Hệ thống xác thực đa yếu tố (MFA) được coi như lá chắn cuối cùng bảo vệ doanh nghiệp, nhưng điều gì xảy ra khi chính lá chắn này bị thủng? Các hacker đã thực hiện điều không tưởng khi vượt qua MFA trên thiết bị SonicWall Gen6 SSL-VPN để triển khai công cụ tấn công ransomware. Vụ việc này một lần nữa chứng minh rằng việc vá lỗi không đầy đủ có thể tạo ra những lỗ hổng chết người. Chúng tôi cho rằng đây là hồi chuông báo động cho toàn bộ cộng đồng an ninh mạng.

Khi tường thành MFA sụp đổ trong im lặng

Các threat actor (nhóm tấn công có tổ chức) đã sử dụng kỹ thuật brute-force (tấn công vét cạn) để phá vỡ thông tin đăng nhập VPN của SonicWall Gen6. Điều đáng ngại nhất không phải việc họ đoán được mật khẩu, mà là cách họ vượt qua hệ thống MFA một cách dễ dàng. Kỹ thuật này khai thác những lỗ hổng còn sót lại sau khi người dùng nghĩ rằng đã vá đầy đủ các bản cập nhật bảo mật.

Sau khi xâm nhập thành công, hacker không chỉ dừng lại ở việc thu thập thông tin mà còn triển khai các công cụ chuyên dụng phục vụ tấn công ransomware. Điều này cho thấy đây không phải cuộc tấn công ngẫu nhiên mà là chiến dịch có kế hoạch, có mục tiêu rõ ràng. Theo đánh giá của chúng tôi, việc bypass MFA thành công đánh dấu một bước ngoặt nguy hiểm trong chiến thuật của các nhóm ransomware hiện đại.

Bản vá không hoàn hảo - nguồn cơn của thảm họa

Lỗ hổng này xuất phát từ việc patching (vá lỗi) không đầy đủ trên các thiết bị SonicWall Gen6 SSL-VPN. Nhiều tổ chức tin rằng họ đã an toàn sau khi cài đặt các bản cập nhật bảo mật, nhưng thực tế một số thành phần quan trọng vẫn chưa được vá hoàn toàn. CVE (Common Vulnerabilities and Exposures - mã định danh lỗ hổng bảo mật quốc tế) liên quan có thể đã được công bố và có bản vá, nhưng quá trình triển khai không đúng cách đã tạo ra kẽ hở.

Chúng tôi phát hiện rằng nhiều doanh nghiệp Việt Nam cũng đang sử dụng thiết bị SonicWall tương tự mà không biết về rủi ro này. Theo thống kê từ các nhà cung cấp dịch vụ an ninh mạng trong nước, hơn 40% doanh nghiệp vừa và nhỏ tại Việt Nam chỉ thực hiện việc cập nhật bảo mật một cách thủ công và không thường xuyên. Điều này đặt họ vào tình trạng dễ bị tổn thương cực kỳ cao trước các cuộc tấn công tương tự.

Tác động domino từ một lỗ hổng nhỏ

Vụ tấn công này không chỉ ảnh hưởng đến các tổ chức sử dụng SonicWall mà còn tạo ra hiệu ứng domino khắp ngành công nghệ. Khi hacker có thể bypass MFA trên một nền tảng được tin dùng rộng rãi, điều đó có nghĩa họ có thể áp dụng kỹ thuật tương tự cho các hệ thống khác. Các chuyên gia an ninh mạng ước tính có thể có hàng nghìn tổ chức trên toàn thế giới đang gặp rủi ro tương tự mà không hề hay biết.

Tại Việt Nam, Cục An toàn thông tin (Bộ TT&TT) ghi nhận số vụ tấn công ransomware nhắm vào doanh nghiệp đã tăng 200% so với cùng kỳ năm ngoái. Việc MFA bị bypass sẽ khiến con số này có thể tăng vọt trong thời gian tới nếu không có biện pháp ứng phó kịp thời.

Khóa chặt cửa trước khi quá muộn

Các tổ chức đang sử dụng SonicWall Gen6 SSL-VPN cần thực hiện ngay các bước sau đây. Trước tiên, kiểm tra và đảm bảo tất cả các bản vá bảo mật mới nhất đã được cài đặt HOÀN TOÀN, không chỉ tải về mà phải verify (xác minh) quá trình cài đặt thành công. Tiếp theo, thay đổi ngay lập tức tất cả thông tin đăng nhập VPN, kể cả những tài khoản được cho là an toàn.

Chúng tôi khuyến nghị thêm một lớp bảo vệ bằng cách triển khai network segmentation (phân đoạn mạng) để hạn chế tác động nếu VPN bị xâm phạm. Cuối cùng, thiết lập monitoring (giám sát) liên tục các hoạt động đăng nhập bất thường và cảnh báo real-time khi phát hiện dấu hiệu tấn công brute-force. Đừng đợi đến khi hacker gõ cửa mới bắt đầu khóa nhà.