Tại sao hacker lại nhắm vào phần mềm văn phòng thay vì tấn công trực tiếp vào máy chủ? Câu trả lời nằm ở lỗ hổng bảo mật nghiêm trọng mang mã CVE-2026-22679 trong hệ thống Weaver E-cology - phần mềm tự động hóa văn phòng được hàng nghìn doanh nghiệp châu Á tin dùng. Từ giữa tháng 3, các nhóm hacker đã và đang khai thác lỗ hổng này để chạy lệnh khám phá hệ thống. Đây là bước đầu của một chiến dịch tấn công có tổ chức.

Cuộc tấn công âm thầm từ bên trong

Weaver E-cology không phải cái tên xa lạ trong giới doanh nghiệp. Đây là nền tảng tự động hóa văn phòng (Office Automation) được nhiều công ty lớn sử dụng để quản lý quy trình làm việc, phê duyệt tài liệu và điều phối hoạt động nội bộ. Chính vì tính chất quan trọng này, khi hacker xâm nhập thành công, họ có thể tiếp cận toàn bộ dữ liệu nội bộ của doanh nghiệp.

CVE (Common Vulnerabilities and Exposures - Cơ sở dữ liệu lỗ hổng bảo mật chung) mang số hiệu 2026-22679 được đánh giá ở mức độ nghiêm trọng. Điều đáng lo ngại là hacker không tấn công ngẫu nhiên mà có chiến thuật rõ ràng: sử dụng discovery commands (lệnh khám phá) để thu thập thông tin về cấu trúc hệ thống trước khi thực hiện các bước tấn công tiếp theo. Chúng tôi cho rằng đây chỉ là giai đoạn đầu của một chiến dịch tấn công phức tạp hơn.

Kỹ thuật tấn công tinh vi đến mức nào?

Discovery commands thực chất là các lệnh do thám được hacker sử dụng để "trinh sát" môi trường mạng mục tiêu. Thay vì tấn công trực diện gây ồn ào, họ âm thầm thu thập thông tin về cấu trúc mạng, danh sách máy tính kết nối, các dịch vụ đang chạy và quyền truy cập của từng tài khoản. Đây là kỹ thuật tấn công Advanced Persistent Threat (APT - tấn công dai dẳng nâng cao), thường được các nhóm hacker chuyên nghiệp sử dụng.

Lỗ hổng CVE-2026-22679 cho phép kẻ tấn công thực thi mã lệnh từ xa mà không cần xác thực. Điều này có nghĩa họ có thể chạy bất kỳ lệnh nào trên máy chủ như thể họ là quản trị viên hệ thống. Từ vị trí này, việc lan truyền sang các máy tính khác trong mạng nội bộ chỉ là vấn đề thời gian. Theo kinh nghiệm của chúng tôi, loại lỗ hổng này thường được khai thác để cài đặt backdoor (cửa hậu) phục vụ cho các đợt tấn công dài hạn.

Quy mô thiệt hại thực tế ra sao?

Weaver E-cology có thị phần lớn tại Trung Quốc và đang mở rộng sang các nước Đông Nam Á, bao gồm Việt Nam. Mặc dù chưa có thống kê chính xác số lượng tổ chức bị ảnh hưởng, nhưng với tính chất phổ biến của phần mềm này trong môi trường doanh nghiệp, con số có thể lên đến hàng nghìn công ty. Những doanh nghiệp sử dụng phiên bản cũ và chưa được vá lỗi đang ở trong tình trạng nguy hiểm cao.

Tại Việt Nam, xu hướng số hóa doanh nghiệp đang tăng mạnh khiến nhiều công ty chuyển sang sử dụng các giải pháp tự động hóa văn phòng. Theo báo cáo của Cục An toàn thông tin (Bộ TT&TT), năm 2024 Việt Nam ghi nhận hơn 15.000 cuộc tấn công mạng nhắm vào doanh nghiệp, tăng 30% so với năm trước. Việc khai thác lỗ hổng trong phần mềm văn phòng đang trở thành xu hướng mới của tội phạm mạng.

Doanh nghiệp Việt cần làm gì ngay lập tức?

Bước đầu tiên và quan trọng nhất là kiểm tra xem doanh nghiệp có đang sử dụng Weaver E-cology hay không. Nếu có, hãy liên hệ ngay với nhà cung cấp để được cập nhật bản vá bảo mật mới nhất. Đồng thời, rà soát log hệ thống từ giữa tháng 3 đến nay để phát hiện dấu hiệu bất thường như các kết nối từ IP lạ, lệnh thực thi không rõ nguồn gốc hoặc hoạt động truy cập dữ liệu ngoài giờ làm việc.

Chúng tôi khuyến nghị các doanh nghiệp nên triển khai giải pháp giám sát bảo mật 24/7 và đào tạo nhân viên IT về cách phát hiện, ứng phó với các cuộc tấn công APT. Việc backup dữ liệu thường xuyên và lưu trữ ở vị trí tách biệt cũng cực kỳ quan trọng. Đặc biệt, các công ty nên xây dựng kế hoạch ứng phó sự cố an ninh mạng chi tiết, bao gồm quy trình cô lập hệ thống bị nhiễm và phục hồi hoạt động kinh doanh trong thời gian ngắn nhất.