Điểm số 9.8 trên thang đo CVSS - mức nguy hiểm gần như tuyệt đối trong thế giới an ninh mạng. Đây chính là con số mà lỗ hổng bảo mật CVE-2026-29014 trên MetInfo CMS đã đạt được, đồng thời đang bị các nhóm hacker khai thác ồ ạt trên quy mô toàn cầu. Công ty nghiên cứu bảo mật VulnCheck vừa cảnh báo về cuộc tấn công có chủ đích nhằm vào hệ quản trị nội dung mã nguồn mở này. Tình hình trở nên nghiêm trọng khi hàng nghìn website tại Việt Nam đang sử dụng MetInfo làm nền tảng chính.

Khi hacker không cần mật khẩu vẫn chiếm được toàn bộ website

CVE (Common Vulnerabilities and Exposures - hệ thống định danh lỗ hổng bảo mật quốc tế) CVE-2026-29014 là một lỗ hổng code injection (tiêm mã độc) cực kỳ nguy hiểm. Điều đáng lo ngại nhất là đây là lỗ hổng unauthenticated (không cần xác thực), nghĩa là hacker không cần có tài khoản hay mật khẩu gì cả. Chỉ cần biết website đang dùng MetInfo, chúng có thể tấn công ngay lập tức.

Theo phân tích của VulnCheck, lỗ hổng này ảnh hưởng đến ba phiên bản chính của MetInfo CMS bao gồm 7.9, 8.0 và 8.1. Cơ chế tấn công hoạt động thông qua việc tiêm mã PHP độc hại vào hệ thống, cho phép thực thi lệnh tùy ý (arbitrary code execution). Chúng tôi cho rằng đây là một trong những lỗ hổng nguy hiểm nhất trong năm 2024 đối với cộng đồng website Việt Nam sử dụng CMS mã nguồn mở.

Phẫu thuật chi tiết cách thức tấn công của tin tặc

Kỹ thuật PHP code injection mà hacker đang sử dụng hoạt động theo nguyên lý tận dụng lỗi xử lý dữ liệu đầu vào của MetInfo CMS. Khi website nhận request từ người dùng, hệ thống không kiểm tra và lọc kỹ các tham số được truyền vào. Hacker lợi dụng điểm yếu này để chèn đoạn mã PHP độc hại vào request, khiến server thực thi mã này với quyền của ứng dụng web.

Quá trình tấn công diễn ra theo từng bước cụ thể: đầu tiên tin tặc quét tìm website sử dụng MetInfo CMS thông qua các dấu hiệu nhận dạng. Tiếp theo, chúng gửi payload chứa mã PHP độc hại qua các parameter dễ bị tấn công. Cuối cùng là thực thi lệnh trên server, từ đó có thể tải lên webshell, đánh cắp dữ liệu, hoặc biến website thành botnet phục vụ các cuộc tấn công khác. Theo kinh nghiệm 10 năm của chúng tôi, đây là kiểu tấn công có tính hủy diệt cao nhất đối với website vừa và nhỏ.

Thảm họa kép: thiệt hại tài chính và uy tín không thể đo đếm

Tác động của lỗ hổng CVE-2026-29014 không chỉ dừng lại ở việc website bị hack đơn thuần. Khi hacker chiếm được quyền điều khiển server, chúng có thể thực hiện hàng loạt hành vi phá hoại nghiêm trọng. Database chứa thông tin khách hàng, giao dịch tài chính, dữ liệu kinh doanh đều có nguy cơ bị đánh cắp hoặc mã hóa tống tiền.

Đối với thị trường Việt Nam, ước tính có hơn 2.000 website đang sử dụng MetInfo CMS, chủ yếu là các doanh nghiệp vừa và nhỏ, website thương mại điện tử, và cổng thông tin của các tổ chức. Chi phí khắc phục hậu quả một vụ tấn công thành công có thể lên đến hàng trăm triệu đồng, chưa kể thiệt hại về uy tín và sự tin tưởng của khách hàng. Chúng tôi đánh giá đây là mối đe dọa cấp độ quốc gia đối với an ninh mạng Việt Nam.

Lộ trình cứu website trong tình huống khẩn cấp

Hành động đầu tiên và quan trọng nhất là ngừng sử dụng ngay các phiên bản MetInfo CMS 7.9, 8.0, và 8.1. Administrator cần truy cập vào hosting panel hoặc server để tạm thời chuyển website sang chế độ bảo trì (maintenance mode). Đồng thời kiểm tra log files để phát hiện các dấu hiệu bất thường như request chứa mã PHP, IP truy cập lạ, hoặc file được tạo/sửa đổi gần đây mà không rõ nguồn gốc.

Bước tiếp theo là backup toàn bộ dữ liệu quan trọng và quét virus toàn diện bằng các công cụ chuyên dụng. Nếu phát hiện dấu hiệu nhiễm mã độc, cần khôi phục từ bản backup sạch trước khi lỗ hổng được công bố. Cuối cùng là cập nhật lên phiên bản MetInfo mới nhất hoặc cân nhắc chuyển đổi sang nền tảng CMS khác có độ bảo mật cao hơn như WordPress với các plugin security chuyên nghiệp. Theo kinh nghiệm của chúng tôi, những website hành động trong 24-48 giờ tới sẽ tránh được rủi ro lớn nhất.