Ivanti một lần nữa trở thành tâm điểm chú ý với lý do không ai mong muốn. Lỗ hổng zero-day CVE-2024-6973 trên nền tảng Enterprise Mobile Management (EPMM) đã bị tin tặc khai thác trong thực tế trước khi có bản vá. Đây là tình huống mà mọi chuyên gia bảo mật lo sợ nhất - kẻ tấn công biết trước nhà sản xuất và người dùng.

Khi tin tặc đi trước một bước

CVE-2024-6973 được đánh giá ở mức nghiêm trọng cao (high-severity), cho phép kẻ tấn công thực thi mã độc tùy ý trên hệ thống. Điều đặc biệt nguy hiểm là lỗ hổng này chỉ yêu cầu quyền quản trị (admin privileges) để khai thác. Chúng tôi cho rằng đây là một thiết kế bảo mật có vấn đề khi quyền admin có thể dẫn đến kiểm soát hoàn toàn hệ thống.

Zero-day là thuật ngữ chỉ những lỗ hổng bảo mật chưa được công bố và vá lỗi, khiến người dùng hoàn toàn không thể phòng thủ. Trong trường hợp này, các cuộc tấn công có chủ đích (targeted attacks) đã diễn ra trước khi Ivanti kịp phát hiện và phát hành bản vá. Điều này cho thấy mức độ tinh vi của nhóm tin tặc đứng sau.

Ivanti và chuỗi sự cố bảo mật kéo dài

Đây không phải lần đầu tiên Ivanti gặp phải tình huống tương tự. Từ đầu năm 2024, hãng này đã phải đối mặt với hàng loạt lỗ hổng nghiêm trọng trên các sản phẩm khác nhau. Điều này làm dấy lên câu hỏi về quy trình phát triển bảo mật (secure development lifecycle) tại công ty.

EPMM (Enterprise Mobile Management) là giải pháp quản lý thiết bị di động doanh nghiệp, được nhiều tổ chức lớn sử dụng để kiểm soát smartphone, tablet của nhân viên. Khi hệ thống này bị tấn công, toàn bộ dữ liệu doanh nghiệp trên thiết bị di động có thể bị lộ. Chúng tôi đánh giá đây là một vector tấn công cực kỳ có giá trị đối với tin tặc nhắm vào các tập đoàn.

Tác động lan rộng đến doanh nghiệp toàn cầu

Các cuộc tấn công có chủ đích thường nhắm vào những mục tiêu có giá trị cao như cơ quan chính phủ, tập đoàn đa quốc gia, hoặc các công ty trong lĩnh vực tài chính, viễn thông. Việc kiểm soát được hệ thống quản lý thiết bị di động cho phép tin tặc truy cập vào kho dữ liệu khổng lồ bao gồm email, tài liệu nội bộ, thậm chí cả thông tin khách hàng.

Tại Việt Nam, nhiều doanh nghiệp lớn đang sử dụng các giải pháp MDM (Mobile Device Management) tương tự để quản lý thiết bị nhân viên. Theo báo cáo của Cục An toàn thông tin, số vụ tấn công mạng nhắm vào doanh nghiệp Việt Nam đã tăng 25% trong năm 2024. Lỗ hổng này có thể trở thành cửa ngõ mới cho tin tặc thâm nhập vào hệ thống doanh nghiệp trong nước.

Hành động khẩn cấp cho doanh nghiệp Việt Nam

Các tổ chức đang sử dụng Ivanti EPMM cần thực hiện ngay các bước sau: Đầu tiên, kiểm tra phiên bản hiện tại và cập nhật lên bản vá mới nhất do Ivanti phát hành. Thứ hai, rà soát nhật ký hệ thống (system logs) để phát hiện các hoạt động bất thường trong thời gian qua. Thứ ba, tạm thời hạn chế quyền truy cập admin không cần thiết.

Chúng tôi khuyến nghị các doanh nghiệp nên xem xét triển khai giải pháp phát hiện và ứng phó sự cố (EDR - Endpoint Detection and Response) để giám sát liên tục các hoạt động đáng ngờ. Đồng thời, xây dựng kế hoạch ứng phó sự cố cụ thể cho trường hợp hệ thống MDM bị tấn công, bao gồm cách ly thiết bị bị nhiễm và khôi phục dữ liệu quan trọng.