Liệu có bao nhiêu doanh nghiệp Việt Nam biết rằng hệ thống của họ có thể đang nằm trong tầm ngắm của tin tặc? Cơ quan An ninh mạng và Hạ tầng Mỹ (CISA) vừa gióng lên hồi chuông báo động khi bổ sung hai lỗ hổng bảo mật nghiêm trọng vào danh sách KEV (Known Exploited Vulnerabilities). Đây là danh sách những lỗ hổng đã được xác nhận bị khai thác tích cực ngoài thực tế. Hai mục tiêu lần này là ConnectWise ScreenConnect và Microsoft Windows - hai nền tảng được sử dụng rộng rãi tại Việt Nam.

Khi danh sách 'tử thần' KEV lại có thêm nạn nhân mới

Danh sách KEV của CISA không phải nơi để khoe khoang - đó là nghĩa địa của những lỗ hổng bảo mật đang gây tổn hại thực tế cho các tổ chức trên toàn cầu. Chúng tôi cho rằng việc CISA quyết định đưa hai lỗ hổng này vào KEV cho thấy tình trạng khai thác đã đạt đến mức báo động. CVE-2024-1708 tấn công vào ConnectWise ScreenConnect với điểm CVSS 8.4 - một con số đủ để khiến bất kỳ chuyên gia bảo mật nào phải lo lắng.

ConnectWise ScreenConnect là công cụ truy cập từ xa được hàng nghìn doanh nghiệp trên thế giới tin dùng, đặc biệt trong lĩnh vực IT support và quản lý hệ thống. Tại Việt Nam, không ít công ty công nghệ và dịch vụ IT đang sử dụng giải pháp này để hỗ trợ khách hàng từ xa. Khi một công cụ có quyền truy cập sâu như vậy bị tấn công, hậu quả có thể lan rộng như hiệu ứng domino.

Path Traversal - Kỹ thuật cũ nhưng vẫn chết người

CVE-2024-1708 khai thác lỗ hổng path traversal (traversal đường dẫn) - một kỹ thuật tấn công cho phép kẻ xấu truy cập vào các file và thư mục nằm ngoài phạm vi được phép. Hình dung đơn giản: nếu bạn chỉ được phép vào phòng khách, nhưng kẻ tấn công lại có thể len lỏi vào phòng ngủ, phòng kho chứa tài liệu mật. Đây chính xác là những gì path traversal có thể làm được với hệ thống máy tính.

Mặc dù path traversal không phải kỹ thuật mới, nhưng sức tàn phá của nó vẫn đáng sợ như ngày đầu. Tin tặc có thể đọc file cấu hình hệ thống, tải xuống database chứa thông tin nhạy cảm, hoặc thậm chí cài đặt backdoor (cửa hậu) để duy trì quyền truy cập lâu dài. Chúng tôi nhận thấy nhiều doanh nghiệp Việt Nam vẫn chủ quan với loại lỗ hổng này, cho rằng 'cũ' đồng nghĩa với 'ít nguy hiểm'.

Tác động thực tế: Từ doanh nghiệp đến người dùng cá nhân

Theo thống kê từ các báo cáo bảo mật quốc tế, lỗ hổng path traversal đã được sử dụng trong hơn 60% các vụ tấn công nhắm vào công cụ quản lý từ xa trong năm 2024. Tại Việt Nam, Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) từng cảnh báo về sự gia tăng các cuộc tấn công vào hệ thống làm việc từ xa, đặc biệt sau khi COVID-19 thúc đẩy xu hướng work from home.

Khi ConnectWise ScreenConnect bị tấn công thành công, tin tặc không chỉ chiếm quyền kiểm soát máy tính của nạn nhân mà còn có thể lan rộng sang toàn bộ mạng nội bộ. Đối với các doanh nghiệp cung cấp dịch vụ IT, hậu quả có thể nghiêm trọng gấp bội - một lần tấn công có thể ảnh hưởng đến hàng chục, thậm chí hàng trăm khách hàng của họ.

Hành động ngay: Bước đầu sinh tử cho doanh nghiệp

Chúng tôi khuyến cáo các doanh nghiệp Việt Nam cần thực hiện ngay các bước sau: Đầu tiên, kiểm tra phiên bản ConnectWise ScreenConnect đang sử dụng và cập nhật lên bản vá mới nhất. Thứ hai, rà soát log (nhật ký) hệ thống để phát hiện dấu hiệu bất thường trong thời gian qua. Thứ ba, tạm thời hạn chế quyền truy cập không cần thiết vào ScreenConnect cho đến khi hoàn tất việc vá lỗi.

Đối với lỗ hổng Windows trong danh sách KEV, mặc dù CISA chưa công bố chi tiết đầy đủ, việc cập nhật Windows Update định kỳ vẫn là biện pháp phòng ngừa hiệu quả nhất. Theo kinh nghiệm của chúng tôi, nhiều doanh nghiệp Việt Nam vẫn trì hoãn việc cập nhật vì lo ngại gián đoạn hoạt động kinh doanh. Tuy nhiên, rủi ro từ việc không vá lỗi thường lớn hơn nhiều so với thời gian downtime tạm thời để bảo trì hệ thống.