-
09/04/2020
-
125
-
1.587 bài viết
SolarWinds dồn dập vá nhiều lỗ hổng nghiêm trọng: Dấu hiệu bị tin tặc "săn đón"
Chỉ trong vòng chưa đầy một tuần, SolarWinds liên tiếp phải phát đi các bản vá khẩn cho Web Help Desk, phần mềm quản lý công nghệ thông tin đang được nhiều tổ chức sử dụng sau khi xuất hiện các lỗ hổng nghiêm trọng bị khai thác. Việc một công cụ hỗ trợ kỹ thuật phổ biến trở thành điểm xâm nhập cho các chiến dịch tấn công có chủ đích cho thấy rủi ro an ninh mạng đang ở mức báo động đối với các hệ thống phơi nhiễm Internet.
Các lỗ hổng bị lợi dụng gồm:
- CVE-2025-40551: cho phép chiếm quyền điều khiển máy chủ từ xa
- CVE-2025-40536: vượt qua cơ chế bảo vệ truy cập
- CVE-2025-26399: lỗ hổng RCE đã được vá trước đó
Việc nhiều hệ thống tồn tại đồng thời các phiên bản dễ bị tấn công khiến chuyên gia khó xác định chính xác điểm xâm nhập ban đầu.
Theo phân tích kỹ thuật, sau khi chiếm quyền Web Help Desk, kẻ tấn công thường sử dụng PowerShell và BITS để tải payload, sau đó cài đặt các công cụ quản trị hợp pháp như Zoho Assist, Cloudflared hoặc Velociraptor nhằm duy trì quyền truy cập lâu dài. Các bước hậu xâm nhập bao gồm trinh sát Active Directory, trích xuất thông tin xác thực từ LSASS và thậm chí thực hiện tấn công DCSync để thu thập hash mật khẩu từ bộ điều khiển domain. Việc lạm dụng công cụ hợp pháp theo chiến thuật “living-off-the-land” khiến hoạt động xâm nhập khó bị phát hiện nếu tổ chức chỉ dựa vào chữ ký mã độc truyền thống.
Cập nhật ngày 8/2/2026: Trong một vụ khai thác SolarWinds WHD được ghi nhận ngày 7/2, kẻ tấn công đã nhanh chóng triển khai Zoho Assist để thiết lập truy cập từ xa không giám sát, cài Cloudflared tạo đường hầm duy trì hiện diện và sử dụng Velociraptor như một kênh C2. Nhóm tấn công còn vô hiệu hóa Windows Defender và Firewall, đồng thời thiết lập cơ chế C2 dự phòng qua hạ tầng Cloudflare Workers và máy chủ bên ngoài, cho thấy mức độ bài bản và tính toán dài hạn trong hoạt động hậu xâm nhập.
Theo phân tích kỹ thuật, sau khi chiếm quyền Web Help Desk, kẻ tấn công thường sử dụng PowerShell và BITS để tải payload, sau đó cài đặt các công cụ quản trị hợp pháp như Zoho Assist, Cloudflared hoặc Velociraptor nhằm duy trì quyền truy cập lâu dài. Các bước hậu xâm nhập bao gồm trinh sát Active Directory, trích xuất thông tin xác thực từ LSASS và thậm chí thực hiện tấn công DCSync để thu thập hash mật khẩu từ bộ điều khiển domain. Việc lạm dụng công cụ hợp pháp theo chiến thuật “living-off-the-land” khiến hoạt động xâm nhập khó bị phát hiện nếu tổ chức chỉ dựa vào chữ ký mã độc truyền thống.
Cập nhật ngày 8/2/2026: Trong một vụ khai thác SolarWinds WHD được ghi nhận ngày 7/2, kẻ tấn công đã nhanh chóng triển khai Zoho Assist để thiết lập truy cập từ xa không giám sát, cài Cloudflared tạo đường hầm duy trì hiện diện và sử dụng Velociraptor như một kênh C2. Nhóm tấn công còn vô hiệu hóa Windows Defender và Firewall, đồng thời thiết lập cơ chế C2 dự phòng qua hạ tầng Cloudflare Workers và máy chủ bên ngoài, cho thấy mức độ bài bản và tính toán dài hạn trong hoạt động hậu xâm nhập.
Trước đó ngày 4/2, Cơ quan An ninh mạng và Hạ tầng Mỹ (CISA) đã cảnh báo khẩn về CVE-2025-40551, yêu cầu các cơ quan liên bang Mỹ vá trong vòng 3 ngày do lỗ hổng đang bị khai thác. WhiteHat cũng đã cảnh báo sớm về mức độ nguy hiểm của lỗ hổng này tại Việt Nam, nhấn mạnh rủi ro khi để các hệ thống quản lý công nghệ thông tin phơi nhiễm ra Internet mà không được vá kịp thời.
Cùng thời điểm, SolarWinds phát hành bản vá WHD 2026.1 và xử lý thêm các lỗ hổng cho phép vượt qua xác thực (CVE-2025-40552, CVE-2025-40554) và lỗ hổng lộ thông tin đăng nhập nhúng cứng trong phần mềm (CVE-2025-40537).
Chuỗi lỗ hổng xuất hiện dồn dập trong thời gian ngắn cho thấy SolarWinds Web Help Desk đang bị tin tặc săn đón như một điểm xâm nhập thuận lợi. Một khi phần mềm quản trị bị phơi nhiễm ra Internet, mọi sơ hở đều có thể bị khoét sâu.
Với các tổ chức, doanh nghiệp tại Việt Nam đang sử dụng SolarWinds Web Help Desk, yêu cầu cấp thiết là cập nhật ngay các bản vá mới nhất, hạn chế phơi nhiễm dịch vụ ra Internet, rà soát dấu hiệu xâm nhập và xoay vòng tài khoản đặc quyền. Diễn biến từ 4/2 đến 10/2 cho thấy cảnh báo của WhiteHat về rủi ro chậm vá không mang tính lý thuyết mà đã được chứng thực bằng các chiến dịch tấn công ngoài thực tế.
Theo The Hacker News