Chỉ trong vòng 24 giờ qua, Ivanti - một trong những nhà cung cấp giải pháp bảo mật hàng đầu thế giới - đã phải phát cảnh báo khẩn về việc hacker đang tích cực khai thác lỗ hổng mới trên hệ thống Endpoint Manager Mobile (EPMM). Điều đáng lo ngại là cuộc tấn công không còn ở dạng lý thuyết mà đã diễn ra trên thực tế. Các chuyên gia an ninh mạng đánh giá đây là một trong những mối đe dọa nghiêm trọng nhất đối với doanh nghiệp trong quý đầu năm 2024.

Cuộc tấn công thầm lặng đã bắt đầu

Lỗ hổng mang mã định danh CVE-2026-6973 (CVE là hệ thống mã hóa lỗ hổng bảo mật quốc tế) đã được xếp ở mức nghiêm trọng cao với điểm CVSS là 7.2/10. Theo thông tin từ Ivanti, các cuộc tấn công có phạm vi hạn chế nhưng đều nhắm vào những mục tiêu có giá trị cao. Đặc biệt nguy hiểm, lỗ hổng này cho phép kẻ tấn công thực thi mã độc từ xa (Remote Code Execution - RCE) sau khi đã có quyền truy cập quản trị.

Chúng tôi nhận định rằng việc phát hiện các cuộc tấn công thực tế chỉ là phần nổi của tảng băng chìm. Với đặc tính của tấn công APT (Advanced Persistent Threat - tấn công dai dẳng nâng cao), nhiều doanh nghiệp có thể đã bị xâm nhập mà không hề hay biết. Kinh nghiệm từ các sự cố bảo mật trước đây cho thấy, khi Ivanti công bố cảnh báo nghĩa là tình hình đã trở nên nghiêm trọng.

Khi lập trình viên "quên" kiểm tra đầu vào

Nguyên nhân gốc rễ của CVE-2026-6973 nằm ở lỗi "improper input validation" - tức là hệ thống không kiểm tra đúng cách dữ liệu mà người dùng nhập vào. Đây là một trong những lỗi phổ biến nhất trong lập trình, nhưng hậu quả lại vô cùng nghiêm trọng. Khi hacker gửi các lệnh độc hại được "ngụy trang" trong dữ liệu đầu vào, hệ thống sẽ thực thi chúng như những lệnh hợp pháp.

Lỗ hổng này ảnh hưởng đến các phiên bản EPMM trước 12.6.1.1, 12.7.0.1 và 12.8.0.1. Điều đáng lo ngại là EPMM là giải pháp quản lý thiết bị di động doanh nghiệp, có quyền truy cập sâu vào hệ thống mạng nội bộ. Một khi bị chiếm quyền kiểm soát, toàn bộ hạ tầng IT của doanh nghiệp sẽ nằm trong tầm ngắm của tin tặc. Theo thống kê từ Cục An toàn thông tin, hơn 60% doanh nghiệp Việt Nam sử dụng các giải pháp quản lý thiết bị di động của các nhà cung cấp nước ngoài.

Cánh cửa dẫn đến thảm họa dữ liệu

Tác động của lỗ hổng CVE-2026-6973 không chỉ dừng lại ở việc chiếm quyền admin. Với khả năng thực thi mã từ xa, hacker có thể cài đặt malware, đánh cắp dữ liệu nhạy cảm, hoặc tệ hơn nữa là triển khai ransomware trên toàn bộ mạng doanh nghiệp. Chúng tôi ước tính thiệt hại trung bình cho một vụ tấn công thành công có thể lên đến hàng trăm tỷ đồng, chưa kể đến việc mất uy tín và gián đoạn hoạt động kinh doanh.

Đặc biệt đối với các doanh nghiệp Việt Nam trong lĩnh vực tài chính, viễn thông và y tế - những ngành có nhiều dữ liệu nhạy cảm - việc bị tấn công qua lỗ hổng này có thể dẫn đến vi phạm nghiêm trọng các quy định về bảo vệ dữ liệu cá nhân. Nghị định 13/2023 về bảo vệ dữ liệu cá nhân đã quy định mức phạt lên đến 5% doanh thu hàng năm đối với các vi phạm nghiêm trọng.

Hành động cứu cánh trong "giờ vàng"

Doanh nghiệp đang sử dụng Ivanti EPMM cần thực hiện ngay các bước sau để bảo vệ hệ thống. Đầu tiên, kiểm tra phiên bản EPMM hiện tại thông qua bảng điều khiển quản trị. Nếu phiên bản thấp hơn 12.6.1.1, 12.7.0.1 hoặc 12.8.0.1, cần lập tức lên kế hoạch cập nhật khẩn cấp trong vòng 48 giờ tới.

Trong thời gian chờ cập nhật, IT Manager cần tăng cường giám sát log hệ thống, đặc biệt chú ý đến các hoạt động bất thường từ tài khoản admin. Đồng thời, cần cân nhắc tạm thời hạn chế quyền truy cập từ xa đến hệ thống EPMM và chỉ cho phép truy cập từ các địa chỉ IP được whitelist. Theo khuyến nghị của chúng tôi, doanh nghiệp nên liên hệ ngay với đội ngũ IT security hoặc nhà cung cấp dịch vụ để được hỗ trợ đánh giá và xử lý kịp thời.