-
09/04/2020
-
123
-
1.481 bài viết
Khẩn: Tin tặc công phá HPE và Office, chiếm quyền điều khiển toàn bộ trung tâm dữ liệu
Cơ quan An ninh mạng và Hạ tầng Hoa Kỳ (CISA) vừa đưa hai lỗ hổng nghiêm trọng ảnh hưởng tới Microsoft Office và HPE OneView vào danh sách các lỗ hổng đã bị khai thác trong thực tế, sau khi ghi nhận bằng chứng cho thấy các cuộc tấn công đã bắt đầu diễn ra trên diện rộng. Tại Việt Nam, nơi HPE OneView được triển khai để quản lý các trung tâm dữ liệu quy mô lớn và Microsoft Office hiện diện phổ biến trong môi trường làm việc, đây không còn là cảnh báo mang tính phòng ngừa mà đã trở thành nguy cơ xâm nhập trực tiếp đối với nhiều hệ thống đang vận hành.
Đáng chú ý nhất là CVE-2025-37164, lỗ hổng chèn mã trong HPE OneView với điểm CVSS tuyệt đối 10.0. Không yêu cầu xác thực, lỗ hổng cho phép tin tặc từ xa thực thi mã tùy ý ngay trên hệ thống quản lý hạ tầng trung tâm của doanh nghiệp.Điều này cho phép kẻ tấn công leo thang đặc quyền và chiếm quyền kiểm soát lớp quản lý hạ tầng trung tâm của doanh nghiệp. Một khi "bộ não' OneView bị khuất phục, toàn bộ hệ thống máy chủ và lưu trữ phía sau cũng chính thức rơi vào tay tin tặc.
Mức độ rủi ro nhanh chóng leo thang khi công ty an ninh mạng eSentire xác nhận các mã khai thác mẫu (PoC) cho CVE-2025-37164 đã bị công khai từ cuối tháng 12/2025. Khi “công thức tấn công” được phơi bày, lỗ hổng này không còn là vũ khí của riêng giới nghiên cứu mà trở thành công cụ sẵn sàng bị lạm dụng bởi bất kỳ nhóm tin tặc nào.
Đáng chú ý, lỗ hổng nghiêm trọng này được phát hiện và báo cáo bởi nhà nghiên cứu bảo mật người Việt Nam là Nguyễn Quốc Khánh (brocked200). Dựa trên các phát hiện mang tính quyết định, HPE đã phát hành bản vá và các gói hotfix từ giữa tháng 12 cho các phiên bản từ 5.20 trở đi. Tuy vậy, việc các cuộc tấn công thực tế vẫn tiếp diễn cho thấy khoảng trống lớn giữa việc phát hành bản vá và tốc độ triển khai trong môi trường vận hành thực tế.
Bên cạnh đó, một cái tên cũ kỹ nhưng đầy bất ngờ là CVE-2009-0556 có điểm CVSS: 8,8 trong PowerPoint bất ngờ bị các nhóm tin tặc "đào mộ" để thực hiện các chiến dịch tấn công có mục tiêu. Dù có tuổi đời hơn một thập kỷ, lỗi hỏng bộ nhớ này vẫn đang được tin tặc tận dụng triệt để nhằm thực thi mã tùy ý. Chỉ cần một nhân viên sơ ý mở tệp trình chiếu độc hại, tin tặc có thể ngay lập tức chiếm quyền điều khiển máy tính, biến nó thành bàn đạp lý tưởng để xâm nhập sâu vào mạng nội bộ và triển khai các đợt tấn công ransomware quy mô lớn.
Trước diễn biến phức tạp này, việc hành động sớm là yếu tố sống còn. Các chuyên gia WhiteHat khuyến nghị tổ chức cần khẩn trương rà soát hạ tầng, xác định hệ thống chịu ảnh hưởng và triển khai bản vá tương ứng. Đối với HPE OneView, việc nâng cấp lên phiên bản 11.00 hoặc áp dụng các hotfix cho các phiên bản từ 5.20 trở đi là yêu cầu bắt buộc nhằm ngăn chặn nguy cơ bị xâm nhập.
Mức độ rủi ro nhanh chóng leo thang khi công ty an ninh mạng eSentire xác nhận các mã khai thác mẫu (PoC) cho CVE-2025-37164 đã bị công khai từ cuối tháng 12/2025. Khi “công thức tấn công” được phơi bày, lỗ hổng này không còn là vũ khí của riêng giới nghiên cứu mà trở thành công cụ sẵn sàng bị lạm dụng bởi bất kỳ nhóm tin tặc nào.
Đáng chú ý, lỗ hổng nghiêm trọng này được phát hiện và báo cáo bởi nhà nghiên cứu bảo mật người Việt Nam là Nguyễn Quốc Khánh (brocked200). Dựa trên các phát hiện mang tính quyết định, HPE đã phát hành bản vá và các gói hotfix từ giữa tháng 12 cho các phiên bản từ 5.20 trở đi. Tuy vậy, việc các cuộc tấn công thực tế vẫn tiếp diễn cho thấy khoảng trống lớn giữa việc phát hành bản vá và tốc độ triển khai trong môi trường vận hành thực tế.
Bên cạnh đó, một cái tên cũ kỹ nhưng đầy bất ngờ là CVE-2009-0556 có điểm CVSS: 8,8 trong PowerPoint bất ngờ bị các nhóm tin tặc "đào mộ" để thực hiện các chiến dịch tấn công có mục tiêu. Dù có tuổi đời hơn một thập kỷ, lỗi hỏng bộ nhớ này vẫn đang được tin tặc tận dụng triệt để nhằm thực thi mã tùy ý. Chỉ cần một nhân viên sơ ý mở tệp trình chiếu độc hại, tin tặc có thể ngay lập tức chiếm quyền điều khiển máy tính, biến nó thành bàn đạp lý tưởng để xâm nhập sâu vào mạng nội bộ và triển khai các đợt tấn công ransomware quy mô lớn.
Trước diễn biến phức tạp này, việc hành động sớm là yếu tố sống còn. Các chuyên gia WhiteHat khuyến nghị tổ chức cần khẩn trương rà soát hạ tầng, xác định hệ thống chịu ảnh hưởng và triển khai bản vá tương ứng. Đối với HPE OneView, việc nâng cấp lên phiên bản 11.00 hoặc áp dụng các hotfix cho các phiên bản từ 5.20 trở đi là yêu cầu bắt buộc nhằm ngăn chặn nguy cơ bị xâm nhập.
Tổng hợp
Chỉnh sửa lần cuối: