến nghị cho doanh nghiệp
Trước tình hình lỗ hổng đang bị khai thác активно, các tổ chức được khuyến nghị nhanh chóng cập nhật bản vá từ Cisco ngay khi có. Đồng thời, cần tiến hành rà soát hệ thống để phát hiện dấu hiệu xâm nhập, đặc biệt là các kết nối bất thường và hoạt động trái phép.Việc kiểm soát các công cụ truy cập từ xa, triển khai mô hình bảo mật nhiều lớp và giám sát liên tục lưu lượng mạng cũng được xem là những biện pháp cần thiết nhằm giảm thiểu rủi ro.
Thách thức dài hạn của an ninh mạng
Sự cố lần này một lần nữa cho thấy thách thức ngày càng lớn đối với an ninh mạng toàn cầu. Trong bối cảnh các lỗ hổng zero-day liên tục xuất hiện, việc chỉ dựa vào vá lỗi là không đủ.Các chuyên gia nhấn mạnh, doanh nghiệp cần chuyển sang chiến lược phòng thủ chủ động, kết hợp giữa phát hiện sớm, phản ứng nhanh và xây dựng hệ thống bảo mật nhiều lớp để duy trì khả năng chống chịu trước các cuộc tấn công ngày càng tinh vi.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
