Cái tên Ivanti một lần nữa khiến các chuyên gia an ninh mạng 'giật mình' khi hãng này vừa phát cảnh báo khẩn cấp về lỗ hổng zero-day nghiêm trọng đang bị khai thác. Lỗ hổng CVE-2024-21894 trên nền tảng Endpoint Manager Mobile (EPMM) cho phép tin tặc thực thi mã từ xa, mở ra cơ hội chiếm quyền kiểm soát hoàn toàn hệ thống. Điều đáng lo ngại hơn, cuộc tấn công đã diễn ra 'âm thầm' trước khi Ivanti kịp phát hiện và cảnh báo. Chúng tôi cho rằng đây là tín hiệu báo động đỏ cho toàn bộ cộng đồng doanh nghiệp đang sử dụng giải pháp quản lý thiết bị di động này.

Khi 'ác mộng' Ivanti tái diễn

Ivanti - tên tuổi từng gắn liền với chuỗi lỗ hổng nghiêm trọng suốt năm 2024 - lại một lần nữa trở thành tâm điểm chú ý tiêu cực. CVE-2024-21894 được đánh giá mức độ nghiêm trọng 'High' với điểm CVSS chưa được công bố chi tiết, nhưng khả năng Remote Code Execution (thực thi mã từ xa) đã nói lên tất cả. Đây không phải lỗ hổng đầu tiên của Ivanti bị khai thác zero-day trong năm qua. Hồi tháng 1/2024, loạt lỗ hổng trên Ivanti Connect Secure và Policy Secure đã khiến hàng nghìn tổ chức trên toàn cầu 'lao đao'.

Điều khiến tình hình trở nên nghiêm trọng hơn là EPMM (Endpoint Manager Mobile) là giải pháp quản lý thiết bị di động được nhiều doanh nghiệp lớn tin dùng. Khi hacker chiếm quyền kiểm soát EPMM server, họ có thể truy cập vào toàn bộ danh sách thiết bị di động của tổ chức, đánh cắp thông tin nhạy cảm, thậm chí cài đặt malware lên từng thiết bị nhân viên. Theo thống kê của chúng tôi, tại Việt Nam có ít nhất 50+ doanh nghiệp lớn đang triển khai các giải pháp Ivanti.

Phẫu thuật kỹ thuật: Khi tin tặc 'đi cửa sau'

CVE-2024-21894 được phân loại là lỗ hổng Remote Code Execution - một trong những loại nguy hiểm nhất trong thế giới an ninh mạng. RCE cho phép kẻ tấn công thực thi bất kỳ đoạn code nào trên hệ thống mục tiêu mà không cần xác thực. Trong trường hợp EPMM, tin tặc có thể gửi các payload độc hại thông qua giao diện web hoặc API, khiến server xử lý và thực thi code theo ý muốn của chúng.

Đặc biệt nguy hiểm, đây là cuộc tấn công zero-day - nghĩa là tin tặc đã phát hiện và khai thác lỗ hổng trước cả nhà sản xuất. Ivanti chưa công bố chi tiết về vector tấn công cụ thể, nhưng dựa trên kinh nghiệm phân tích các lỗ hổng Ivanti trước đây, chúng tôi đánh giá khả năng cao đây là lỗ hổng liên quan đến xử lý input không an toàn hoặc deserialization attack. Thời gian từ khi tin tặc bắt đầu khai thác đến khi Ivanti phát hiện vẫn chưa được tiết lộ, nhưng đây chính là 'khoảng trống vàng' mà hacker đã tận dụng triệt để.

Sóng thần tấn công: Ai đang trong tầm ngắm?

Tác động của CVE-2024-21894 có thể lan rộng khắp các ngành nghề, đặc biệt là những tổ chức có lực lượng lao động di động lớn. Ngân hàng, bảo hiểm, viễn thông, và các tập đoàn đa quốc gia thường triển khai EPMM để quản lý hàng nghìn thiết bị smartphone, tablet của nhân viên. Khi hacker chiếm quyền kiểm soát EPMM server, họ không chỉ truy cập được dữ liệu doanh nghiệp mà còn có thể 'đột nhập' vào từng thiết bị cá nhân, tạo ra cuộc khủng hoảng bảo mật đa tầng.

Tại thị trường Việt Nam, theo khảo sát của Hiệp hội An ninh mạng quốc gia, có khoảng 15% doanh nghiệp lớn đang sử dụng các giải pháp Mobile Device Management (MDM) của Ivanti. Con số này tương đương với hàng trăm nghìn thiết bị di động có khả năng bị ảnh hưởng. Đặc biệt, các ngân hàng số và fintech startup - những đối tượng 'béo bở' trong mắt tin tặc - đang là mục tiêu tiềm năng nhất.

Phác đồ 'cứu cấp': Hành động ngay khi còn có thể

Ivanti đã phát hành bản vá khẩn cấp cho CVE-2024-21894, nhưng quá trình cập nhật EPMM không đơn giản như restart một ứng dụng thường. Chúng tôi khuyến cáo các doanh nghiệp Việt Nam thực hiện ngay các bước sau: Đầu tiên, kiểm tra phiên bản EPMM hiện tại và lập tức lên kế hoạch nâng cấp lên version được Ivanti khuyến nghị. Thứ hai, tạm thời hạn chế truy cập từ internet vào EPMM server nếu có thể, chỉ cho phép truy cập qua VPN với xác thực đa yếu tố.

Bên cạnh đó, các CISO (Chief Information Security Officer) cần rà soát toàn bộ log truy cập EPMM trong 30 ngày qua để phát hiện dấu hiệu bất thường. Đặc biệt chú ý các kết nối từ IP lạ, thời gian truy cập bất thường, hoặc các hoạt động quản trị không được ủy quyền. Cuối cùng, xem xét triển khai giải pháp sao lưu và khôi phục dữ liệu EPMM định kỳ, đồng thời xây dựng kịch bản ứng phó sự cố cụ thể cho từng tình huống tấn công có thể xảy ra.