Một cuộc tấn công chuỗi cung ứng quy mô lớn đang diễn ra ngay trước mắt chúng ta. Lỗ hổng nghiêm trọng CVE-2026-1731 trong công cụ giám sát và quản lý từ xa Bomgar RMM đã trở thành cánh cửa vàng cho tội phạm mạng phát tán ransomware. Điều đáng lo ngại là các cuộc tấn công này không chỉ nhắm vào một mục tiêu đơn lẻ mà khai thác cả mạng lưới đối tác và khách hàng thông qua chuỗi cung ứng. Chúng tôi cho rằng đây là một trong những mối đe dọa cấp bách nhất với doanh nghiệp Việt Nam trong năm 2024.

Khi công cụ bảo mật trở thành vũ khí tấn công

Bomgar RMM (Remote Monitoring and Management) vốn được thiết kế để giúp các MSP (Managed Service Provider - nhà cung cấp dịch vụ quản lý) giám sát và điều khiển hệ thống IT từ xa cho khách hàng. Nhưng lỗ hổng CVE-2026-1731 - một lỗ hổng Remote Code Execution (RCE) cho phép thực thi mã độc từ xa - đã biến công cụ này thành con dao hai lưỡi. Hacker chỉ cần khai thác thành công một máy chủ Bomgar RMM để có thể xâm nhập vào toàn bộ mạng lưới khách hàng mà MSP đó quản lý.

Theo phân tích của chúng tôi, đây không phải lần đầu tiên các công cụ RMM trở thành mục tiêu tấn công. Năm 2021, lỗ hổng trong Kaseya VSA đã gây ra đợt tấn công ransomware REvil quy mô toàn cầu, ảnh hưởng đến hàng nghìn doanh nghiệp. Bomgar RMM hiện đang đối mặt với tình huống tương tự nhưng với mức độ nghiêm trọng có thể còn cao hơn do số lượng người dùng rộng lớn.

Cơ chế tấn công tinh vi qua kênh đáng tin cậy

CVE-2026-1731 là mã định danh lỗ hổng bảo mật quốc tế được phân loại với mức độ nghiêm trọng Critical (tức nguy hiểm nhất). Lỗ hổng này cho phép kẻ tấn công thực thi mã độc từ xa mà không cần xác thực, biến máy chủ Bomgar RMM thành bàn đạp để xâm nhập sâu vào hạ tầng IT của tổ chức. Điều đặc biệt nguy hiểm là các MSP thường có quyền truy cập cao nhất vào hệ thống khách hàng, bao gồm cả các tài khoản quản trị viên miền (domain admin).

Khi kiểm soát được máy chủ RMM, hacker có thể triển khai ransomware đồng loạt tới hàng trăm, thậm chí hàng nghìn máy tính trong mạng lưới khách hàng chỉ trong vài phút. Chúng tôi nhận định rằng phương thức tấn công này cực kỳ hiệu quả vì lợi dụng kênh kết nối đáng tin cậy giữa MSP và khách hàng, khiến các hệ thống bảo mật truyền thống khó phát hiện. Hơn nữa, việc điều tra và khắc phục sự cố trở nên phức tạp hơn nhiều khi cả MSP và khách hàng đều bị ảnh hưởng đồng thời.

Quy mô thiệt hại và tác động thực tế

Các cuộc tấn công khai thác CVE-2026-1731 đã xuất hiện gia tăng đột biến từ đầu tháng này với ít nhất 47 vụ việc được xác nhận trên toàn cầu. Mỗi vụ tấn công có thể ảnh hưởng đến từ 50-500 doanh nghiệp khách hàng của một MSP, khiến tổng số tổ chức bị tác động có thể lên tới hàng chục nghìn. Tại Mỹ, nhiều bệnh viện, trường học và cơ quan chính phủ địa phương đã phải tạm dừng hoạt động do hệ thống IT bị mã hóa bởi ransomware.

Đối với thị trường Việt Nam, rủi ro đặc biệt cao với các doanh nghiệp đang sử dụng dịch vụ MSP có triển khai Bomgar RMM. Theo báo cáo của Hiệp hội An toàn thông tin Việt Nam, số lượng các cuộc tấn công ransomware nhắm vào doanh nghiệp trong nước đã tăng 340% trong năm 2023, trong đó tấn công chuỗi cung ứng chiếm 23% tổng số vụ việc. Lỗ hổng CVE-2026-1731 có thể đẩy con số này lên cao hơn nữa nếu không được xử lý kịp thời.

Hướng dẫn bảo vệ khẩn cấp cho doanh nghiệp

Chúng tôi khuyến cáo các doanh nghiệp Việt Nam cần thực hiện ngay các biện pháp sau để bảo vệ hệ thống. Đầu tiên, liên hệ nhà cung cấp dịch vụ IT để xác nhận họ có đang sử dụng Bomgar RMM hay không và yêu cầu cập nhật bản vá bảo mật ngay lập tức. Nếu chưa có bản vá chính thức, hãy yêu cầu tạm thời ngắt kết nối hoặc hạn chế quyền truy cập của công cụ RMM này.

Bên cạnh đó, cần tăng cường giám sát hoạt động bất thường trên mạng, đặc biệt chú ý đến các kết nối từ xa và việc thực thi file thực thi (.exe) từ các thư mục tạm thời. Backup dữ liệu quan trọng và đảm bảo có ít nhất một bản sao lưu ngoại tuyến (offline) không thể bị ransomware mã hóa. Cuối cùng, xây dựng kế hoạch ứng phó sự cố ransomware bao gồm các bước cô lập hệ thống bị nhiễm, liên hệ cơ quan chức năng và khôi phục dữ liệu từ backup. Thời gian vàng để bảo vệ hệ thống đang dần cạn kiệt.