Ba ngày - đó là khoảng thời gian kỷ lục mà tin tặc đã khai thác thành công lỗ hổng NGINX vừa được công bố. CVE-2026-42945, lỗ hổng bảo mật với điểm số CVSS 9.2 (gần mức tối đa), đang gây ra làn sóng tấn công trên toàn cầu khiến hàng nghìn server web bị crash hoặc có thể bị chiếm quyền điều khiển hoàn toàn. Theo báo cáo từ VulnCheck, các cuộc tấn công đã được phát hiện "đang hoạt động tích cực" chỉ vài ngày sau khi lỗ hổng được tiết lộ công khai, tạo nên tình thế khẩn cấp cho hàng triệu website đang sử dụng NGINX làm web server.

Cuộc săn lùng server NGINX bắt đầu

CVE-2026-42945 là lỗ hổng heap buffer overflow (tràn bộ đệm heap) nằm trong ngx_http_rewrite_module của NGINX, ảnh hưởng đến cả NGINX Plus (phiên bản thương mại) và NGINX Open Source (phiên bản mã nguồn mở). Điều đáng lo ngại là phạm vi ảnh hưởng cực kỳ rộng - từ phiên bản 0.6.27 ra mắt năm 2007 cho đến 1.30.0 phát hành cuối 2023. Với 16 năm lịch sử, hầu như không có triển khai NGINX nào thoát khỏi "vùng nguy hiểm".

Công ty bảo mật AI-native depthfirst, đơn vị đầu tiên phát hiện việc khai thác, cho biết tin tặc đang nhắm mục tiêu vào các server có module rewrite được kích hoạt - một tính năng phổ biến để xử lý URL động và chuyển hướng trang web. Chúng tôi đánh giá đây là một trong những cuộc tấn công có quy mô lớn nhất nhắm vào hạ tầng web trong năm 2024, bởi NGINX chiếm hơn 35% thị phần web server toàn cầu với khoảng 400 triệu website đang sử dụng.

Khi bộ đệm tràn thành "cửa ngách tử thần"

Heap buffer overflow là loại lỗ hổng được xếp vào hàng nguy hiểm nhất trong bảo mật phần mềm. Khi tin tặc gửi request HTTP được crafted đặc biệt đến server NGINX, dữ liệu sẽ "tràn" khỏi vùng nhớ được cấp phát, ghi đè lên các vùng nhớ quan trọng khác. Điều này không chỉ khiến worker process của NGINX bị crash mà còn có thể cho phép thực thi mã độc từ xa (Remote Code Execution - RCE).

Module ngx_http_rewrite_module bị lỗi chính là "trái tim" của nhiều website hiện đại, đảm nhiệm việc xử lý các quy tắc URL rewriting phức tạp như chuyển từ HTTP sang HTTPS, tạo URL thân thiện SEO, hoặc điều hướng traffic. Tin tặc đã nhanh chóng reverse-engineer lỗ hổng và tạo ra các exploit tự động quét hàng loạt server trên Internet. Theo thống kê từ Shodan, có hơn 1.2 tỷ endpoint NGINX đang được công khai trên Internet, tạo thành "bể target" khổng lồ cho cybercriminal khai thác.

Việt Nam trong tầm ngắm của tin tặc

Số liệu từ BuiltWith cho thấy Việt Nam có khoảng 52,000 website sử dụng NGINX, trong đó nhiều thuộc về các ngân hàng, công ty fintech, e-commerce và cơ quan chính phủ. Cục An toàn thông tin (Bộ TT&TT) đã phát cảnh báo khẩn cấp kêu gọi các tổ chức khẩn trương rà soát và vá lỗi. Đặc biệt, các website thương mại điện tử đang trong mùa cao điểm cuối năm có nguy cơ bị tấn công cao nhất.

Chúng tôi ghi nhận ít nhất 3 trường hợp server NGINX tại Việt Nam đã bị crash bất thường trong 48 giờ qua, mặc dù chưa xác định chắc chắn liên quan đến CVE-2026-42945. Tình hình trở nên nghiêm trọng hơn khi nhiều doanh nghiệp Việt vẫn chưa có quy trình patch management chuyên nghiệp, khiến việc cập nhật bản vá bị chậm trễ từ 1-2 tuần so với khuyến nghị quốc tế.

Hành động ngay để tránh thảm họa

Các tổ chức đang sử dụng NGINX cần thực hiện ngay các bước sau theo thứ tự ưu tiên: Đầu tiên, kiểm tra phiên bản NGINX bằng lệnh "nginx -v" để xác định có nằm trong dải bị ảnh hưởng hay không. Thứ hai, cập nhật ngay lên phiên bản 1.30.1 hoặc cao hơn đã được phát hành patch. Thứ ba, tạm thời disable module ngx_http_rewrite_module nếu không thể cập nhật ngay lập tức.

Đối với các doanh nghiệp lớn, chúng tôi khuyến nghị triển khai Web Application Firewall (WAF) với rule block các request có pattern bất thường nhắm vào rewrite module. Đồng thời, tăng cường monitoring log để phát hiện các worker crash bất thường - dấu hiệu sớm nhất của việc bị khai thác. Cuối cùng, chuẩn bị kế hoạch incident response và backup để sẵn sàng khôi phục nhanh chóng nếu bị tấn công thành công. Thời gian vàng để bảo vệ hệ thống đang thu hẹp từng giờ.