top of page
Tìm kiếm

Cảnh báo khẩn: lỗ hổng SolarWinds Serv-U đang bị khai thác để làm sập hệ thống máy chủ

Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) vừa đưa ra lời cảnh báo khẩn cấp về việc các nhóm tin tặc đang tích cực lợi dụng một lỗ hổng bảo mật nghiêm trọng mới được vá trên phần mềm SolarWinds Serv-U. Mục tiêu của các cuộc tấn công này là khiến hệ thống máy chủ của các doanh nghiệp bị tê liệt hoàn toàn.

SolarWinds Serv-U là gì và lỗ hổng mới này nguy hiểm ra sao?

SolarWinds Serv-U là một ứng dụng hỗ trợ chuyển dữ liệu an toàn, hoạt động trên cả hai nền tảng Windows và Linux. Phần mềm này cung cấp các giải pháp quản lý truyền tập tin (MFT) và máy chủ FTP, giúp người dùng trao đổi dữ liệu an toàn qua các giao thức phổ biến như HTTP/HTTPS, FTP, FTPS và SFTP.

Lỗ hổng SolarWinds Serv-U đang bị khai thác để làm sập hệ thống máy chủ
Lỗ hổng SolarWinds Serv-U đang bị khai thác để làm sập hệ thống máy chủ

Lỗ hổng mới được phát hiện có mã định danh là CVE-2026-28318. Đây là lỗi thuộc nhóm "tấn công từ chối dịch vụ" (Denial of Service - DoS) – một dạng tấn công làm cạn kiệt tài nguyên hệ thống, khiến máy chủ bị quá tải và không thể hoạt động được.

Kẻ tấn công làm sập máy chủ bằng cách nào?

Theo thông tin từ nhà sản xuất SolarWinds, lỗ hổng này xuất phát từ lỗi quản lý và tiêu thụ tài nguyên không kiểm soát. Kẻ tấn công từ xa có thể gửi các yêu cầu đăng tải dữ liệu (POST requests) được chỉnh sửa một cách đặc biệt, sử dụng phương thức nén dữ liệu Content-Encoding: deflate.

Tin tặc hoàn toàn có thể thực hiện từ xa mà không cần quyền truy cập (không cần tài khoản đăng nhập) và cũng không cần bất kỳ sự tương tác hay kích hoạt nào từ phía người dùng hợp pháp. Máy chủ dính lỗi sẽ lập tức bị sập ngay khi nhận được yêu cầu độc hại này.

Mức độ ảnh hưởng toàn cầu và phản ứng của các cơ quan an ninh ra sao?

Các nền tảng giám sát internet đang ghi nhận số lượng lớn máy chủ đối mặt với rủi ro. Cụ thể, nền tảng Shodan phát hiện có hơn 12.000 máy chủ Serv-U đang công khai trên mạng internet, trong khi tổ chức bảo mật Shadowserver ghi nhận con số này là hơn 3.100. Hiện tại vẫn chưa có số liệu thống kê chính xác về số lượng hệ thống đã được cài đặt bản vá.

Trước tình hình lỗ hổng bị khai thác trong thực tế, CISA đã lập tức đưa CVE-2026-28318 vào Danh mục các lỗ hổng bị khai thác trong thực tế. Đồng thời, CISA cũng khuyến cáo mạnh mẽ các tổ chức tư nhân và toàn bộ cộng đồng công nghệ cần triển khai các biện pháp bảo vệ ngay lập tức vì đây là phương thức tấn công phổ biến gây rủi ro cực kỳ lớn cho an toàn thông tin doanh nghiệp.


Trong quá khứ, phần mềm Serv-U đã từng bị tấn công chưa?

Lịch sử cho thấy các sản phẩm của SolarWinds, đặc biệt là Serv-U, luôn là miếng mồi ngon được các nhóm tội phạm mạng và các nhóm tin tặc có bảo trợ nhắm đến để đánh cắp dữ liệu doanh nghiệp.

  • Năm 2021: băng đảng mã độc tống tiền khét tiếng Clop đã lợi dụng lỗ hổng thực thi mã từ xa (CVE-2021-35211) để xâm nhập trái phép vào mạng lưới nội bộ của nhiều công ty. Lỗ hổng này cũng từng bị nhóm tin tặc Trung Quốc (ký hiệu DEV-0322) khai thác trong các chiến dịch tấn công zero-day cùng năm.

  • Tháng 6 năm 2024: các công ty an ninh mạng GreyNoise và Rapid7 tiếp tục phát hiện lỗ hổng duyệt sai thư mục (CVE-2024-28995) trên Serv-U bị khai thác rộng rãi. 

  • Tổng quan: trong vài năm qua, CISA đã phải đưa tổng cộng 11 lỗ hổng bảo mật khác nhau trên các dòng sản phẩm của SolarWinds vào danh sách cảnh báo nguy hiểm bị khai thác trong thực tế. 

Các quản trị viên hệ thống cần làm gì ngay lúc này để ứng phó?

Nhà sản xuất SolarWinds đã phát hành bản cập nhật khẩn cấp Serv-U 15.5.4 Hotfix 1 để khắc phục triệt để lỗ hổng này. Biện pháp tốt nhất là các doanh nghiệp cần cập nhật bản vá ngay lập tức. 

Trong trường hợp hệ thống chưa thể tiến hành nâng cấp ngay, SolarWinds khuyến nghị các quản trị viên có thể áp dụng các bước ngăn chặn tạm thời sau: 

  • Giới hạn quyền truy cập máy chủ, chỉ cho phép các địa chỉ IP xác định và tin cậy kết nối.

  • Thiết lập chặn toàn bộ các yêu cầu POST có chứa chuỗi ký tự "content-encoding", bởi vì tính năng truyền dữ liệu mặc định của Serv-U không cần sử dụng đến cấu trúc lệnh này.

IPSIP Việt Nam cung cấp giải pháp bảo mật hàng đầu cho các doanh nghiệp

Khởi nguồn với bề dày hơn 15 năm kinh nghiệm (từ Pháp), hệ sinh thái IPSIP Việt Nam được định vị là đối tác chiến lược hàng đầu, thấu hiểu sắc bén bài toán quản trị rủi ro và đánh chặn mã độc tự trị trong kỷ nguyên số. 

Giải pháp An ninh mạng IPSIP Việt Nam
Giải pháp An ninh mạng IPSIP Việt Nam

Hệ thống quản trị và giám sát của IPSIP Việt Nam đã xuất sắc vượt qua các kiểm định khắt khe nhất để đạt chứng nhận tiêu chuẩn an toàn thông tin quốc tế ISO 27001:2022 và SOC 2 Type II. Bằng việc cung cấp các dịch vụ cốt lõi hoạt động không ngừng nghỉ 24/7 như Trung tâm Giám sát An ninh mạng (SOC), Trung tâm Điều hành Mạng lưới (NOC) và đội ngũ IT Support/Helpdesk trực chiến, IPSIP cam kết trực tiếp phản ứng, đánh chặn mọi nỗ lực xâm nhập bất kể ngày đêm. Sự đồng hành của những bộ óc kỹ thuật hàng đầu sẽ giúp doanh nghiệp tháo gỡ hoàn toàn rủi ro pháp lý và giải phóng nguồn lực cho các mục tiêu tăng trưởng.

Nguồn tham khảo

Bình luận

conact-ipsip-vietnam
zalo
đặt lịch hẹn
LOGO IPSIP vietnam 1

CÔNG TY TNHH MTV IPSIP VIỆT NAM (IPSIP VIETNAM OMLLC)

​MST: 0313859600

🏢 Số SH05.01 Đường B4, Khu Saritown, Phường An Khánh, Thành phố Hồ Chí Minh, Việt Nam

​☎  +84 91 885 30 68

  • Linkedin
  • Facebook
  • TikTok
  • Email liên h��ệ
png-clipart-iso-iec-27001-information-security-management-iso-iec-27002-international-orga
21972-312_SOC_NonCPA.png

Đăng ký nhận tài liệu, tin tức an ninh mạng chuyên sâu từ IPSIP Việt Nam

bottom of page