Liệu bạn có tin rằng một lỗ hổng bảo mật có thể ẩn nấp suốt 13 năm mà không ai phát hiện? Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) vừa đưa ra cảnh báo đỏ về lỗ hổng CVE-2023-46604 trong Apache ActiveMQ - một phần mềm quản lý thông điệp được hàng triệu doanh nghiệp toàn cầu sử dụng. Điều đáng lo ngại nhất không phải mức độ nghiêm trọng cao của lỗ hổng, mà là việc nó đã tồn tại từ năm 2010 và giờ đây đang bị hacker khai thác một cách có hệ thống. Chúng tôi cho rằng đây có thể là một trong những cuộc tấn công quy mô lớn nhất trong năm 2024.

Khi 'ông già' ActiveMQ trở thành mục tiêu béo bở

Apache ActiveMQ không phải cái tên xa lạ trong giới công nghệ. Đây là một message broker (phần mềm môi giới thông điệp) mã nguồn mở được sử dụng rộng rãi để kết nối các ứng dụng và dịch vụ khác nhau trong hệ thống doanh nghiệp. Từ các ngân hàng lớn đến các công ty thương mại điện tử, ActiveMQ đóng vai trò như 'người phát ngôn' giúp các hệ thống nói chuyện với nhau một cách trơn tru.

Tuy nhiên, chính sự phổ biến này đã biến ActiveMQ thành 'miếng mồi ngon' cho tin tặc. Lỗ hổng CVE-2023-46604 cho phép kẻ tấn công thực hiện remote code execution (RCE) - tức là có thể chạy mã độc từ xa mà không cần xác thực. Theo thống kê từ Shodan, hiện có hơn 100.000 máy chủ ActiveMQ đang kết nối internet trên toàn thế giới, trong đó riêng Việt Nam có khoảng 500 máy chủ tiềm ẩn rủi ro.

Giải mã bí ẩn 13 năm 'ngủ vùi' của lỗ hổng thế kỷ

Lỗ hổng này nằm trong thành phần OpenWire protocol của ActiveMQ, cho phép deserialization (quá trình chuyển đổi dữ liệu) không an toàn. Nói một cách đơn giản, hacker có thể 'đóng gói' mã độc vào một gói tin bình thường và gửi đến máy chủ ActiveMQ. Khi máy chủ 'mở gói' và xử lý dữ liệu này, mã độc sẽ được kích hoạt và cấp quyền điều khiển toàn bộ hệ thống cho kẻ tấn công.

Câu hỏi đặt ra là tại sao một lỗ hổng nghiêm trọng như vậy lại có thể ẩn nấp suốt 13 năm? Theo phân tích của chúng tôi, có ba yếu tố chính: thứ nhất, ActiveMQ thường được triển khai trong mạng nội bộ nên ít bị kiểm tra bảo mật; thứ hai, lỗ hổng nằm ở tầng sâu của giao thức nên khó phát hiện bằng các công cụ quét thông thường; thứ ba, việc khai thác cần kiến thức chuyên sâu về Java serialization nên không phải hacker nào cũng có thể thực hiện.

Từ 'con số 0' đến làn sóng tấn công toàn cầu

CISA đưa CVE-2023-46604 vào danh sách Known Exploited Vulnerabilities (KEV) - danh mục các lỗ hổng đang bị khai thác tích cực. Điều này có nghĩa các cuộc tấn công không còn là 'giả thuyết' mà đã trở thành hiện thực đen tối. Theo báo cáo từ các nhóm nghiên cứu bảo mật, đã có ít nhất 50 vụ tấn công được ghi nhận trong tuần đầu sau khi lỗ hổng được công bố.

Tác động của lỗ hổng này không chỉ dừng lại ở việc chiếm quyền điều khiển máy chủ. Hacker có thể sử dụng ActiveMQ làm 'bàn đạp' để lateral movement (di chuyển ngang) trong mạng nội bộ, đánh cắp dữ liệu nhạy cảm, triển khai ransomware hoặc thậm chí xây dựng botnet. Với Việt Nam, nơi có hàng trăm doanh nghiệp sử dụng ActiveMQ trong hệ thống thanh toán và quản lý khách hàng, rủi ro này càng trở nên nghiêm trọng hơn.

Lá chắn bảo vệ: Hành động ngay trước khi quá muộn

Apache đã phát hành bản vá cho lỗ hổng này trong ActiveMQ phiên bản 5.15.16, 5.16.7, 5.17.6 và 5.18.3. Tuy nhiên, việc cập nhật không phải lúc nào cũng đơn giản với các hệ thống production. Chúng tôi khuyến nghị các doanh nghiệp Việt Nam thực hiện ngay các bước sau: đầu tiên, rà soát tất cả máy chủ ActiveMQ trong hệ thống và xác định phiên bản đang sử dụng; thứ hai, nếu không thể cập nhật ngay lập tức, hãy cô lập ActiveMQ khỏi internet hoặc sử dụng firewall để hạn chế truy cập.

Đối với các tổ chức chưa thể triển khai bản vá, một giải pháp tạm thời là vô hiệu hóa OpenWire transport connector hoặc cấu hình authentication/authorization nghiêm ngặt. Đồng thời, tăng cường giám sát log để phát hiện các dấu hiệu bất thường như kết nối từ IP lạ hoặc các request deserialization đáng ngờ. Kinh nghiệm từ các vụ tấn công Log4Shell hay Spring4Shell cho thấy, những ai hành động nhanh nhất sẽ tránh được thiệt hại lớn nhất.