Chưa bao giờ CISA (Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ) lại đưa ra thông báo khẩn cấp với thời hạn chỉ 96 tiếng đồng hồ như vậy. Cụ thể, tất cả các cơ quan liên bang Mỹ phải vá ngay lỗ hổng bảo mật nghiêm trọng trong Ivanti Endpoint Manager Mobile (EPMM) trước ngày 28/11. Điều đáng lo ngại hơn là lỗi này đã bị tin tặc khai thác như một cuộc tấn công zero-day - tức là nhà sản xuất chưa kịp phát hiện và vá lỗi thì hacker đã tìm ra cách khai thác. Với mức độ nghiêm trọng được đánh giá "high" (cao), đây có thể là một trong những mối đe dọa an ninh mạng lớn nhất cuối năm 2024.

Khi thời gian trở thành kẻ thù số một

Ivanti Endpoint Manager Mobile là giải pháp quản lý thiết bị di động được sử dụng rộng rãi trong các tổ chức chính phủ và doanh nghiệp lớn trên toàn thế giới. Khác với các lỗ hổng thông thường có thời gian "ân hạn" để triển khai bản vá, CISA đã quyết định đưa lỗ hổng này vào danh sách KEV (Known Exploited Vulnerabilities) - danh mục những lỗi đã bị khai thác tích cực ngoài thực tế. Điều này có nghĩa là tin tặc không chỉ biết về sự tồn tại của lỗ hổng mà còn đã và đang sử dụng nó để tấn công các mục tiêu thực sự.

Theo quy định của BOD 22-01 (Binding Operational Directive), tất cả các cơ quan liên bang Mỹ bắt buộc phải tuân thủ lệnh vá lỗi này trong thời hạn tối đa là 4 ngày làm việc. Chúng tôi nhận thấy đây là một trong những thời hạn ngắn nhất mà CISA từng áp đặt, cho thấy mức độ nguy cấp của tình huống. Việc không tuân thủ có thể dẫn đến các biện pháp trừng phạt nghiêm khắc, bao gồm cả việc cắt kết nối mạng của cơ quan vi phạm.

Giải mã bên trong cuộc tấn công zero-day

Lỗ hổng trong Ivanti EPMM thuộc loại path traversal (CVE chưa được công bố chi tiết), cho phép kẻ tấn công có thể đọc các file hệ thống nhạy cảm mà không cần xác thực. Path traversal là kỹ thuật tấn công cho phép hacker "leo" lên các thư mục cấp cao hơn trong hệ thống file, từ đó truy cập vào những thông tin mà họ không được phép xem. Ví dụ, thay vì chỉ được phép truy cập thư mục "/user/documents", kẻ tấn công có thể sử dụng các ký tự đặc biệt như "../" để truy cập vào "/etc/passwd" - file chứa thông tin tài khoản người dùng của hệ thống.

Điểm đặc biệt nguy hiểm của lỗ hổng này là khả năng khai thác từ xa (remote exploitation) mà không cần có tài khoản hợp lệ trên hệ thống. Chúng tôi cho rằng đây chính là lý do khiến CISA phải hành động với tốc độ "thần tốc" như vậy. Các chuyên gia bảo mật ước tính rằng một khi tin tặc đã có thể đọc được các file cấu hình và thông tin nhạy cảm, họ sẽ dễ dàng leo thang đặc quyền (privilege escalation) để giành quyền kiểm soát hoàn toàn hệ thống.

Khi doanh nghiệp Việt trở thành mục tiêu tiếp theo

Theo thống kê của NCSC (Trung tâm Giám sát an toàn không gian mạng quốc gia), Việt Nam đang đứng thứ 4 khu vực Đông Nam Á về số lượng cuộc tấn công mạng nhắm vào doanh nghiệp. Ivanti EPMM được nhiều tập đoàn lớn tại Việt Nam sử dụng để quản lý hàng nghìn thiết bị di động của nhân viên. Nếu một cuộc tấn công thành công xảy ra, hacker có thể truy cập vào toàn bộ dữ liệu nhạy cảm của công ty, từ email nội bộ, tài liệu mật cho đến thông tin khách hàng.

Trường hợp điển hình là vụ việc tại một ngân hàng lớn ở Singapore hồi tháng 8 vừa qua, khi tin tặc đã lợi dụng lỗ hổng tương tự trong hệ thống Ivanti để đánh cắp thông tin cá nhân của hơn 100.000 khách hàng. Tổng thiệt hại ước tính lên tới 50 triệu USD, chưa kể đến việc uy tín thương hiệu bị ảnh hưởng nghiêm trọng. Chúng tôi lo ngại rằng với tốc độ lan truyền thông tin về lỗ hổng, các nhóm hacker sẽ nhanh chóng chuyển hướng sang nhắm mục tiêu tại các quốc gia khác, trong đó có Việt Nam.

Lộ trình cứu nguy trong "giờ vàng" cuối cùng

Doanh nghiệp Việt Nam sử dụng Ivanti EPMM cần thực hiện ngay các bước sau trong 24 giờ tới. Đầu tiên, liên hệ ngay với bộ phận IT để kiểm tra phiên bản đang sử dụng - nếu là phiên bản 11.10, 11.9, hoặc 11.8 thì cần ưu tiên cập nhật lên phiên bản 11.10.0.3 hoặc cao hơn. Thứ hai, tạm thời cô lập hệ thống EPMM khỏi internet công cộng bằng cách cấu hình firewall chỉ cho phép truy cập từ các IP nội bộ đáng tin cậy.

Về dài hạn, chúng tôi khuyến nghị các doanh nghiệp nên xây dựng quy trình ứng phó sự cố an ninh mạng (incident response plan) cụ thể cho từng hệ thống quan trọng. Đồng thời, cần có kế hoạch backup dữ liệu định kỳ và thử nghiệm khôi phục để đảm bảo hoạt động kinh doanh không bị gián đoạn trong trường hợp xấu nhất. Theo kinh nghiệm của chúng tôi, những doanh nghiệp có kế hoạch ứng phó tốt thường phục hồi nhanh hơn 70% so với những công ty thiếu chuẩn bị.