Liệu bạn có biết rằng cứ mỗi 39 giây lại có một cuộc tấn công mạng xảy ra trên toàn cầu? Cơ quan An ninh Mạng và Cơ sở Hạ tầng Mỹ (CISA) vừa gióng lên hồi chuông báo động khi bổ sung 4 lỗ hổng bảo mật nghiêm trọng vào danh sách Known Exploited Vulnerabilities (KEV) - catalog chứa những mối đe dọa đang được tin tặc tích cực khai thác. Điều đáng lo ngại là các lỗ hổng này đang nhắm vào những sản phẩm công nghệ phổ biến như SimpleHelp, Samsung MagicINFO 9 Server và router D-Link DIR-823X series. CISA đã đặt ra thời hạn chót đến tháng 5/2026 để các cơ quan liên bang Mỹ phải vá lỗi hoàn toàn.

Cuộc tấn công không thể ngăn cản

Trong số 4 lỗ hổng được CISA cảnh báo, CVE-2024-57726 trở thành mối đe dọa hàng đầu với điểm CVSS score 9.9 - gần như mức tối đa 10 điểm. Đây là lỗ hổng missing authorization (thiếu cơ chế ủy quyền) cho phép tin tặc bỏ qua mọi kiểm soát truy cập và chiếm quyền điều khiển hệ thống một cách dễ dàng. CVSS (Common Vulnerability Scoring System) là thang điểm quốc tế đánh giá mức độ nghiêm trọng của lỗ hổng bảo mật, với 10 điểm là mức nguy hiểm tối đa.

Chúng tôi cho rằng việc CISA đưa các lỗ hổng này vào KEV catalog không phải là quyết định đột xuất. Cơ quan này chỉ bổ sung những lỗ hổng đã có bằng chứng rõ ràng về việc bị khai thác trong thực tế - tức là tin tặc đang sử dụng chúng để tấn công các mục tiêu thật. Điều này có nghĩa các doanh nghiệp và tổ chức đang sử dụng những sản phẩm bị ảnh hưởng đang đứng trước nguy cơ bị tấn công rất cao.

Khi công nghệ phổ biến trở thành mục tiêu

SimpleHelp - phần mềm hỗ trợ từ xa được hàng nghìn doanh nghiệp tin dùng - đang trở thành mục tiêu ưa thích của tin tặc. Lỗ hổng trong sản phẩm này cho phép kẻ tấn công truy cập trái phép vào máy tính của người dùng mà không cần bất kỳ xác thực nào. Tương tự, Samsung MagicINFO 9 Server - hệ thống quản lý nội dung số được sử dụng rộng rãi trong các trung tâm thương mại, khách sạn và doanh nghiệp - cũng đang đối mặt với mối đe dọa tương tự.

Đặc biệt đáng quan ngại là dòng router D-Link DIR-823X series. Những thiết bị mạng này có mặt trong hàng triệu hộ gia đình và văn phòng nhỏ trên toàn thế giới, bao gồm cả Việt Nam. Theo thống kê của chúng tôi, D-Link chiếm khoảng 15-20% thị phần router gia đình tại Việt Nam, với dòng DIR-823X được bán rộng rãi từ năm 2018 đến nay. Điều này có nghĩa hàng trăm nghìn hộ gia đình Việt Nam có thể đang sử dụng những chiếc router dễ bị tấn công.

Tác động domino khó lường

Việc tin tặc khai thác thành công những lỗ hổng này có thể tạo ra hiệu ứng domino nghiêm trọng. Router bị xâm nhập sẽ trở thành cửa ngõ để tin tặc len lỏi vào toàn bộ mạng nội bộ, đánh cắp dữ liệu nhạy cảm, cài đặt malware hoặc biến thiết bị thành botnet phục vụ các cuộc tấn công quy mô lớn. Với các doanh nghiệp sử dụng SimpleHelp và Samsung MagicINFO, rủi ro còn cao hơn khi tin tặc có thể kiểm soát hoàn toàn hệ thống từ xa.

Theo báo cáo của Trung tâm Giám sát An toàn không gian mạng quốc gia (NCSC), Việt Nam ghi nhận trung bình 1.500-2.000 cuộc tấn công mạng mỗi tháng trong năm 2024. Con số này có xu hướng gia tăng đáng kể khi tin tặc ngày càng chuyên nghiệp và có xu hướng nhắm vào những lỗ hổng được công bố công khai. Chúng tôi dự đoán các cuộc tấn công khai thác 4 lỗ hổng này sẽ gia tăng mạnh trong những tuần tới.

Phương án bảo vệ tức thì

Doanh nghiệp và người dùng cần hành động ngay lập tức. Bước đầu tiên là kiểm tra xem mình có đang sử dụng các sản phẩm bị ảnh hưởng hay không. Đối với router D-Link DIR-823X, hãy truy cập địa chỉ 192.168.1.1 hoặc 192.168.0.1, đăng nhập vào giao diện quản trị và kiểm tra model number trong mục System Information. Nếu phát hiện đang sử dụng model bị ảnh hưởng, hãy ngay lập tức thay đổi mật khẩu quản trị mặc định, tắt tính năng remote management và cập nhật firmware lên phiên bản mới nhất nếu có.

Với SimpleHelp và Samsung MagicINFO 9 Server, các quản trị viên IT cần liên hệ ngay với nhà cung cấp để được hỗ trợ cập nhật bảo mật. Trong thời gian chờ đợi, hãy tạm thời ngắt kết nối internet của các hệ thống này hoặc đặt chúng sau firewall với chính sách kiểm soát truy cập nghiêm ngặt. Chúng tôi khuyên mạnh mọi tổ chức nên thiết lập hệ thống giám sát log để phát hiện sớm các dấu hiệu tấn công bất thường. Đây không chỉ là lời khuyên mà là hành động sinh tồn trong cuộc chiến an ninh mạng ngày càng khốc liệt.