Chỉ trong một đêm, hàng triệu website trên toàn thế giới bất ngờ trở thành mục tiêu dễ dàng cho tin tặc. Nguyên nhân đến từ một lỗ hổng nghiêm trọng trong cPanel - hệ thống quản lý hosting được sử dụng bởi 70% các nhà cung cấp web hosting toàn cầu. Điều đáng lo ngại hơn, các chuyên gia bảo mật khẳng định tin tặc đã biết và khai thác lỗ hổng này từ trước khi nó được công bố chính thức. Chúng tôi cho rằng đây là một trong những cuộc khủng hoảng an ninh mạng nghiêm trọng nhất năm 2024.

Cuộc tấn công âm thầm kéo dài cả tháng

Authentication-bypass vulnerability (lỗ hổng bỏ qua xác thực) trong cPanel cho phép tin tặc truy cập trái phép vào bảng điều khiển quản trị website mà không cần mật khẩu. Đây chính là cánh cửa chính để điều khiển toàn bộ website, từ cơ sở dữ liệu đến file hệ thống. Các nghiên cứu viên bảo mật đã phát hiện dấu hiệu cho thấy hoạt động zero-day - tức là tin tặc đã khai thác lỗ hổng này trước khi các nhà phát triển biết đến sự tồn tại của nó.

Thông tin từ nhiều nguồn cho biết, ít nhất trong một tháng qua, nhiều website đã bị xâm nhập một cách bí ẩn mà chủ sở hữu không hề hay biết. Các cuộc tấn công này được thực hiện rất tinh vi, không để lại dấu vết rõ ràng trong log hệ thống. Chúng tôi đánh giá đây là một chiến dịch có tổ chức, được thực hiện bởi những nhóm hacker có trình độ cao và am hiểu sâu về kiến trúc cPanel.

Khi mã khai thác lan tràn như virus

Proof-of-concept exploits (mã chứng minh khái niệm khai thác) đã xuất hiện chỉ vài giờ sau khi lỗ hổng được tiết lộ công khai. Điều này có nghĩa ngay cả những hacker nghiệp dư cũng có thể dễ dàng tấn công các website sử dụng cPanel. CVE (Common Vulnerabilities and Exposures - hệ thống định danh lỗ hổng bảo mật quốc tế) đã gán mức độ nghiêm trọng cao nhất cho lỗ hổng này.

Các chuyên gia so sánh tình huống hiện tại với cuộc khủng hoảng Log4j vào cuối năm 2021, khi hàng triệu hệ thống trên toàn thế giới phải vội vàng cập nhật bản vá. Tuy nhiên, cPanel có tính chất phổ biến và quan trọng hơn nhiều đối với các website nhỏ và vừa. Chúng tôi quan sát thấy trên các diễn đàn underground, giá của các công cụ khai thác tự động đã giảm mạnh do nguồn cung tăng đột biến.

Những con số đáng báo động

Theo thống kê từ các công ty bảo mật hàng đầu, có khoảng 100 triệu website trên toàn thế giới sử dụng hosting dựa trên cPanel. Tại Việt Nam, con số này ước tính khoảng 2-3 triệu website, bao gồm cả các trang thương mại điện tử, blog cá nhân và website doanh nghiệp vừa và nhỏ. Đặc biệt, nhiều website của các cơ quan, tổ chức trong nước cũng đang sử dụng hosting có tích hợp cPanel.

Trong vòng 48 giờ qua, các hệ thống giám sát an ninh mạng đã ghi nhận hơn 50.000 lượt quét tìm lỗ hổng cPanel trên toàn cầu. Con số này tăng gấp 20 lần so với mức bình thường. Chúng tôi cho rằng đây mới chỉ là làn sóng đầu tiên, các cuộc tấn công quy mô lớn có thể sẽ diễn ra trong những ngày tới khi nhiều nhóm hacker hơn nữa nắm được thông tin chi tiết về lỗ hổng.

Hành động khẩn cấp để bảo vệ website

Chủ sở hữu website cần thực hiện ngay các bước sau: Đầu tiên, liên hệ ngay với nhà cung cấp hosting để xác nhận họ đã cập nhật bản vá bảo mật cho cPanel chưa. Thứ hai, thay đổi toàn bộ mật khẩu truy cập cPanel, FTP và database. Thứ ba, kiểm tra log truy cập trong 30 ngày qua để phát hiện các hoạt động bất thường. Cuối cùng, sao lưu toàn bộ dữ liệu website xuống thiết bị lưu trữ offline để phòng trường hợp xấu nhất.

Các doanh nghiệp lớn nên cân nhắc chuyển sang sử dụng các giải pháp quản lý server chuyên nghiệp thay vì dựa vào cPanel. Chúng tôi khuyến nghị thiết lập hệ thống giám sát bảo mật 24/7 và thực hiện đánh giá rủi ro an ninh mạng định kỳ. Đối với các website quan trọng, việc thuê dịch vụ bảo mật chuyên nghiệp là điều cần thiết trong bối cảnh hiện tại.