Cơ quan An ninh Cơ sở Hạ tầng và An ninh Mạng Hoa Kỳ (CISA) đã phát đi một cảnh báo khẩn cấp về một lỗ hổng CVE nghiêm trọng cho phép thực thi mã từ xa, ảnh hưởng đến tiện ích mở rộng Mirasvit Full Page Cache Warmer dành cho Magento. Lỗ hổng này được định danh là CVE-2026-45247, và hiện đang bị khai thác tích cực trong các cuộc tấn công thực tế, gây ra mối lo ngại lớn trong các môi trường thương mại điện tử sử dụng nền tảng Magento.
Trong bối cảnh các nền tảng thương mại điện tử là mục tiêu chính của các tác nhân đe dọa, việc một lỗ hổng nghiêm trọng như vậy bị khai thác tích cực đặt ra thách thức lớn đối với an toàn thông tin của các doanh nghiệp.
Phân tích kỹ thuật lỗ hổng CVE-2026-45247
Lỗ hổng CVE-2026-45247 có nguồn gốc từ vấn đề khử tuần tự hóa dữ liệu không tin cậy (insecure deserialization) và được phân loại dưới mã CWE-502. Đây là một trong những loại lỗ hổng phổ biến và nguy hiểm nhất trong các ứng dụng web, thường dẫn đến khả năng thực thi mã từ xa.
Tuần tự hóa (serialization) là quá trình chuyển đổi một đối tượng dữ liệu hoặc cấu trúc dữ liệu thành một định dạng có thể lưu trữ hoặc truyền tải. Ngược lại, khử tuần tự hóa (deserialization) là quá trình xây dựng lại đối tượng từ định dạng tuần tự hóa đó.
Trong trường hợp của Mirasvit Full Page Cache Warmer, lỗ hổng này nằm ở cách tiện ích mở rộng xử lý các đối tượng PHP đã được tuần tự hóa nhận được thông qua cookie CacheWarmer. Tiện ích này không kiểm tra đủ tính hợp lệ hoặc độ tin cậy của dữ liệu đầu vào trước khi khử tuần tự hóa.
Một kẻ tấn công không cần xác thực có thể lợi dụng điểm yếu này. Họ có thể tạo ra một payload độc hại đã được tuần tự hóa, được thiết kế để thực thi các lệnh tùy ý trên hệ thống.
Payload này sau đó được gửi đến máy chủ Magento thông qua cookie CacheWarmer. Khi tiện ích mở rộng cố gắng khử tuần tự hóa payload độc hại này, nó sẽ vô tình thực thi mã được nhúng trong đó, dẫn đến khả năng remote code execution (RCE).
Khả năng RCE không cần xác thực là đặc biệt nguy hiểm. Nó cho phép kẻ tấn công kiểm soát hoàn toàn máy chủ mà không cần bất kỳ thông tin đăng nhập hợp lệ nào, biến các cửa hàng Magento có thể truy cập từ internet thành mục tiêu dễ dàng.
Khi khai thác thành công lỗ hổng CVE-2026-45247, kẻ tấn công có thể thực hiện nhiều hành động độc hại. Điều này bao gồm việc chạy các lệnh hệ thống tùy ý, triển khai backdoor để duy trì quyền truy cập, hoặc thâm nhập sâu hơn vào môi trường lưu trữ để thực hiện các cuộc tấn công phức tạp hơn như đánh cắp dữ liệu hoặc cài đặt mã độc tống tiền.
Cảnh báo khẩn cấp và tình hình khai thác
Vào ngày 3 tháng 6 năm 2026, CISA đã chính thức bổ sung CVE-2026-45247 vào danh mục Các Lỗ hổng Đã bị Khai thác (Known Exploited Vulnerabilities – KEV) của mình. Quyết định này là một xác nhận rõ ràng về việc lỗ hổng đang bị khai thác tích cực trong các cuộc tấn công trong thực tế.
Việc một lỗ hổng CVE được đưa vào danh mục KEV của CISA cho thấy mức độ nghiêm trọng và tính cấp bách của mối đe dọa. Các tổ chức được khuyến cáo phải hành động ngay lập tức để bảo vệ hệ thống của mình.
Theo Chỉ thị Vận hành Ràng buộc (Binding Operational Directive – BOD) 22-01, các cơ quan và tổ chức liên bang tại Hoa Kỳ được yêu cầu phải khắc phục vấn đề này trước ngày 6 tháng 6 năm 2026. Mặc dù chỉ thị này áp dụng cho các cơ quan liên bang, nó cũng là một lời nhắc nhở mạnh mẽ cho tất cả các tổ chức về sự cần thiết phải hành động kịp thời.
Mặc dù hiện tại chưa có xác nhận công khai nào liên kết trực tiếp lỗ hổng này với các chiến dịch mã độc tống tiền (ransomware), bản chất của lỗ hổng CVE-2026-45247 khiến nó trở thành mục tiêu cực kỳ hấp dẫn. Các tác nhân đe dọa có động cơ tài chính, đặc biệt là những kẻ chuyên môi giới truy cập ban đầu (initial access brokers), có thể tận dụng RCE để xâm nhập vào mạng lưới.
Các nhà nghiên cứu bảo mật đã quan sát thấy các nỗ lực khai thác có thể bao gồm các yêu cầu HTTP đáng ngờ. Những yêu cầu này thường chứa cookie CacheWarmer đã bị thao túng, với các payload đối tượng PHP được mã hóa được thiết kế để kích hoạt quá trình khử tuần tự hóa độc hại.
Với tầm ảnh hưởng rộng lớn của Magento trong các triển khai thương mại điện tử từ doanh nghiệp vừa đến lớn, bề mặt tấn công của lỗ hổng CVE này là rất đáng kể. Hàng ngàn cửa hàng trực tuyến đang đối mặt với nguy cơ bị xâm nhập nếu không được vá kịp thời.
Dấu hiệu nhận biết sự xâm nhập (Indicators of Compromise – IOCs)
Việc phát hiện sớm là yếu tố then chốt để hạn chế thiệt hại từ việc khai thác lỗ hổng CVE-2026-45247. Các tổ chức cần triển khai giám sát chủ động và chú ý đến các dấu hiệu xâm nhập sau đây, có thể cho thấy hệ thống Magento đã bị tấn công:
- Các tiến trình máy chủ web bất thường: Sự xuất hiện của các tiến trình lạ, không mong muốn chạy trên máy chủ, chẳng hạn như shell (
sh,bash), PHP processes không liên quan đến hoạt động bình thường của Magento, hoặc các trình thông dịch script (python,perl) được khởi tạo một cách bất thường. - Tạo các tệp tin trái phép: Phát hiện các tệp tin hoặc thư mục mới đáng ngờ được tạo trong các thư mục của Magento hoặc các khu vực nhạy cảm khác trên hệ thống. Các tệp này có thể là backdoor, web shell, hoặc các script độc hại.
- Các kết nối đi không xác định: Máy chủ Magento thiết lập các kết nối mạng đi đến các địa chỉ IP hoặc miền (domain) không quen thuộc, không được phép. Điều này có thể cho thấy kẻ tấn công đang thiết lập kênh chỉ huy và kiểm soát (C2) hoặc đánh cắp dữ liệu.
- Giá trị cookie bất thường trong nhật ký: Trong nhật ký ứng dụng hoặc nhật ký máy chủ web, tìm kiếm các giá trị bất thường của cookie
CacheWarmer. Các giá trị này có thể dài bất thường, chứa các chuỗi được mã hóa base64 hoặc các ký tự đặc biệt, không phù hợp với định dạng dữ liệu tuần tự hóa PHP thông thường. - Yêu cầu lặp lại đến các điểm cuối cache warming: Các yêu cầu HTTP liên tục hoặc với tần suất cao nhắm mục tiêu vào các điểm cuối liên quan đến chức năng làm ấm bộ nhớ cache. Đây có thể là dấu hiệu của các nỗ lực thăm dò hoặc khai thác liên tục.
Việc thiết lập hệ thống giám sát và cảnh báo cho các IOCs này là một phần không thể thiếu trong chiến lược bảo mật của bất kỳ tổ chức nào. Khi phát hiện bất kỳ dấu hiệu nào trong số này, cần phải tiến hành điều tra ngay lập tức để xác định phạm vi và bản chất của sự xâm nhập, đồng thời thực hiện các biện pháp ứng phó phù hợp.
Biện pháp phòng ngừa và bản vá bảo mật cấp thiết
Đối với các tổ chức đang sử dụng tiện ích mở rộng Mirasvit Full Page Cache Warmer, hành động đầu tiên và quan trọng nhất là áp dụng ngay lập tức các bản vá bảo mật hoặc biện pháp giảm thiểu được nhà cung cấp Mirasvit cung cấp. Việc trì hoãn sẽ khiến hệ thống của bạn tiếp tục đối mặt với nguy cơ cao bị hệ thống bị xâm nhập.
Nếu nhà cung cấp chưa có sẵn bản vá bảo mật hoặc giải pháp khắc phục ngay lập tức, CISA khuyến nghị nên vô hiệu hóa hoặc gỡ bỏ hoàn toàn tiện ích mở rộng bị ảnh hưởng. Mặc dù điều này có thể ảnh hưởng đến một số chức năng, nó là biện pháp hữu hiệu nhất để loại bỏ hoàn toàn bề mặt tấn công trong ngắn hạn và bảo vệ an toàn thông tin hệ thống.
Ngoài các bản vá và việc vô hiệu hóa, các biện pháp phòng thủ bổ sung nên được triển khai để tăng cường khả năng bảo vệ tổng thể cho môi trường Magento:
- Triển khai Quy tắc Tường lửa Ứng dụng Web (WAF): Cấu hình WAF để kiểm tra sâu hơn các yêu cầu HTTP đến, đặc biệt là các giá trị cookie. Các quy tắc WAF mạnh mẽ có thể giúp phát hiện và chặn các payload tuần tự hóa độc hại, ngăn chặn chúng tiếp cận ứng dụng. Cần chú ý đến việc chặn các chuỗi đặc biệt thường được sử dụng trong các cuộc tấn công deserialization.
- Giám sát và Phân tích Nhật ký Nâng cao: Thực hiện giám sát liên tục nhật ký ứng dụng, nhật ký máy chủ web và nhật ký hệ thống. Sử dụng các công cụ quản lý thông tin và sự kiện bảo mật (SIEM) để tự động hóa việc phát hiện các mẫu bất thường, lỗi liên quan đến deserialization, hoặc các hoạt động hệ thống không mong muốn sau khi có cảnh báo CVE này.
- Hạn chế Quyền truy cập và Áp dụng Nguyên tắc Đặc quyền Tối thiểu: Đảm bảo rằng quyền truy cập vào các điểm cuối quản trị, các thư mục nhạy cảm và các tài nguyên hệ thống được giới hạn nghiêm ngặt. Chỉ cấp các quyền cần thiết cho người dùng và ứng dụng để thực hiện công việc của họ.
- Kiểm tra và Đánh giá Thường xuyên các Tiện ích Mở rộng của Bên thứ Ba: Quản trị viên Magento nên thiết lập quy trình thường xuyên xem xét và đánh giá bảo mật các tiện ích mở rộng của bên thứ ba. Điều này giúp đảm bảo rằng chúng tuân thủ các tiêu chuẩn mã hóa an toàn và không vô tình đưa thêm các vector tấn công ẩn vào hệ thống đã được bảo vệ.
- Phân đoạn mạng: Triển khai phân đoạn mạng để cô lập máy chủ Magento khỏi các hệ thống nội bộ khác. Điều này giúp hạn chế sự lây lan của cuộc tấn công nếu một hệ thống bị xâm nhập.
Sự cố này một lần nữa nhấn mạnh rủi ro liên tục mà các lỗ hổng khử tuần tự hóa không an toàn gây ra trong các ứng dụng web hiện đại. Khi các tác nhân đe dọa ngày càng tự động hóa việc khai thác các lỗ hổng mới được tiết lộ, việc vá lỗi kịp thời và giám sát chủ động vẫn là yếu tố then chốt để bảo vệ môi trường sản xuất và đảm bảo an toàn thông tin.
Việc áp dụng mọi bản vá bảo mật ngay sau khi chúng có sẵn là bước cơ bản và cần thiết nhất. Kèm theo đó là việc liên tục theo dõi và phản ứng nhanh chóng với các cảnh báo CVE, điều này giúp giảm thiểu đáng kể nguy cơ bị tấn công và đảm bảo an toàn thông tin cho toàn bộ nền tảng thương mại điện tử.
Để tìm hiểu thêm về các lỗ hổng đã bị khai thác và cập nhật thông tin mới nhất, bạn có thể tham khảo danh mục KEV của CISA: https://www.cisa.gov/known-exploited-vulnerabilities-catalog
