MOVEit lại khiến giới an ninh mạng 'đứng ngồi không yên'. Progress Software vừa phát cảnh báo khẩn về lỗ hổng authentication bypass (bỏ qua xác thực) nghiêm trọng trong MOVEit Automation - phần mềm truyền tải file doanh nghiệp được hàng nghìn công ty lớn tin dùng. Điều đáng lo ngại là đây không phải lần đầu tiên 'ông lớn' này khiến cộng đồng phải 'tháo chạy'.

Khi 'cánh cửa an toàn' biến thành lỗ hổng tử thần

Lỗ hổng mới được gán mã CVE-2024-5806 (CVE là mã định danh lỗ hổng bảo mật quốc tế) với mức độ nghiêm trọng Critical - cấp độ cao nhất trong thang đánh giá. Kẻ tấn công có thể khai thác lỗ hổng này để bỏ qua hoàn toàn hệ thống xác thực, chiếm quyền truy cập trái phép vào MOVEit Automation mà không cần username hay password. Hậu quả? Toàn bộ dữ liệu nhạy cảm của doanh nghiệp có thể bị đánh cắp trong 'một nốt nhạc'.

Chúng tôi nhận định đây là một trong những lỗ hổng nguy hiểm nhất năm 2024 đối với hệ sinh thái doanh nghiệp. MOVEit Automation không chỉ là công cụ truyền file thông thường mà là 'huyết mạch' xử lý dữ liệu của nhiều tập đoàn lớn, ngân hàng, và cơ quan chính phủ. Authentication bypass nghĩa là hacker có thể 'đi thẳng' vào hệ thống như chủ nhà, bỏ qua mọi rào cản bảo mật.

Bóng ma quá khứ trở lại ám ảnh Progress Software

Tháng 6/2023, MOVEit Transfer từng trở thành 'tâm bão' của cuộc tấn công ransomware Clop khiến hơn 2,100 tổ chức bị ảnh hưởng, thiệt hại ước tính lên tới hàng tỷ USD. Từ BBC, British Airways cho đến các cơ quan chính phủ Mỹ đều phải 'lĩnh đủ'. Chúng tôi từng dự báo Progress Software sẽ phải 'trả giá đắt' cho những sơ suất trong phát triển sản phẩm, và thực tế đã chứng minh điều đó.

Lỗ hổng authentication bypass lần này cho thấy Progress vẫn chưa rút được bài học sâu sắc từ thảm họa trước. Theo phân tích của chúng tôi, các lỗ hổng liên tiếp xuất hiện không phải ngẫu nhiên mà phản ánh vấn đề căn bản trong quy trình phát triển và kiểm thử bảo mật của công ty. MOVEit đang trở thành 'điểm yếu' thường trực trong hệ thống bảo mật doanh nghiệp toàn cầu.

Tác động domino đe dọa hàng triệu doanh nghiệp

MOVEit Automation hiện được sử dụng bởi hàng nghìn doanh nghiệp lớn trên toàn thế giới để tự động hóa việc truyền tải file nhạy cảm. Lỗ hổng CVE-2024-5806 có thể được khai thác từ xa (remote exploitation) mà không cần tương tác từ người dùng - đây chính là 'cơn ác mộng' của mọi CISO (Chief Information Security Officer). Chỉ cần một script tấn công được thiết kế khéo léo, hacker có thể 'thu hoạch' dữ liệu từ hàng trăm công ty trong thời gian ngắn.

Tại Việt Nam, mặc dù chưa có thống kê chính thức về số lượng doanh nghiệp sử dụng MOVEit, nhưng theo đánh giá của chúng tôi, các tập đoàn đa quốc gia, ngân hàng nước ngoài và một số công ty công nghệ lớn có thể đang triển khai giải pháp này. Nguy cơ 'lan truyền' sang các đối tác, khách hàng trong nước là hoàn toàn có thể xảy ra nếu không có biện pháp phòng ngừa kịp thời.

Hành động ngay lập tức để tránh thảm họa

Progress Software đã phát hành bản vá (patch) khẩn cấp cho lỗ hổng CVE-2024-5806. Các doanh nghiệp Việt Nam cần thực hiện ngay các bước sau: kiểm tra phiên bản MOVEit Automation đang sử dụng, cập nhật lên phiên bản mới nhất được Progress phát hành, tạm thời cô lập hệ thống MOVEit khỏi internet nếu chưa thể cập nhật ngay. Đặc biệt, cần rà soát log hệ thống để phát hiện dấu hiệu bất thường trong thời gian qua.

Chúng tôi khuyến nghị mạnh mẽ các CISO tại Việt Nam nên xem xét chiến lược 'đa dạng hóa' nhà cung cấp thay vì phụ thuộc hoàn toàn vào một giải pháp. Việc MOVEit liên tục xuất hiện lỗ hổng nghiêm trọng cho thấy rủi ro tập trung quá cao. Đầu tư vào các giải pháp backup, monitoring và incident response sẽ giúp doanh nghiệp 'sống sót' qua những cuộc khủng hoảng an ninh mạng không thể tránh khỏi.