CISA cảnh báo lỗ hổng Magento đang bị khai thác, nguy cơ chiếm quyền máy chủ từ xa

[WhiteHat Team]

An ninh mạng và Hạ tầng Mỹ (CISA) vừa đưa một lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng trong tiện ích Mirasvit Full Page Cache Warmer dành cho Magento vào danh mục lỗ hổng đang bị khai thác thực tế. Lỗ hổng cho phép tin tặc thực thi mã trên máy chủ mà không cần xác thực, đe dọa hàng loạt hệ thống thương mại điện tử trên toàn cầu.
​

​

Ngày 3/6/2026, CISA đã bổ sung lỗ hổng CVE-2026-45247 vào danh mục Known Exploited Vulnerabilities (KEV) sau khi ghi nhận các hoạt động khai thác trong thực tế. Theo yêu cầu của Chỉ thị Hành động Ràng buộc BOD 22-01, các cơ quan liên bang Mỹ phải hoàn tất việc khắc phục trước ngày 6/6/2026. Động thái này cho thấy mức độ nghiêm trọng của lỗ hổng đối với các môi trường thương mại điện tử đang vận hành trên nền tảng Magento, đặc biệt là những hệ thống sử dụng tiện ích Mirasvit Full Page Cache Warmer để tối ưu hiệu năng và tốc độ tải trang.

Theo báo cáo kỹ thuật, CVE-2026-45247 xuất phát từ một sai sót trong cách extension Mirasvit Full Page Cache Warmer xử lý dữ liệu được gửi tới máy chủ. Cụ thể, tiện ích này tin tưởng và xử lý các đối tượng PHP được nhúng trong cookie CacheWarmer mà không xác minh đầy đủ tính hợp lệ của dữ liệu đầu vào. Điều này mở ra cơ hội để tin tặc đưa vào các payload được chuẩn bị sẵn, qua đó kích hoạt lỗi giải tuần tự hóa dữ liệu không an toàn (CWE-502) và giành quyền thực thi mã trên hệ thống.

Bằng cách gửi một chuỗi dữ liệu được thiết kế đặc biệt thông qua cookie CacheWarmer, kẻ tấn công có thể đánh lừa ứng dụng xử lý dữ liệu theo cách ngoài dự kiến. Khi máy chủ thực hiện quá trình giải tuần tự hóa, lỗ hổng sẽ bị kích hoạt, cho phép đối tượng tấn công thực thi các lệnh tùy ý trên hệ thống mà không cần đăng nhập hay vượt qua bất kỳ cơ chế xác thực nào.

Đây là dạng lỗ hổng đặc biệt nguy hiểm bởi chỉ cần hệ thống có thể truy cập từ Internet, tin tặc đã có cơ hội giành quyền kiểm soát máy chủ. Sau khi xâm nhập thành công, chúng có thể triển khai backdoor, thực thi lệnh hệ thống, đánh cắp dữ liệu hoặc mở rộng phạm vi tấn công sang các thành phần khác trong hạ tầng doanh nghiệp. Mặc dù chưa có dấu hiệu bị lợi dụng trong các chiến dịch mã độc tống tiền, việc cho phép thực thi mã từ xa mà không cần xác thực khiến CVE-2026-45247 trở thành mục tiêu đáng chú ý đối với các nhóm tấn công mạng đang nhắm vào doanh nghiệp.

Hoạt động khai thác CVE-2026-45247 có thể để lại nhiều dấu vết trong hệ thống nếu được theo dõi kỹ. Một trong những dấu hiệu dễ nhận thấy là sự xuất hiện của các yêu cầu HTTP bất thường chứa cookie CacheWarmer với những chuỗi dữ liệu PHP được mã hóa hoặc tuần tự hóa có độ dài bất thường. Bên cạnh đó, quản trị viên cũng nên cảnh giác khi phát hiện các tiến trình lạ trên máy chủ, các tệp tin không rõ nguồn gốc xuất hiện trong thư mục Magento hoặc những kết nối mạng bất thường tới các địa chỉ IP chưa từng ghi nhận trước đây. Đây đều có thể là dấu hiệu cho thấy hệ thống đã bị khai thác hoặc đang trở thành mục tiêu của các cuộc tấn công.

Trước nguy cơ bị khai thác, các tổ chức cần khẩn trương cập nhật bản vá hoặc phiên bản mới nhất do Mirasvit phát hành. Trong trường hợp chưa thể triển khai cập nhật ngay lập tức, việc vô hiệu hóa hoặc gỡ bỏ extension bị ảnh hưởng là biện pháp hiệu quả nhất để loại bỏ bề mặt tấn công. Bên cạnh đó, doanh nghiệp nên tăng cường giám sát nhật ký ứng dụng, triển khai các quy tắc bảo vệ trên tường lửa ứng dụng web (WAF) nhằm phát hiện và ngăn chặn các payload tuần tự hóa độc hại, đồng thời rà soát định kỳ các tiện ích bên thứ ba đang được cài đặt trên hệ thống.

Dù chưa ghi nhận các chiến dịch tấn công quy mô lớn liên quan đến CVE-2026-45247, việc lỗ hổng đã bị khai thác ngoài thực tế là tín hiệu đáng lo ngại đối với cộng đồng vận hành Magento. Cảnh báo lần này của CISA không chỉ nhắm tới một extension cụ thể, mà còn phản ánh xu hướng các nhóm tấn công ngày càng tập trung khai thác những thành phần phụ trợ để tìm đường xâm nhập vào các hệ thống doanh nghiệp.​