Zero-day Cisco bị khai thác: Nguy cơ ransomware xâm nhập hạ tầng doanh nghiệp Việt Nam

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
128
1.712 bài viết
Zero-day Cisco bị khai thác: Nguy cơ ransomware xâm nhập hạ tầng doanh nghiệp Việt Nam
WhiteHat Team
Theo chuyên gia WhiteHat, chiến dịch tấn công khai thác lỗ hổng zero-day trên hệ thống quản lý tường lửa Cisco FMC có thể là mối đe dọa nghiêm trọng nhất thời điểm hiện tại.
1773890894505.png

Lỗ hổng cho phép thực thi mã từ xa với quyền cao nhất mà không cần xác thực, đồng nghĩa kẻ tấn công có thể chiếm toàn bộ hệ thống tường lửa - thành phần chính trong hạ tầng công nghệ thông tin của doanh nghiệp, ngân hàng và nhà cung cấp dịch vụ. Do thiết bị Cisco được sử dụng phổ biến tại Việt Nam, nguy cơ bị ransomware hoặc các nhóm tấn công có chủ đích (APT) khai thác là rất lớn và hoàn toàn không còn mang tính lý thuyết.

Lỗ hổng mang mã CVE-2026-20131, được đánh giá mức nguy hiểm tối đa (10/10), bắt nguồn từ lỗi xử lý dữ liệu đầu vào không an toàn. Tin tặc có thể gửi yêu cầu được thiết kế đặc biệt tới hệ thống, qua đó vượt qua cơ chế xác thực và thực thi lệnh với quyền cao nhất. Khi đó, toàn bộ hệ thống có thể bị kiểm soát hoàn toàn mà không cần tài khoản hợp lệ.

Đáng chú ý, lỗ hổng đã bị khai thác từ cuối tháng 1/2026, trước khi hãng Cisco công bố thông tin và phát hành bản vá hơn một tháng. Điều này khiến nhiều tổ chức rơi vào trạng thái “mù phòng thủ” trong giai đoạn đầu của cuộc tấn công.

Quá trình xâm nhập diễn ra theo nhiều bước. Sau khi khai thác thành công, thiết bị bị kiểm soát sẽ kết nối tới máy chủ của tin tặc để xác nhận. Tiếp đó, các thành phần mã độc khác được tải xuống nhằm mở rộng quyền truy cập và duy trì kiểm soát lâu dài trong hệ thống.

Các công cụ mà nhóm Interlock sử dụng bao gồm:​
  • Script thu thập thông tin hệ thống, dữ liệu người dùng và hoạt động mạng​
  • Mã độc điều khiển từ xa, cho phép thực thi lệnh và đánh cắp dữ liệu​
  • Công cụ che giấu hạ tầng tấn công và tự động xóa dấu vết​
  • Web shell chạy trực tiếp trong bộ nhớ nhằm né tránh phát hiện​
  • Phần mềm hợp pháp bị lợi dụng để duy trì truy cập trái phép​
1773890921747.png

Đáng lưu ý, một sai sót trong cấu hình hạ tầng của chính nhóm tấn công đã vô tình làm lộ bộ công cụ, giúp các chuyên gia phân tích được toàn bộ chuỗi hành vi và kỹ thuật ẩn mình của chúng.

Chiến dịch lần này cho thấy xu hướng mới của ransomware là chuyển sang khai thác trực tiếp các thiết bị mạng như tường lửa, VPN để xâm nhập ban đầu, thay vì phụ thuộc vào email lừa đảo. Đồng thời, tin tặc cũng tận dụng các công cụ sẵn có trong hệ thống để hạn chế bị phát hiện.

Khuyến cáo cho các chuyên gia an ninh mạng:
  • Khẩn trương cập nhật bản vá cho Cisco FMC​
  • Kiểm tra hệ thống để phát hiện dấu hiệu bị xâm nhập​
  • Rà soát các phần mềm truy cập từ xa bất thường​
  • Triển khai mô hình phòng thủ nhiều lớp​
Ngày nay các lỗ hổng zero-day có thể bị khai thác sớm nên chỉ dựa vào cập nhật bản vá là chưa đủ. Doanh nghiệp Việt Nam cần tăng cường khả năng phát hiện và phản ứng nhanh để hạn chế thiệt hại.
Theo The Hacker News
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Chrome phát hành bản cập nhật khẩn cấp, chặn hai lỗ hổng zero-day nguy hiểm
  • Patch Tuesday tháng 3/2026: Vá 79 lỗ hổng trong đó 2 lỗi zero-day đã bị công khai
  • APT28 bị nghi đứng sau chiến dịch khai thác zero-day MSHTML trước Patch Tuesday
  • Google vá lỗ hổng zero-day đầu tiên năm 2026 trên Chrome đang bị khai thác
  • Lỗ hổng zero-day đầu tiên của Apple bị khai thác, ảnh hưởng iPhone, Mac và nhiều thiết bị khác
  • Lỗ hổng zero-day trong Windows DWM đang bị khai thác để chiếm quyền SYSTEM
    • Thẻ
    cảnh báo an ninh mạng cve-2026-20131 interlock ransomware lỗ hổng cisco fmc tấn công mạng 2026 zero-day firewall
    Bên trên