Hơn 40.000 máy chủ trên toàn thế giới đang trở thành nạn nhân của một chiến dịch tấn công quy mô lớn nhắm vào nền tảng quản lý hosting cPanel. Các hacker đang khai thác một lỗ hổng zero-day nghiêm trọng để chiếm quyền kiểm soát hoàn toàn hệ thống. Cuộc tấn công này không chỉ đe dọa hàng nghìn doanh nghiệp mà còn có thể ảnh hưởng đến hàng triệu website đang được lưu trữ trên những máy chủ này. Chúng tôi cho rằng đây có thể là một trong những vụ tấn công hạ tầng hosting nghiêm trọng nhất trong năm 2024.

Chiến dịch tấn công có quy mô chưa từng thấy

Cuộc tấn công đang nhắm vào lỗ hổng mang mã CVE-2026-41940 - một zero-day vulnerability (lỗ hổng ngày zero) vừa được phát hiện và vá trong cPanel. CVE là viết tắt của Common Vulnerabilities and Exposures, hệ thống mã hóa quốc tế để định danh các lỗ hổng bảo mật. Điều đáng lo ngại là lỗ hổng này cho phép kẻ tấn công có được quyền truy cập quản trị (administrative access) vào toàn bộ hệ thống máy chủ mà không cần xác thực.

cPanel là một trong những bảng điều khiển quản lý hosting phổ biến nhất thế giới, được sử dụng bởi hàng triệu website và dịch vụ lưu trữ. Khi một máy chủ cPanel bị xâm nhập, hacker có thể kiểm soát tất cả các website, cơ sở dữ liệu, email và dịch vụ khác được lưu trữ trên đó. Chúng tôi ước tính rằng mỗi máy chủ bị tấn công có thể chứa từ 50 đến 1000 website khác nhau, nghĩa là tổng số trang web bị ảnh hưởng có thể lên đến hàng triệu.

Bản chất kỹ thuật của lỗ hổng zero-day

Zero-day vulnerability là thuật ngữ chỉ những lỗ hổng bảo mật chưa được phát hiện và vá lỗi bởi nhà phát triển phần mềm. Trong trường hợp này, CVE-2026-41940 tồn tại trong các thành phần xử lý xác thực của cPanel, cho phép kẻ tấn công bypass (bỏ qua) các cơ chế bảo vệ và leo thang đặc quyền lên mức quản trị viên. Điều này có nghĩa là hacker có thể thực hiện mọi hành động mà một quản trị viên hợp pháp có thể làm.

Theo phân tích của chúng tôi, các cuộc tấn công đang được thực hiện một cách có tổ chức và có mục tiêu rõ ràng. Thay vì tấn công ngẫu nhiên, các hacker dường như đang sử dụng các công cụ tự động để quét và xác định các máy chủ cPanel dễ bị tổn thương, sau đó triển khai payload để duy trì quyền truy cập dài hạn. Phương thức tấn công này cho thấy đây không phải là hành vi của hacker nghiệp dư mà có thể là một nhóm tội phạm mạng chuyên nghiệp.

Tác động tàn phá đối với hệ sinh thái digital

Con số 40.000 máy chủ bị xâm nhập không chỉ là một thống kê khô khan. Nếu tính trung bình mỗi máy chủ hosting lưu trữ 200 website, chúng ta đang nói đến khoảng 8 triệu website có khả năng bị ảnh hưởng. Điều này bao gồm các trang thương mại điện tử, blog cá nhân, website doanh nghiệp và thậm chí cả một số dịch vụ chính phủ sử dụng hosting thương mại.

Chúng tôi đặc biệt lo ngại về tình hình tại Việt Nam, nơi nhiều doanh nghiệp vừa và nhỏ phụ thuộc vào các dịch vụ hosting quốc tế sử dụng cPanel. Theo thống kê không chính thức, có khoảng 15-20% website Việt Nam đang sử dụng hosting với cPanel, tương đương khoảng 150.000 đến 200.000 trang web có khả năng gặp rủi ro. Các ngành nghề như thương mại điện tử, du lịch và dịch vụ tài chính sẽ là những mục tiêu ưu tiên của các cuộc tấn công tiếp theo.

Hành động khẩn cấp cho doanh nghiệp Việt Nam

Nếu doanh nghiệp của bạn đang sử dụng hosting với cPanel, cần thực hiện ngay các bước sau: Đầu tiên, liên hệ ngay với nhà cung cấp hosting để xác nhận họ đã cập nhật bản vá bảo mật mới nhất cho CVE-2026-41940. Thứ hai, thay đổi tất cả mật khẩu liên quan đến cPanel, bao gồm mật khẩu quản trị, FTP và cơ sở dữ liệu. Thứ ba, kích hoạt xác thực hai yếu tố (2FA) cho tất cả tài khoản quản trị nếu chưa có.

Đối với các website quan trọng, chúng tôi khuyến cáo nên thực hiện backup toàn bộ dữ liệu ngay lập tức và lưu trữ offline. Kiểm tra log truy cập trong 2-3 tuần gần đây để phát hiện các hoạt động bất thường. Nếu phát hiện dấu hiệu xâm nhập như file lạ được tạo, tài khoản mới được thêm vào hoặc lưu lượng truy cập bất thường, cần ngắt kết nối máy chủ khỏi internet và liên hệ chuyên gia bảo mật để khắc phục. Thời gian vàng để ngăn chặn tác hại là 24-48 giờ kể từ khi bản vá được phát hành.