Một lỗ hổng nghiêm trọng vừa được phát hiện đang bị khai thác ồ ạt trên toàn cầu. CVE-2026-34197 - mã định danh lỗ hổng bảo mật quốc tế - xuất hiện trên Apache ActiveMQ từ đầu tháng 4 và ngay lập tức trở thành mục tiêu của tin tặc. Đây là lỗ hổng cho phép thực thi mã từ xa (Remote Code Execution), nghĩa là kẻ tấn công có thể điều khiển hoàn toàn máy chủ nạn nhân từ xa mà không cần xác thực. Chúng tôi đánh giá đây là một trong những mối đe dọa nghiêm trọng nhất đối với hạ tầng doanh nghiệp trong năm 2024.

Cuộc tấn công âm thầm đang diễn ra

Apache ActiveMQ là một message broker (trung gian truyền tin) phổ biến được hàng triệu doanh nghiệp trên thế giới sử dụng để kết nối các ứng dụng và hệ thống. Khi lỗ hổng CVE-2026-34197 bị khai thác, tin tặc có thể cấy mã độc vào hệ thống mà không để lại dấu vết rõ ràng. Điều đặc biệt nguy hiểm là ActiveMQ thường được triển khai ở tầng core (lõi) của hạ tầng IT, có quyền truy cập vào các tài nguyên quan trọng nhất.

Theo quan sát của chúng tôi, nhiều tổ chức Việt Nam đang sử dụng ActiveMQ trong các hệ thống ngân hàng, thương mại điện tử và quản lý doanh nghiệp. Tuy nhiên, tốc độ cập nhật bảo mật tại các doanh nghiệp trong nước vẫn còn chậm so với tốc độ xuất hiện của các mối đe dọa mới. Thực tế này khiến hệ thống Việt Nam trở thành mục tiêu dễ dàng cho các cuộc tấn công có chủ đích.

Kỹ thuật tấn công và cơ chế hoạt động

Lỗ hổng CVE-2026-34197 khai thác weakness (điểm yếu) trong cách ActiveMQ xử lý các gói tin đến. Kẻ tấn công có thể gửi payload (tải trọng độc hại) được chế tạo đặc biệt đến cổng mặc định 61616 của ActiveMQ. Khi payload này được xử lý, nó sẽ trigger (kích hoạt) việc thực thi arbitrary code (mã tùy ý) với quyền của tiến trình ActiveMQ.

Quá trình tấn công diễn ra trong vài giây và không cần authentication (xác thực). Sau khi thành công, attacker (kẻ tấn công) có thể cài đặt backdoor (cửa hậu), đánh cắp dữ liệu hoặc sử dụng máy chủ bị tấn công làm bàn đạp để lateral movement (di chuyển ngang) trong mạng nội bộ. Chúng tôi cho rằng đây là điểm đặc biệt nguy hiểm vì ActiveMQ thường được cấu hình với privileged access (quyền truy cập cao) để thực hiện các tác vụ integration (tích hợp) hệ thống.

Tác động lan rộng đến doanh nghiệp

Các báo cáo từ security community (cộng đồng bảo mật) cho thấy hơn 10.000 instance ActiveMQ đang bị exposed (phơi bày) trên Internet toàn cầu. Trong đó, ước tính khoảng 300-500 hệ thống tại Việt Nam có thể bị ảnh hưởng trực tiếp. Con số này có thể còn cao hơn nếu tính các hệ thống nằm trong mạng nội bộ nhưng có thể bị tấn công thông qua các vector (véc-tơ) khác.

Chúng tôi đã ghi nhận một số incident (sự cố) nghi ngờ liên quan đến lỗ hổng này tại các doanh nghiệp logistics và fintech Việt Nam. Mặc dù chưa có thống kê chính thức, nhưng pattern (mẫu hình) tấn công cho thấy tin tặc đang tập trung vào các mục tiêu có giá trị kinh tế cao, đặc biệt là những hệ thống xử lý giao dịch tài chính.

Hướng dẫn bảo vệ khẩn cấp cho doanh nghiệp

Bước đầu tiên và quan trọng nhất là update Apache ActiveMQ lên phiên bản mới nhất đã vá lỗ hổng này. Nếu không thể cập nhật ngay lập tức, hãy đặt ActiveMQ sau firewall và chỉ cho phép truy cập từ các IP đã được whitelist (danh sách trắng). Disable (vô hiệu hóa) JMX connector nếu không sử dụng và thay đổi port mặc định từ 61616 sang một port khác.

Triển khai network monitoring (giám sát mạng) để phát hiện các connection attempt (nỗ lực kết nối) bất thường đến ActiveMQ. Enable logging chi tiết và thiết lập alert (cảnh báo) cho các hoạt động authentication failure (thất bại xác thực) hoặc unusual payload patterns (mẫu tải trọng bất thường). Quan trọng nhất, hãy tiến hành security assessment (đánh giá bảo mật) toàn diện để xác định xem hệ thống có bị compromise (xâm nhập) hay không.