Lời cảnh tỉnh cho an ninh mạng toàn cầu

Hàng trăm tổ chức trên toàn cầu, bao gồm các cơ quan chính phủ, hạ tầng quan trọng, bệnh viện và trường học, đang đứng trước nguy cơ bị tấn công mạng nghiêm trọng sau khi một lỗ hổng trong phần mềm máy chủ SharePoint của Microsoft bị khai thác trên diện rộng.

Chiến dịch tấn công, được đặt tên là "ToolShell", đang leo thang nhanh chóng, gây ra mối đe dọa tức thì và làm dấy lên hồi chuông cảnh báo về tình trạng an ninh của các hệ thống công nghệ thông tin (CNTT) tại chỗ.

Cuộc chạy đua với tin tặc

Vào ngày 20/7, Microsoft đã phát đi cảnh báo khẩn cấp về việc tin tặc đang tích cực khai thác một lỗ hổng "zero-day" (lỗ hổng chưa được biết đến hoặc chưa có bản vá) trong phần mềm SharePoint Server. Lỗ hổng này được biết đến với tên mã CVE-2025-53770 và CVE-2025-53771, cho phép kẻ tấn công thực thi mã từ xa mà không cần xác thực. Điều này đồng nghĩa chúng có thể chiếm toàn quyền kiểm soát máy chủ, đánh cắp dữ liệu, cài đặt cửa hậu (backdoor) và lấy cắp các khóa mã hóa.

Ông Adam Meyers, Phó Chủ tịch cấp cao của công ty an ninh mạng CrowdStrike, nhận định đây là một lỗ hổng nghiêm trọng, ảnh hưởng đến bất kỳ ai đang tự lưu trữ máy chủ SharePoint. Mối nguy càng trở nên lớn hơn khi SharePoint được sử dụng rộng rãi trên toàn thế giới để quản lý tài liệu, tổ chức dữ liệu và cộng tác nội bộ.

Việc SharePoint tích hợp sâu với các ứng dụng Office, Teams, OneDrive và Outlook biến nó thành trung tâm của mọi hoạt động liên lạc và chia sẻ dữ liệu. Đối với kẻ tấn công, việc giành quyền truy cập vào hệ thống này đồng nghĩa với việc nắm được "trái tim" thông tin hoạt động của một tổ chức, doanh nghiệp.

Microsoft đã nhanh chóng phát hành các bản vá khẩn cấp cho phiên bản SharePoint Server 2019 và SharePoint Server Subscription Edition. Tuy nhiên, phiên bản 2016 vốn được sử dụng nhiều trong các cơ quan hành chính, trường học và các công ty sản xuất vẫn chưa có bản cập nhật. Điều này tạo ra cơ hội cho tin tặc tấn công.

Đáng chú ý, dịch vụ SharePoint Online dựa trên đám mây của Microsoft không bị ảnh hưởng, cho thấy sự chênh lệch rõ rệt về mức độ an toàn giữa các môi trường đám mây và hệ thống tại chỗ.

Chuyển hướng sang mã độc tống tiền

Chiến dịch tấn công bắt đầu từ khoảng ngày 17/7 và không bị giới hạn về mặt địa lý. Các tổ chức tại Mỹ, Đức, Pháp và Australia bị ảnh hưởng nặng nề nhất. Theo công ty an ninh mạng Eye Security, số nạn nhân ước tính đã tăng từ 100 vào thời điểm bị phát hiện lên ít nhất 400 tổ chức.

Tuy nhiên, các chuyên gia cảnh báo con số thực tế có thể cao hơn nhiều. Bà Vaisha Bernard, chuyên gia của Eye Security và là người đầu tiên cảnh báo về loạt xâm nhập, cho biết vẫn còn nhiều hệ thống bị ảnh hưởng nhưng không để lại dấu vết rõ ràng.

Một diễn biến đáng báo động là chiến dịch đang chuyển hướng sang phát tán mã độc tống tiền (ransomware). Nhóm tin tặc đứng sau vụ tấn công đang sử dụng lỗ hổng để cài mã độc làm tê liệt hệ thống và đòi tiền chuộc. Việc leo thang này có thể gây gián đoạn nghiêm trọng, đặc biệt nếu tin tặc tấn công vào các tổ chức hạ tầng quan trọng.

Trong số các nạn nhân có một cái tên đáng chú ý: Cơ quan An ninh Hạt nhân Quốc gia Mỹ (NSA), đơn vị chịu trách nhiệm thiết kế và bảo trì kho vũ khí hạt nhân. NSA đã xác nhận hệ thống bị xâm nhập mặc dù không có dữ liệu mật nào bị đánh cắp. Viện Y tế Quốc gia Mỹ (NIH) cũng xác nhận một máy chủ bị xâm nhập và đã phải cách ly các máy chủ khác để phòng ngừa. Ngoài ra, Bộ An ninh Nội địa (DHS) và nhiều cơ quan chính phủ khác cũng có thể đã bị ảnh hưởng.

Lời cảnh tỉnh cho các hệ thống công nghệ tại chỗ

Đối với nhiều doanh nghiệp và tổ chức, cuộc tấn công vào SharePoint là một bước ngoặt. Việc trì hoãn trong nhiều năm quyết định di chuyển lên môi trường đám mây hoặc nâng cấp hạ tầng nội bộ đã bộc lộ yếu điểm, khi các công ty đã đầu tư vào giải pháp đám mây trước đó gần như được bảo vệ khỏi cuộc tấn công này.

Vụ tấn công là một lời cảnh tỉnh đanh thép cho các công ty và tổ chức công vẫn đang dựa vào các môi trường công nghệ tại chỗ, vốn thường xuyên bỏ lỡ các bản cập nhật, thiếu sự giám sát liên tục và có ngân sách hạn chế cho an ninh mạng. Nhiều hệ thống tại chỗ đang hoạt động theo chế độ "cài đặt rồi bỏ quên". Việc thiếu tài nguyên, quản trị viên được đào tạo và quy trình ứng phó sự cố đồng nghĩa phía chủ quản có thể chỉ phát hiện cuộc tấn công vào hệ thống sau nhiều tuần, hoặc thậm chí không bao giờ biết đến chúng.

Các chuyên gia bảo mật khuyến nghị bất kỳ tổ chức nào có SharePoint tại chỗ kết nối với Internet nên mặc định rằng mình đã bị ảnh hưởng. Điều này không chỉ đòi hỏi họ phải cài đặt các bản vá mà còn phải tiến hành phân tích điều tra kỹ lưỡng, cắt quyền truy cập từ bên ngoài, thay đổi khóa mã hóa và có khả năng xây dựng lại toàn bộ môi trường. Đối với nhiều công ty và tổ chức, điều này đồng nghĩa với việc dừng dự án, thuê các đội ứng phó sự cố bên ngoài và chịu chi phí vận hành tăng mạnh.

Ông Michael Sikorski, Giám đốc công nghệ của Unit 42 tại công ty an ninh mạng Palo Alto Networks, cảnh báo rằng các tổ chức chính phủ, trường học, bệnh viện và các doanh nghiệp lớn đang đối mặt với rủi ro tức thì. Khoảng hơn 100 tổ chức, bao gồm nhiều trường công và đại học, rằng họ có lỗ hổng và có khả năng đã bị xâm nhập. Đáng báo động hơn, các nhà nghiên cứu của Eye Security phát hiện tin tặc đã chiếm được các khóa mã hóa, cho phép chúng quay trở lại hệ thống bất cứ lúc nào, ngay cả khi lỗ hổng đã được vá.

Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) khuyến nghị bất kỳ máy chủ nào bị ảnh hưởng cần ngắt kết nối internet cho đến khi được vá bảo mật.

Về dài hạn, các tổ chức cần xem xét lại chiến lược công nghệ thông tin của mình. Việc duy trì các hệ thống tại chỗ mà không có kế hoạch nâng cấp và nguồn lực để bảo mật ngày nay cũng rủi ro như giữ tiền mặt trong một chiếc két bị hỏng khóa. Đây không còn là vấn đề của riêng bộ phận công nghệ thông tin, mà là một vấn đề chiến lược cần được ban lãnh đạo quan tâm hàng đầu trong bối cảnh số hóa nhanh chóng.