Khi nào các doanh nghiệp mới thôi tin tưởng mù quáng vào những 'pháo đài' bảo mật? Progress Software vừa phải vội vã phát hành bản cập nhật khẩn cấp để vá hai lỗ hổng bảo mật trong MOVEit Automation, trong đó có một lỗi nghiêm trọng cho phép kẻ tấn công bypass (bỏ qua) hoàn toàn cơ chế xác thực. Sản phẩm này được hàng nghìn doanh nghiệp toàn cầu sử dụng để tự động hóa việc truyền file bảo mật. Chúng tôi cho rằng đây là một cú sốc mới trong chuỗi sự kiện an ninh liên quan đến họ sản phẩm MOVEit.

Khi 'Bentley của truyền file' trở thành cửa hậu

MOVEit Automation (trước đây gọi là MOVEit Central) được định vị như giải pháp managed file transfer (MFT - truyền file quản lý) cao cấp dành cho môi trường doanh nghiệp. Hệ thống này cho phép các công ty lập lịch và tự động hóa quy trình di chuyển file mà không cần viết script tùy chỉnh. Tuy nhiên, cái tên MOVEit đã trở thành nỗi ám ảnh với nhiều CISO (Chief Information Security Officer - Giám đốc An ninh Thông tin) sau loạt sự cố bảo mật nghiêm trọng năm 2023.

Lần này, Progress Software thừa nhận hai lỗ hổng mới được phát hiện. Lỗ hổng đầu tiên có mức độ nghiêm trọng Critical (cấp độ cao nhất trong thang đo CVSS), cho phép authentication bypass - tức kẻ tấn công có thể truy cập hệ thống mà không cần thông tin đăng nhập hợp lệ. Lỗ hổng thứ hai tuy ít nghiêm trọng hơn nhưng vẫn tạo ra cửa hậu để kẻ tấn công khai thác tiếp. Chúng tôi đánh giá đây là combo tấn công hoàn hảo: bypass để vào, sau đó leo thang đặc quyền để chiếm quyền kiểm soát.

Giải mã cơ chế tấn công bypass authentication

Authentication bypass là kỹ thuật cho phép kẻ tấn công 'nhảy cóc' qua tầng bảo vệ đầu tiên - hệ thống xác thực người dùng. Thay vì phải có username/password hoặc token hợp lệ, hacker có thể sử dụng lỗ hổng này để hệ thống 'nhầm tưởng' họ là người dùng đã được xác thực. Điều này giống như việc ai đó có thể đi thẳng vào ngân hàng mà không cần thẻ căn cước hay giấy tờ gì.

Trong trường hợp MOVEit Automation, lỗ hổng này đặc biệt nguy hiểm vì hệ thống này thường chứa những file cực kỳ nhạy cảm: dữ liệu khách hàng, báo cáo tài chính, thông tin nhân sự, và thậm chí cả những file backup quan trọng. Kẻ tấn công một khi đã bypass được authentication có thể download, modify (chỉnh sửa) hoặc thậm chí xóa toàn bộ dữ liệu này. Progress Software chưa công bố chi tiết kỹ thuật cụ thể, nhưng chúng tôi dự đoán đây có thể là lỗi logic trong code xử lý session hoặc API authentication.

Nỗi ám ảnh MOVEit tiếp tục bao trùm doanh nghiệp toàn cầu

Con số thống kê về cuộc tấn công MOVEit năm 2023 vẫn còn ám ảnh giới an ninh mạng: hơn 2.600 tổ chức bị ảnh hưởng, với hơn 94 triệu bản ghi cá nhân bị rò rỉ. Tại Việt Nam, mặc dù chưa có thống kê chính thức về số doanh nghiệp sử dụng MOVEit, nhưng theo báo cáo từ NCSC (National Cyber Security Centre), có ít nhất 15 công ty lớn trong nước đã phải thay đổi hệ thống truyền file sau sự cố năm ngoái.

Lỗ hổng mới này khiến chúng tôi đặt câu hỏi: liệu Progress Software có đang áp dụng đúng security development lifecycle? Việc liên tục phát hiện lỗ hổng nghiêm trọng trong cùng một sản phẩm cho thấy có thể có vấn đề hệ thống trong quy trình phát triển và kiểm thử bảo mật. Điều này không chỉ ảnh hưởng đến danh tiếng công ty mà còn khiến khách hàng mất lòng tin vào toàn bộ hệ sinh thái sản phẩm.

Kế hoạch ứng phó khẩn cấp cho doanh nghiệp Việt Nam

Nếu doanh nghiệp bạn đang sử dụng MOVEit Automation, đây là những bước cần thực hiện NGAY LẬP TỨC: Đầu tiên, kiểm tra phiên bản hiện tại và update lên bản patch mới nhất mà Progress Software vừa phát hành. Thứ hai, rà soát toàn bộ log files trong 30 ngày qua để phát hiện dấu hiệu bất thường, đặc biệt chú ý những session login không có origin rõ ràng hoặc những file transfer khác lạ. Thứ ba, thực hiện password reset cho toàn bộ tài khoản có quyền admin và service account.

Chúng tôi khuyến nghị các doanh nghiệp Việt Nam cũng nên cân nhắc triển khai giải pháp backup thay thế hoặc multi-vendor approach (sử dụng nhiều nhà cung cấp) để giảm thiểu rủi ro single point of failure. Các giải pháp MFT của nhà cung cấp trong nước như FPT, Viettel, VNPT cũng đã phát triển khá hoàn thiện và có thể là lựa chọn thay thế đáng cân nhắc. Quan trọng nhất, hãy thiết lập monitoring system để theo dõi 24/7 mọi hoạt động bất thường trên hệ thống truyền file.