Tin tức bảo mật mới từ Ivanti cho thấy bản vá tháng 5/2026 đã xử lý nhiều lỗ hổng CVE trên bốn sản phẩm, đồng thời ghi nhận việc công cụ AI đang hỗ trợ kỹ sư phát hiện các lỗi mà SAST/DAST và các bộ quét truyền thống có thể bỏ sót. Ivanti cũng cho biết các phát hiện này chưa bị khai thác ngoài thực tế.
Ivanti công bố bản vá và phạm vi ảnh hưởng
Ngày 13/05/2026, Ivanti phát hành các bản cập nhật bảo mật cho Ivanti Secure Access Client, Ivanti Xtraction, Ivanti Virtual Traffic Manager và Ivanti Endpoint Manager. Theo thông báo, các lỗ hổng CVE này không ảnh hưởng đến những giải pháp Ivanti khác.
Ivanti xác nhận chưa ghi nhận khai thác trong thực tế. Tuy vậy, một số lỗi có thể dẫn tới remote code execution, leo thang đặc quyền hoặc rò rỉ thông tin nhạy cảm nếu hệ thống chưa được cập nhật bản vá.
Chi tiết các lỗ hổng CVE trong đợt vá
Ivanti Secure Access Client trước 22.8R6
Hai lỗ hổng CVE ảnh hưởng đến Ivanti Secure Access Client trước phiên bản 22.8R6:
- CWE-732: Gán quyền không đúng trên một vùng shared memory. Kẻ tấn công cục bộ đã xác thực có thể đọc hoặc sửa dữ liệu log nhạy cảm.
- CWE-362: Race condition cho phép kẻ tấn công cục bộ đã xác thực giành được timing window để leo thang đặc quyền lên SYSTEM.
Đây là nhóm rủi ro bảo mật thiên về local attack, không yêu cầu tương tác người dùng, nhưng vẫn đáng chú ý trong môi trường đa người dùng hoặc thiết bị đầu cuối dùng chung.
Ivanti Xtraction trước 2026.2
Ivanti Xtraction trước phiên bản 2026.2 chứa các lỗi CWE-22 (Path Traversal) và CWE-73 (External Control of File Name). Kẻ tấn công đã xác thực từ xa có thể đọc tệp phía server, đồng thời ghi HTML tùy ý vào web directory.
Hệ quả thực tế gồm stored cross-site scripting hoặc chuẩn bị cho giai đoạn web shell staging. Với các hệ thống chứa dữ liệu nhạy cảm, đây là một cảnh báo CVE cần được ưu tiên xử lý.
Ivanti Virtual Traffic Manager trước 22.9r4
Trên Ivanti Virtual Traffic Manager trước 22.9r4, giao diện quản trị tồn tại lỗi CWE-78 (OS Command Injection). Kẻ tấn công từ xa có tài khoản quản trị có thể chèn lệnh hệ điều hành để đạt remote code execution trên appliance.
Dù yêu cầu quyền quản trị, đây vẫn là lỗ hổng CVE có tác động lớn vì thiết bị nằm ở điểm điều phối lưu lượng và kiểm tra traffic. Việc bị chiếm quyền ở lớp này có thể làm gián đoạn định tuyến hoặc giám sát mạng.
Ivanti Endpoint Manager Core Server trước 2024 SU6
Trên Endpoint Manager Core Server trước 2024 SU6, một phương thức nguy hiểm bị lộ theo CWE-749 cho phép kẻ tấn công đã xác thực từ xa trích xuất thông tin xác thực từ máy chủ.
Đây là một vector thu thập credential với tác động chính lên confidentiality. Nếu thông tin này bị lộ, kẻ tấn công có thể di chuyển ngang hoặc nâng quyền trong các hệ thống đầu cuối được quản lý.
Ivanti EPM agent trước 2024 SU6
Ivanti EPM agent trước 2024 SU6 bị ảnh hưởng bởi lỗi CWE-732, cho phép kẻ tấn công cục bộ đã xác thực leo thang đặc quyền trên endpoint.
Kiểu lỗi này có thể xuất hiện trên diện rộng nếu agent được triển khai hàng loạt. Trong bối cảnh doanh nghiệp, một lỗ hổng CVE dạng này thường làm tăng nguy cơ xâm nhập dây chuyền trên nhiều máy trạm.
Ivanti EPM web console trước 2024 SU6
Ivanti EPM web console trước 2024 SU6 tồn tại lỗi CWE-89 (SQL Injection) cho phép bất kỳ kẻ tấn công đã xác thực từ xa nào cũng có thể đạt remote code execution, không cần quyền admin.
Đây là lỗi nguy hiểm nhất trong nhóm do nằm ở bề mặt mạng và có thể bị vũ khí hóa nhanh. Các chuỗi SQL injection-to-RCE trong web console thường bị nhắm tới trong các cuộc tấn công mạng có mục tiêu cao.
Ảnh hưởng hệ thống và ưu tiên xử lý
Các lỗ hổng CVE này bao phủ cả local privilege escalation, credential exposure và remote code execution. Mức độ tác động trải từ đọc/sửa dữ liệu log, rò rỉ thông tin xác thực, cho đến chiếm quyền hệ thống trên appliance và máy chủ quản trị.
Trong môi trường doanh nghiệp, đặc biệt với các sản phẩm quản trị đầu cuối và thiết bị ở vị trí trung tâm, việc chậm cập nhật bản vá có thể mở rộng nguy cơ bảo mật từ một máy chủ đơn lẻ sang nhiều endpoint được quản lý.
AI hỗ trợ phát hiện lỗ hổng CVE
Ivanti cho biết đội ngũ Engineering và Product Security Red Team đã tích hợp nhiều mô hình ngôn ngữ lớn (LLM) vào quy trình làm việc. Theo công ty, các công cụ AI này hỗ trợ phát hiện một số lớp lỗ hổng CVE mà các công cụ phân tích tĩnh và động truyền thống thường bỏ sót.
Một số lỗi trong đợt công bố lần này được phát hiện trực tiếp nhờ AI-assisted review, thay vì chỉ dựa vào tooling thông thường. Ivanti cũng nêu rằng AI đang rút ngắn thời gian từ khi công bố đến khi bị khai thác.
Tham khảo thông tin chuẩn hóa về cảnh báo CVE tại NVD.
Khuyến nghị vá lỗi và kiểm tra hệ thống
Đối với các tổ chức đang vận hành một trong bốn sản phẩm bị ảnh hưởng, việc ưu tiên là triển khai update vá lỗi ngay cả khi chưa quan sát thấy dấu hiệu khai thác. Bối cảnh của các lỗ hổng CVE này cho thấy bề mặt tấn công tập trung vào hệ thống quản trị, thiết bị trung gian và endpoint agent.
Các đội an toàn thông tin nên rà soát phiên bản hiện tại, xác định tài sản đang chạy bản trước mốc khắc phục và kiểm tra nhật ký truy cập, thay đổi cấu hình hoặc hành vi bất thường liên quan tới privilege escalation, credential exposure và web content bất thường.
Trong trường hợp sử dụng Ivanti Virtual Traffic Manager hoặc các thành phần quản trị có quyền cao, cần ưu tiên kiểm tra phân tách truy cập, giới hạn tài khoản quản trị và theo dõi các dấu hiệu của remote code execution hoặc thao tác bất thường trên giao diện admin.
