Zero-day Ivanti EPMM bị khai thác: Chiếm quyền máy chủ chỉ trong vài giây

[WhiteHat Team]

Một chiến dịch tấn công mạng mới được phát hiện đang khai thác hai lỗ hổng zero-day trong hệ thống quản lý thiết bị di động Ivanti Endpoint Manager Mobile (EPMM). Với mức độ nguy hiểm gần như tối đa, các lỗ hổng này cho phép tin tặc xâm nhập hệ thống mà không cần đăng nhập, chiếm toàn quyền máy chủ và đánh cắp dữ liệu chỉ trong vài giây. Sự việc đang làm dấy lên lo ngại lớn trong cộng đồng doanh nghiệp sử dụng nền tảng này.
​

Ảnh: Internet​

Hai lỗ hổng mang mã CVE-2026-1281 và CVE-2026-1340 đều đạt điểm CVSS 9,8/10. Các lỗ hổng này tồn tại trong các thành phần xử lý trước xác thực (pre-authentication) của hệ thống Ivanti EPMM. Điều này đồng nghĩa với việc kẻ tấn công không cần tài khoản hợp lệ vẫn có thể gửi lệnh và thực thi mã từ xa trên máy chủ.​

Nguyên nhân và bản chất kỹ thuật của lỗ hổng​

Về bản chất, lỗi phát sinh từ việc hệ thống không kiểm soát chặt chẽ dữ liệu đầu vào trong các yêu cầu HTTP. Tin tặc có thể lợi dụng các tham số như thời gian bắt đầu/kết thúc (start/end time) để chèn lệnh hệ thống vào backend. Khi server xử lý các yêu cầu này, thay vì coi đó là dữ liệu thông thường, nó lại thực thi như lệnh hệ thống, mở đường cho tấn công RCE.​

Cơ chế khai thác: Tấn công diễn ra như thế nào?​

Chiến dịch tấn công được thực hiện theo hướng tự động hóa cao, với chiến thuật “đánh nhanh - rút gọn”.

Ban đầu, hacker quét Internet để tìm các hệ thống Ivanti EPMM dễ bị tổn thương. Sau đó, họ gửi các yêu cầu HTTP được thiết kế đặc biệt để kiểm tra khả năng khai thác, thường bằng cách chèn lệnh “sleep” nhằm xác nhận có thể thực thi mã mà không gây chú ý.

Khi xác nhận thành công, quá trình tấn công diễn ra rất nhanh. Hacker cài đặt một webshell viết bằng Java, ẩn trong file lỗi hệ thống (403.jsp). Thông qua việc mã hóa payload bằng base64, họ có thể duy trì truy cập và thực thi lệnh với quyền cao nhất.

Các payload tiếp theo được tải trực tiếp vào bộ nhớ, không cần ghi file rõ ràng, khiến việc phát hiện trở nên khó khăn hơn. Một số thành phần tấn công được phát triển dựa trên công cụ AntSword (một framework tấn công phổ biến).​

Chỉ 6 giây để chiếm quyền toàn bộ hệ thống​

Một trong những điểm đáng lo ngại nhất là tốc độ tấn công. Trong một sự cố ghi nhận vào ngày 09/02/2026, toàn bộ hệ thống đã bị xâm nhập và dữ liệu bị đánh cắp chỉ trong 6 giây.

Sau khi chiếm quyền, hacker nhanh chóng truy cập cơ sở dữ liệu MIFs của hệ thống để lấy:​

• Thông tin đăng nhập người dùng​
• Dữ liệu thiết bị di động được quản lý​
• Thông tin cấu hình hệ thống​

Đồng thời, chúng truy cập thư mục hệ thống để lấy thêm file cấu hình, bao gồm cả thông tin quản trị. Dữ liệu sau đó được nén lại và chuyển ra ngoài qua các yêu cầu HTTP thông thường, rồi xóa dấu vết ngay lập tức để tránh bị phát hiện.​

Rủi ro và mức độ ảnh hưởng​

Với khả năng khai thác không cần xác thực và tốc độ cực nhanh, lỗ hổng này được đánh giá là cực kỳ nguy hiểm đối với các tổ chức sử dụng Ivanti EPMM.

Hệ quả có thể bao gồm:​

• Mất toàn bộ quyền kiểm soát hệ thống quản lý thiết bị​
• Rò rỉ dữ liệu nhạy cảm của doanh nghiệp và người dùng​
• Bị sử dụng làm bàn đạp tấn công sang các hệ thống khác​
• Nguy cơ bị cài mã độc hoặc ransomware​

Đặc biệt, vì đây là hệ thống quản lý thiết bị di động, phạm vi ảnh hưởng có thể lan rộng đến toàn bộ thiết bị trong doanh nghiệp.​

Khuyến nghị và biện pháp phòng tránh​

Trước mối đe dọa này, các chuyên gia an ninh mạng khuyến nghị:​

• Cập nhật bản vá Ivanti EPMM ngay khi có sẵn​
• Hạn chế truy cập từ Internet vào giao diện quản trị​
• Theo dõi các yêu cầu HTTP bất thường, đặc biệt là tham số đầu vào​
• Kiểm tra các file hệ thống như 403.jsp để phát hiện dấu hiệu bị chèn mã​
• Giám sát hoạt động truy cập dữ liệu và hành vi bất thường trên server​

Ngoài ra, việc triển khai các giải pháp bảo mật nâng cao như WAF, giám sát hành vi và phát hiện tấn công trong bộ nhớ cũng là cần thiết.​

Theo Cyber Press​