lỗ hổng CVE trong ConnectWise ScreenConnect đang bị khai thác thực tế, và CISA đã đưa CVE-2024-1708 vào danh mục Known Exploited Vulnerabilities (KEV) vào ngày 28/04/2026. Đây là một cảnh báo CVE nghiêm trọng vì lỗ hổng này đang được dùng để xâm nhập mạng trong môi trường thực tế.
CVE-2024-1708 trong ConnectWise ScreenConnect
ConnectWise ScreenConnect là công cụ hỗ trợ từ xa phổ biến, thường được quản trị viên CNTT dùng để quản lý máy tính và hệ thống từ xa. Do phần mềm này cần cấp quyền mạng và quyền truy cập cao để hoạt động, bất kỳ điểm yếu nào cũng có thể mở ra đường vào trực tiếp cho kẻ tấn công.
CVE-2024-1708 được phân loại là path traversal theo CWE-22. Lỗi này xảy ra khi ứng dụng không lọc đúng đường dẫn tệp do người dùng bên ngoài cung cấp.
Kẻ tấn công có thể lợi dụng sai sót này để thao túng đường dẫn tệp và truy cập vào thư mục bị hạn chế trên máy chủ.
Cơ chế khai thác
Với lỗ hổng CVE này, đối tượng tấn công có thể thực hiện remote code execution, sửa đổi tệp hệ thống nhạy cảm và giành quyền kiểm soát toàn bộ hạ tầng CNTT bị ảnh hưởng.
CISA xác nhận CVE-2024-1708 đang bị khai thác trong thực chiến. Tại thời điểm hiện tại, mối liên hệ trực tiếp với các chiến dịch ransomware được ghi nhận là Unknown.
Tham chiếu danh mục KEV của CISA: https://www.cisa.gov/known-exploited-vulnerabilities-catalog
Ảnh hưởng hệ thống và rủi ro bảo mật
Vì là công cụ truy cập từ xa, ScreenConnect thường nằm trong vùng có đặc quyền cao. Khi bị khai thác, hệ thống bị xâm nhập có thể trở thành điểm khởi đầu cho các cuộc tấn công mạng tiếp theo, bao gồm triển khai ransomware hoặc bán quyền truy cập cho tác nhân khác.
Các rủi ro chính của lỗ hổng CVE này gồm:
- Đánh cắp dữ liệu và truy cập trái phép vào tài nguyên nội bộ.
- Sửa đổi hoặc phá hoại tệp hệ thống quan trọng.
- Triển khai mã độc ransomware sau khi có điểm vào ban đầu.
- Gây gián đoạn vận hành và làm tăng rủi ro an toàn thông tin.
Do đó, cảnh báo CVE này không chỉ là vấn đề của riêng ứng dụng mà còn là nguy cơ ảnh hưởng đến toàn bộ an ninh mạng của tổ chức.
Thời hạn khắc phục và bản vá bảo mật
CISA yêu cầu các cơ quan Federal Civilian Executive Branch (FCEB) phải vá hoặc giảm thiểu rủi ro trước 12/05/2026. CISA cũng khuyến nghị các tổ chức tư nhân và doanh nghiệp áp dụng cùng mốc thời gian này để bảo vệ dữ liệu vận hành.
Với một lỗ hổng CVE đang bị khai thác, việc trì hoãn cập nhật bản vá làm tăng xác suất bị xâm nhập trái phép và phát sinh data breach.
Hành động giảm thiểu
Các nhóm phòng thủ nên thực hiện ngay các biện pháp sau:
- Ưu tiên cập nhật bản vá hoặc áp dụng biện pháp giảm thiểu theo hướng dẫn của nhà cung cấp.
- Giới hạn truy cập vào hệ thống ScreenConnect từ các địa chỉ đáng tin cậy.
- Kiểm tra nhật ký truy cập để phát hiện dấu hiệu khai thác path traversal.
- Giám sát các kết nối bất thường từ hệ thống quản trị từ xa.
- Đối chiếu trạng thái bảo vệ với danh sách Known Exploited Vulnerabilities của CISA.
IOC liên quan
- CVE-2024-1708 — lỗ hổng path traversal trong ConnectWise ScreenConnect.
- CWE-22 — phân loại kỹ thuật của lỗi path traversal.
- KEV — danh mục lỗ hổng đã bị khai thác thực tế của CISA.
Điểm cần lưu ý cho đội ngũ phòng thủ
Trong bối cảnh tin bảo mật mới nhất về lỗ hổng CVE này, hệ thống quản trị từ xa cần được xem là bề mặt tấn công ưu tiên. Nếu ScreenConnect đang được triển khai trong môi trường nội bộ, việc xác nhận phiên bản, kiểm tra cấu hình và thực hiện bản vá bảo mật phải được đưa vào quy trình xử lý ngay lập tức.
Với các hệ thống chưa thể vá ngay, cần tăng cường giám sát để phát hiện xâm nhập, khoanh vùng truy cập, và giảm thiểu nguy cơ hệ thống bị tấn công thông qua kênh quản trị từ xa.
