Khi hacker chỉ cần gửi một request HTTP đơn giản để chiếm quyền kiểm soát toàn bộ hệ thống doanh nghiệp, thì thảm họa đã đến rất gần. Lỗ hổng bảo mật CVE-2026-22679 với mức độ nghiêm trọng tối đa 9.8/10 trên thang CVSS đang bị các nhóm tin tặc khai thác một cách có hệ thống trên nền tảng Weaver E-cology. Đây là hệ thống tự động hóa văn phòng (OA - Office Automation) được hàng chục nghìn doanh nghiệp châu Á tin dùng để quản lý hoạt động nội bộ. Chúng tôi cho rằng đây có thể trở thành một trong những cuộc tấn công quy mô lớn nhất nhắm vào môi trường doanh nghiệp trong năm 2024.

Khi cửa sau debug trở thành đường cao tốc cho hacker

Lỗ hổng này nằm trong API debug của Weaver E-cology phiên bản 10.0 trước bản vá 20260312, cụ thể tại endpoint "/papi/esearch/data/devops/". Điều đáng lo ngại là vulnerability này cho phép thực thi mã từ xa mà không cần xác thực (unauthenticated remote code execution). Nói một cách đơn giản, hacker không cần biết tài khoản mật khẩu hay phải lừa đảo nhân viên nào cả - họ chỉ cần gửi request đặc biệt đến server là có thể chạy bất kỳ lệnh nào trên hệ thống.

CVE (Common Vulnerabilities and Exposures) là hệ thống mã định danh các lỗ hổng bảo mật được công nhận quốc tế, và con số 2026-22679 này đã trở thành cơn ác mộng cho các quản trị viên IT. Debug API vốn được thiết kế để hỗ trợ nhà phát triển trong quá trình vận hành, nhưng khi không được bảo mật đúng cách, nó lại trở thành cửa ngõ hoàn hảo cho tin tặc xâm nhập. Theo đánh giá của chúng tôi, đây là một lỗi thiết kế nghiêm trọng khi để các chức năng nhạy cảm này có thể truy cập từ bên ngoài.

Cuộc săn lùng dữ liệu doanh nghiệp đã bắt đầu

Weaver E-cology không phải là một phần mềm ít người biết - đây là nền tảng cộng tác doanh nghiệp hàng đầu tại Trung Quốc với hơn 40,000 khách hàng doanh nghiệp. Hệ thống này lưu trữ những thông tin cực kỳ nhạy cảm như tài liệu nội bộ, dữ liệu nhân sự, báo cáo tài chính và kế hoạch kinh doanh. Khi hacker kiểm soát được server E-cology, họ thực chất đã nắm trong tay toàn bộ bí mật công ty.

Các chuyên gia an ninh mạng đang ghi nhận hoạt động khai thác lỗ hổng này trên quy mô rộng. Chúng tôi nhận định rằng đây không phải là các cuộc tấn công lẻ tẻ mà có dấu hiệu của một chiến dịch có tổ chức, có thể nhằm thu thập thông tin tình báo kinh tế hoặc chuẩn bị cho các đợt tấn công ransomware quy mô lớn. Đặc biệt đáng lo ngại khi nhiều doanh nghiệp Việt Nam cũng đang sử dụng các giải pháp OA tương tự hoặc có kết nối với hệ thống E-cology thông qua các đối tác Trung Quốc.

Mối nguy hiểm kép từ thiết kế và triển khai

Vấn đề không chỉ nằm ở việc tồn tại lỗ hổng mà còn ở cách thức triển khai của nhiều doanh nghiệp. Phần lớn các hệ thống E-cology được cài đặt với cấu hình mặc định, ít được cập nhật thường xuyên và thường kết nối trực tiếp với internet để hỗ trợ làm việc từ xa. Điều này tạo ra một "bể cá" lý tưởng cho hacker săn lùng mục tiêu.

Theo kinh nghiệm 10 năm theo dõi các vụ tấn công mạng, chúng tôi nhận thấy các lỗ hổng RCE (Remote Code Execution) luôn được tin tặc ưu tiên khai thác đầu tiên do tính chất "một phát ăn ngay". Khác với các loại tấn công phishing hay social engineering cần thời gian và may mắn, RCE cho phép hacker tiếp cận ngay lập tức và sâu vào hệ thống. Đây chính là lý do tại sao CVE-2026-22679 được đánh giá mức độ nghiêm trọng gần như tối đa.

Hành động ngay lập tức để bảo vệ doanh nghiệp

Doanh nghiệp Việt Nam cần kiểm tra ngay lập tức xem có đang sử dụng Weaver E-cology hay các hệ thống tích hợp với nó không. Bước đầu tiên là liên hệ với nhà cung cấp để xác nhận phiên bản đang sử dụng - nếu là E-cology 10.0 phiên bản trước 20260312, cần cập nhật khẩn cấp hoặc tạm thời ngắt kết nối internet của hệ thống này. Đồng thời, quét toàn bộ log truy cập để tìm các dấu hiệu bất thường tại endpoint "/papi/esearch/data/devops/".

Về dài hạn, đây là lúc các doanh nghiệp cần xem xét lại toàn bộ chiến lược an ninh mạng. Việc phụ thuộc quá nhiều vào một nền tảng duy nhất, đặc biệt là các giải pháp có nguồn gốc nước ngoài, đang đặt ra những rủi ro không nhỏ. Chúng tôi khuyến nghị triển khai giải pháp Zero Trust, định kỳ đánh giá bảo mật và có kế hoạch ứng phó sự cố cụ thể. Trong bối cảnh tấn công mạng ngày càng tinh vi, việc "hy vọng may mắn" không còn là lựa chọn khả thi.