Hàng triệu website trên toàn cầu đang đứng trước nguy cơ bị tấn công sau khi Apache Software Foundation (ASF) công bố lỗ hổng bảo mật nghiêm trọng trong Apache HTTP Server. Lỗ hổng mang mã CVE-2026-23918 có điểm đánh giá CVSS 8.8/10 - mức nguy hiểm cao. Điều đáng lo ngại nhất là khả năng cho phép hacker thực thi mã độc từ xa (Remote Code Execution - RCE) hoặc tấn công từ chối dịch vụ (DoS). Đây là một trong những lỗ hổng nghiêm trọng nhất trong lịch sử phần mềm web server phổ biến nhất thế giới.

Cuộc khủng hoảng từ giao thức HTTP/2

CVE-2026-23918 được mô tả là lỗi "double free and possible RCE" xảy ra trong quá trình xử lý giao thức HTTP/2. Để hiểu rõ hơn, "double free" là lỗi lập trình nghiêm trọng khi hệ thống cố gắng giải phóng cùng một vùng nhớ hai lần, dẫn đến crash ứng dụng hoặc tệ hơn là cho phép thực thi mã độc. HTTP/2 là phiên bản cải tiến của giao thức HTTP truyền thống, được thiết kế để tăng tốc độ tải trang web nhưng lại trở thành điểm yếu chết người trong trường hợp này.

Chúng tôi đánh giá đây là một phát hiện cực kỳ nghiêm trọng bởi Apache HTTP Server chiếm thị phần khoảng 31% toàn bộ website thế giới. Việt Nam có khoảng 400.000 website đang sử dụng Apache, theo thống kê từ Netcraft. Điều này có nghĩa hàng trăm nghìn website nội địa đang tiềm ẩn nguy cơ bị tấn công nếu không được vá lỗi kịp thời.

Khi kẻ tấn công có thể "cầm quyền" server

Lỗ hổng CVE-2026-23918 hoạt động theo cơ chế đặc biệt nguy hiểm. Kẻ tấn công chỉ cần gửi các request HTTP/2 được chế tác đặc biệt đến server để kích hoạt lỗi double free. Quá trình này không yêu cầu xác thực hay quyền truy cập đặc biệt nào. Server sẽ bị crash ngay lập tức trong trường hợp tấn công DoS, hoặc tệ hơn là cho phép hacker thực thi mã độc với quyền của tiến trình Apache.

Theo phân tích kỹ thuật của chúng tôi, đây là dạng lỗ hổng "zero-click" - không cần tương tác từ người dùng. Hacker có thể tự động hóa việc quét và tấn công hàng loạt website. Điều này giải thích tại sao ASF đánh giá mức độ nghiêm trọng ở ngưỡng 8.8/10, chỉ thấp hơn mức tối đa 0.2 điểm.

Bài học đắng từ những cuộc tấn công trong quá khứ

Lỗ hổng Apache mới này gợi nhớ đến cuộc khủng hoảng Log4Shell cuối năm 2021, khi hàng triệu ứng dụng Java trở thành mục tiêu tấn công. Tuy nhiên, CVE-2026-23918 có tầm ảnh hưởng rộng hơn bởi Apache HTTP Server là thành phần cơ sở hạ tầng quan trọng nhất của web. Khác với Log4Shell chỉ ảnh hưởng ứng dụng Java, lỗ hổng này có thể tác động đến mọi website bất kể ngôn ngữ lập trình.

Thống kê từ Cục An toàn thông tin (Bộ TT&TT) cho thấy Việt Nam ghi nhận trung bình 3.000 cuộc tấn công mạng mỗi ngày trong năm 2024. Con số này có thể tăng vọt trong những tuần tới khi thông tin về CVE-2026-23918 lan truyền trong cộng đồng hacker. Chúng tôi dự báo sẽ có làn sóng tấn công tự động nhắm vào các website Việt Nam chưa cập nhật bản vá.

Hành động khẩn cấp cho doanh nghiệp Việt Nam

Các doanh nghiệp Việt Nam cần thực hiện ngay các bước sau để bảo vệ hệ thống. Đầu tiên là kiểm tra phiên bản Apache HTTP Server hiện tại bằng lệnh "httpd -v" trên Linux hoặc kiểm tra trong control panel hosting. Tiếp theo là cập nhật lên phiên bản mới nhất đã được ASF phát hành bản vá. Nếu không thể cập nhật ngay, hãy tạm thời vô hiệu hóa HTTP/2 bằng cách xóa module mod_http2.

Đối với website sử dụng dịch vụ hosting chia sẻ, hãy liên hệ ngay nhà cung cấp để yêu cầu cập nhật khẩn cấp. Các doanh nghiệp lớn nên triển khai Web Application Firewall (WAF) với quy tắc chặn các request HTTP/2 bất thường. Chúng tôi khuyến nghị thiết lập giám sát log Apache để phát hiện sớm dấu hiệu tấn công, đặc biệt chú ý các lỗi segmentation fault hoặc crash bất thường.