Chỉ còn vài ngày để tránh thảm họa! Cơ quan An ninh Mạng và Cơ sở hạ tầng Mỹ (CISA) vừa ban hành lệnh khẩn cấp yêu cầu tất cả cơ quan liên bang phải vá lỗ hổng nghiêm trọng trong hệ thống Cisco SD-WAN trước Chủ nhật tuần này. Đây là một trong những chỉ thị có thời hạn gấp rút nhất từ CISA trong năm nay. Lỗ hổng này đặc biệt nguy hiểm vì cho phép tin tặc không cần xác thực vẫn có thể chiếm quyền điều khiển toàn bộ hệ thống từ xa. Cisco đã phát hành bản vá vào hôm thứ Năm, nhưng tốc độ triển khai quyết định số phận an ninh mạng của hàng nghìn tổ chức.

Cuộc đua với thời gian trong hành lang quyền lực

CISA hiếm khi đưa ra những yêu cầu có tính chất tối hậu thư như thế này. Việc ấn định thời hạn cứng là Chủ nhật cho thấy mức độ nghiêm trọng mà cơ quan này đánh giá về lỗ hổng. Theo thông báo chính thức, lỗ hổng đã bị khai thác tích cực trong thực tế - điều này có nghĩa tin tặc đang tận dụng nó để tấn công các mục tiêu thật. Chúng tôi cho rằng động thái này phản ánh sự lo ngại sâu sắc về khả năng các cơ quan chính phủ có thể trở thành mục tiêu của những cuộc tấn công có chủ đích.

Cisco SD-WAN (Software-Defined Wide Area Network - Mạng diện rộng định nghĩa bằng phần mềm) là công nghệ kết nối các văn phòng, trung tâm dữ liệu của tổ chức thông qua internet thay vì đường truyền riêng đắt đỏ. Hệ thống này đóng vai trò như xương sống kết nối của nhiều cơ quan chính phủ Mỹ. Nếu bị xâm phạm, tin tặc có thể nghe lén toàn bộ lưu lượng dữ liệu, thay đổi cấu hình mạng, hoặc thậm chí ngắt kết nối hoàn toàn.

Khi xác thực trở thành trò đùa

Lỗ hổng này thuộc loại authentication bypass - bỏ qua xác thực, một trong những kiểu lỗ hổng nguy hiểm nhất trong an ninh mạng. Thông thường, để truy cập vào hệ thống quản trị, tin tặc cần phải vượt qua nhiều lớp bảo vệ: tên đăng nhập, mật khẩu, có thể cả xác thực hai yếu tố. Nhưng với lỗ hổng này, tất cả những rào cản đó trở nên vô nghĩa. Tin tặc chỉ cần gửi một yêu cầu được cấu trúc đặc biệt để hệ thống tự động cấp quyền quản trị viên.

Điều đáng lo ngại hơn là tính chất "remote" của lỗ hổng. Tin tặc không cần phải có mặt vật lý tại cơ sở hoặc đã xâm nhập vào mạng nội bộ. Chỉ cần kết nối internet, họ có thể thực hiện cuộc tấn công từ bất kỳ đâu trên thế giới. Chúng tôi đánh giá đây chính là lý do khiến CISA phải hành động với tốc độ chưa từng có - thời gian để tin tặc khai thác là rất ngắn, nhưng thiệt hại có thể là khổng lồ.

Sóng xung kích lan rộng khắp thế giới

Mặc dù chỉ thị của CISA chỉ áp dụng cho các cơ quan liên bang Mỹ, tác động thực tế lan rộng khắp toàn cầu. Cisco là nhà cung cấp thiết bị mạng lớn nhất thế giới, với hàng triệu thiết bị SD-WAN được triển khai tại doanh nghiệp, tổ chức chính phủ ở nhiều quốc gia. Tại Việt Nam, nhiều ngân hàng, tập đoàn lớn, và cơ quan nhà nước cũng đang sử dụng giải pháp SD-WAN của Cisco để kết nối các chi nhánh.

Theo số liệu từ Shodan - công cụ quét thiết bị IoT toàn cầu, hiện có khoảng 180.000 thiết bị Cisco SD-WAN được phát hiện trực tuyến trên internet. Con số thực tế có thể cao gấp nhiều lần vì không phải thiết bị nào cũng được Shodan quét được. Nếu chỉ 1% trong số này bị khai thác thành công, quy mô thiệt hại có thể lên tới hàng tỷ đô la từ gián đoạn hoạt động, mất dữ liệu, và phục hồi hệ thống.

Bản đồ tự cứu cho doanh nghiệp Việt Nam

Đối với các tổ chức Việt Nam đang sử dụng Cisco SD-WAN, đây không phải lúc để chờ đợi. Bước đầu tiên là xác định phiên bản phần mềm hiện tại của hệ thống. Truy cập vào giao diện quản trị và kiểm tra thông tin phiên bản tại mục System Information. Nếu đang chạy các phiên bản bị ảnh hưởng, cần lập tức lên kế hoạch cập nhật. Tải bản vá từ trang chính thức của Cisco, không sử dụng các nguồn thứ ba để tránh rủi ro mã độc.

Trong thời gian chờ cập nhật, các biện pháp giảm thiểu rủi ro bao gồm: hạn chế truy cập quản trị chỉ từ các địa chỉ IP đáng tin cậy, kích hoạt tất cả tính năng logging để giám sát hoạt động bất thường, và chuẩn bị sẵn phương án ngắt kết nối khẩn cấp nếu phát hiện dấu hiệu tấn công. Chúng tôi khuyến nghị các doanh nghiệp nên thực hiện việc vá lỗ hổng trong khung giờ bảo trì để tránh gián đoạn hoạt động kinh doanh, nhưng tuyệt đối không để quá 48 giờ kể từ khi có bản vá.