Khách hàng của SonicWall đối mặt với chuỗi lỗ hổng nghiêm trọng: Vá lỗi thôi là chưa đủ
- Kamy Le

- 1 ngày trước
- 4 phút đọc
Người dùng các thiết bị mạng SonicWall lại vừa bước vào một cuộc đua căng thẳng mới với hacker. Lần này, thủ phạm là một cặp lỗ hổng bảo mật zero-day đang bị khai thác tích cực trong thực tế, đe dọa chiếm quyền kiểm soát hoàn toàn hệ thống của các doanh nghiệp.
Sự nguy hiểm từ "cặp bài trùng" lỗ hổng bảo mật
SonicWall đã chính thức công bố thông tin về hai lỗ hổng bảo mật mới với định danh là CVE-2026-15409 và CVE-2026-15410. Dù phía nhà sản xuất tuyên bố một nhân viên của họ đã phát hiện ra các lỗi này, nhưng các chuyên gia từ hãng bảo mật Rapid7 lại tiết lộ một sự thật đáng lo ngại: Những kẻ tấn công đã âm thầm khai thác chúng từ ngày 22 tháng 6 - tức là khoảng ba tuần trước khi bản vá lỗi được tung ra.
Điểm nguy hiểm nhất trong chiến dịch lần này là kẻ tấn công không sử dụng đơn lẻ mà kết hợp hai lỗ hổng này lại với nhau (exploit chaining) để tạo ra một chuỗi tấn công hoàn chỉnh. Dòng sản phẩm bị ảnh hưởng là thiết bị truy cập từ xa SonicWall SMA1000.
Trong hai lỗi này, một lỗi đạt mức độ nghiêm trọng tối đa cho phép tin tặc gửi các yêu cầu giả mạo dưới danh nghĩa người dùng hợp lệ, lỗi còn lại cho phép chèn lệnh trái phép vào hệ thống. Khi kết hợp với nhau, cặp đôi lỗ hổng này mở toang cánh cửa cho phép hacker đi từ con số không - tức là không có bất kỳ quyền truy cập nào - đến việc chiếm quyền điều khiển hoàn toàn thiết bị từ xa qua Internet.
Theo nhận định từ các chuyên gia, mục tiêu cuối cùng của nhóm tin tặc này nhiều khả năng là phát tán mã độc tống tiền - ransomware. Rất may, trong các trường hợp được ghi nhận bởi Rapid7, các chuyên gia đã kịp thời ngăn chặn hành vi đánh cắp dữ liệu và mã hóa hệ thống của kẻ tấn công.

Phạm vi ảnh hưởng và động thái từ SonicWall
Hiện tại, phía SonicWall vẫn giữ kín các thông tin chi tiết về danh tính, nguồn gốc cũng như động cơ cụ thể của nhóm hacker đứng sau. Xét về quy mô, hãng công nghệ trấn an rằng dòng thiết bị SMA1000 bị ảnh hưởng chỉ chiếm một tỷ lệ rất nhỏ (dưới 5.000 thiết bị) trong tổng số khoảng 1 triệu cảm biến đang hoạt động toàn cầu. Tuy nhiên, công ty xác nhận đã và đang phải trực tiếp hỗ trợ xử lý nhiều trường hợp bị tấn công trong thực tế.
Trước tính chất nghiêm trọng của sự việc, Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Mỹ (CISA) đã lập tức đưa cả hai lỗ hổng zero-day này vào danh mục các lỗi nguy hiểm đang bị khai thác.
Đại diện truyền thông của SonicWall chia sẻ, hãng đã ưu tiên tối đa tốc độ phản ứng. Chỉ trong vòng vài ngày sau khi nhận biết được mối đe dọa, đội ngũ kỹ thuật đã phát triển thành công một kịch bản tự động (script) nhằm hỗ trợ các khách hàng bị ảnh hưởng xử lý sự cố nhanh chóng bên cạnh việc phát hành bản cập nhật phần mềm.
Hồi chuông cảnh báo và lời khuyên từ chuyên gia
Đây không phải là lần đầu tiên các thiết bị của SonicWall trở thành miếng mồi ngon cho tội phạm mạng. Nhìn lại lịch sử, kể từ cuối năm 2021 đến nay, đã có tới 17 lỗi bảo mật liên quan đến các sản phẩm của hãng bị CISA liệt vào danh sách cảnh báo khẩn cấp. 10 trong số đó từng bị lợi dụng cho các chiến dịch ransomware, điển hình là làn sóng tấn công của mã độc Akira vào giữa năm 2025. Thậm chí trước đó vào năm 2025, một nhóm tin tặc được nhà nước bảo trợ đã xâm nhập vào môi trường đám mây của hãng và đánh cắp cấu hình tường lửa của toàn bộ khách hàng.
Trước tình hình này, các chuyên gia an ninh mạng nhấn mạnh một thực tế: Đối với các lỗ hổng đã bị khai thác trước khi có bản vá, việc cập nhật phần mềm lên phiên bản mới nhất chỉ là điều kiện cần chứ chưa đủ. Do kẻ tấn công có thể đã ẩn mình trong hệ thống từ trước, các doanh nghiệp cần chủ động rà soát, tìm kiếm các dấu hiệu xâm nhập dựa trên các dữ liệu cảnh báo mà SonicWall cung cấp.
Cuộc tấn công vào các thiết bị SonicWall một lần nữa nhắc nhở các tổ chức về sự khốc liệt của chiến trường an ninh mạng. Khi tội phạm mạng luôn tìm cách đi trước một bước bằng các lỗ hổng zero-day, tinh thần chủ động phòng thủ và thường xuyên kiểm tra hệ thống chính là chìa khóa để bảo vệ an toàn cho dữ liệu của doanh nghiệp.
Nguồn: CyberScoop











Bình luận