18 năm - một khoảng thời gian đủ dài để một đứa trẻ trưởng thành, cũng là thời gian một lỗ hổng bảo mật nghiêm trọng đã âm thầm ẩn nấp trong NGINX mà không ai hay biết. Các chuyên gia an ninh mạng vừa công bố phát hiện chấn động về nhiều lỗ hổng bảo mật ảnh hưởng đến cả NGINX Plus và NGINX Open Source, trong đó có một lỗ hổng cực kỳ nguy hiểm đã tồn tại từ năm 2006. Lỗ hổng được mã hóa CVE-2026-42945 với điểm CVSS v4 là 9.2, thuộc mức nghiêm trọng cao nhất. Theo chúng tôi đánh giá, đây có thể là một trong những phát hiện bảo mật quan trọng nhất của năm 2024.

Cuộc săn lùng phát hiện 'bom tấn' an ninh mạng

Nhóm nghiên cứu bảo mật depthfirst đã phát hiện ra lỗ hổng heap buffer overflow (tràn bộ đệm heap) trong module ngx_http_rewrite_module của NGINX. CVE (Common Vulnerabilities and Exposures) là hệ thống mã hóa quốc tế để định danh các lỗ hổng bảo mật, giúp cộng đồng theo dõi và xử lý thống nhất. Điểm CVSS (Common Vulnerability Scoring System) 9.2 trên thang điểm 10 cho thấy mức độ nguy hiểm cực cao của lỗ hổng này.

Heap buffer overflow là kỹ thuật tấn công khi hacker ghi dữ liệu vượt quá giới hạn bộ nhớ được phân bổ, có thể dẫn đến việc thực thi mã độc từ xa (Remote Code Execution - RCE). Điều đáng lo ngại nhất là kẻ tấn công có thể khai thác lỗ hổng này mà không cần xác thực, nghĩa là không cần tài khoản hay mật khẩu gì cả. Chỉ cần gửi một request HTTP được chế tạo đặc biệt, hacker có thể hoàn toàn kiểm soát máy chủ web.

Phẫu thuật kỹ thuật: Tại sao nguy hiểm đến vậy?

Module ngx_http_rewrite_module là thành phần chịu trách nhiệm xử lý việc viết lại URL trong NGINX, một tính năng được sử dụng rộng rãi để tạo URL thân thiện với SEO và điều hướng traffic. Lỗ hổng nằm sâu trong cơ chế xử lý bộ nhớ của module này, khiến nó trở nên vô cùng nguy hiểm. Khi xử lý các rule rewrite phức tạp, module có thể bị tràn bộ đệm và cho phép kẻ tấn công inject code độc.

Chúng tôi cho rằng việc lỗ hổng tồn tại 18 năm mà không bị phát hiện cho thấy sự phức tạp trong kiến trúc NGINX. Điều này cũng đặt ra câu hỏi nghiêm túc về quy trình audit bảo mật của các phần mềm mã nguồn mở quan trọng. Theo thống kê của W3Techs, NGINX đang được sử dụng bởi hơn 35% các website trên toàn cầu, tương đương hàng triệu máy chủ web đang tiềm ẩn rủi ro bảo mật nghiêm trọng.

Sóng thần tấn công đang đến gần

Tác động của lỗ hổng này không chỉ dừng lại ở con số thống kê. Các doanh nghiệp thương mại điện tử, ngân hàng, dịch vụ chính phủ điện tử và hàng nghìn website Việt Nam đang sử dụng NGINX có thể trở thành mục tiêu tấn công. Khi hacker chiếm quyền điều khiển máy chủ web, họ có thể đánh cắp dữ liệu khách hàng, cài đặt ransomware, hoặc biến máy chủ thành botnet để tấn công các mục tiêu khác.

Theo báo cáo an ninh mạng Việt Nam 2024, số vụ tấn công vào các website và hệ thống thông tin đã tăng 40% so với năm trước. Với lỗ hổng NGINX vừa được công bố, chúng tôi dự đoán làn sóng tấn công mới sẽ xuất hiện trong những tuần tới. Các tổ chức tội phạm mạng thường nhanh chóng weaponize (vũ khí hóa) các lỗ hổng zero-day để tấn công quy mô lớn.

Phác đồ cứu nguy cho doanh nghiệp Việt

Bước đầu tiên và quan trọng nhất là kiểm tra phiên bản NGINX đang sử dụng bằng lệnh 'nginx -v'. Các phiên bản bị ảnh hưởng cần được cập nhật ngay lập tức lên bản vá lỗi mới nhất từ nhà phát triển. Đối với NGINX Plus, khách hàng cần liên hệ F5 Networks để nhận hỗ trợ cập nhật khẩn cấp. Đừng trì hoãn việc này vì mỗi giờ trôi qua là một giờ hệ thống của bạn có thể bị xâm nhập.

Bên cạnh việc cập nhật, các quản trị viên cần rà soát lại cấu hình rewrite rules, tạm thời vô hiệu hóa các rule phức tạp không cần thiết. Triển khai Web Application Firewall (WAF) để lọc các request đáng ngờ và giám sát log NGINX chặt chẽ để phát hiện dấu hiệu bất thường. Quan trọng nhất, hãy có kế hoạch sao lưu và phục hồi dữ liệu sẵn sàng để ứng phó với tình huống xấu nhất. Đây không chỉ là lời khuyên kỹ thuật mà là chiến lược sinh tồn trong thời đại số.