Trong một diễn biến tin tức bảo mật mới nhất đáng chú ý, Trung tâm An ninh Mạng Quốc gia (NCSC) của Hà Lan đã phát đi cảnh báo khẩn cấp về một loạt các cuộc tấn công mạng tinh vi. Các cuộc tấn công này đã khai thác một lỗ hổng zero-day trong hệ thống Citrix NetScaler, được định danh là CVE-2025-6543. Lỗ hổng này ảnh hưởng đến các sản phẩm Citrix NetScaler Application Delivery Controller (ADC) và Gateway, cho phép các tác nhân đe dọa xâm nhập vào nhiều tổ chức quan trọng từ ít nhất đầu tháng 5 năm 2025.
CVE-2025-6543: Cảnh báo CVE Nghiêm Trọng trong Citrix NetScaler
Theo điều tra của NCSC, những kẻ tấn công đã sử dụng các kỹ thuật tiên tiến, bao gồm việc xóa dấu vết hoạt động một cách chủ động để che giấu hành vi của chúng, khiến việc phân tích pháp y trở nên đặc biệt khó khăn. Lỗ hổng zero-day này đã được Citrix công khai và vá lỗi vào ngày 25 tháng 6 năm 2025. Tuy nhiên, việc khai thác đã diễn ra trước thời điểm này, khẳng định tính chất zero-day vulnerability của nó.
NCSC nhấn mạnh rằng việc cập nhật bản vá hệ thống đơn thuần không đủ để giảm thiểu rủi ro. Lý do là những kẻ tấn công có thể đã duy trì quyền truy cập bền vững thông qua các cơ chế như web shell độc hại, cung cấp khả năng chiếm quyền điều khiển từ xa trên các thiết bị đã bị xâm nhập.
Mô tả Lỗ hổng và Tác động Kỹ thuật
Citrix NetScaler đóng vai trò là một thiết bị mạng quan trọng cho cân bằng tải, truy cập từ xa an toàn và phân phối ứng dụng. Thiết bị này thường tạo điều kiện cho làm việc từ xa bằng cách cho phép nhân viên kết nối an toàn với mạng nội bộ công ty và môi trường đám mây.
Lỗ hổng zero-day CVE-2025-6543 đặc biệt nguy hiểm vì nó cho phép thực thi mã từ xa trái phép (remote code execution). Khả năng này tiềm ẩn nguy cơ triển khai các web shell, từ đó cấp cho kẻ tấn công quyền truy cập backdoor dai dẳng vào hệ thống mục tiêu. Nghiên cứu sâu rộng của NCSC đã phát hiện bằng chứng về sự hiện diện của các web shell này trên nhiều hệ thống bị ảnh hưởng.
Chiến thuật Tấn công và Thách thức Pháp y
Kẻ tấn công đã áp dụng chiến thuật xóa nhật ký (logs) và các chỉ số thỏa hiệp (IOCs) khác một cách có chủ đích nhằm che giấu dấu vết và tránh bị phát hiện. Điều này đã dẫn đến sự không chắc chắn đáng kể về phạm vi đầy đủ của các vụ xâm nhập mạng, bao gồm việc những tổ chức nào vẫn còn bị xâm nhập và mức độ rò rỉ dữ liệu hoặc di chuyển ngang (lateral movement) trong mạng.
Sự không chắc chắn này cũng làm nổi bật những thách thức trong việc quy kết các cuộc tấn công. Mặc dù các phương pháp được sử dụng gợi ý sự tham gia của một hoặc nhiều tác nhân đe dọa có năng lực cao, có thể là các nhóm được nhà nước bảo trợ hoặc các mối đe dọa dai dẳng nâng cao (APT) tập trung vào hoạt động gián điệp hoặc phá hoại.
Các CVE Liên quan và Phạm vi Ảnh hưởng
Ngoài CVE-2025-6543, NCSC cũng đã xác định các lỗ hổng liên quan khác trong các triển khai Citrix dễ bị tổn thương trên khắp Hà Lan và quốc tế. Các lỗ hổng này bao gồm CVE-2025-5349 và CVE-2025-5777. Tuy nhiên, NCSC cũng lưu ý rằng không phải tất cả các hệ thống bị phơi nhiễm đều đã được xác nhận là bị khai thác.
Lịch sử Khai thác và Phát hiện
Dòng thời gian của sự cố này nhấn mạnh tính chất kéo dài của chiến dịch khai thác zero-day. Các vụ khai thác ban đầu được truy vết từ tháng 5 năm 2025. Việc phát hiện các hoạt động bất thường và xâm nhập đã leo thang mạnh mẽ qua tháng 6 và tháng 7, và các hoạt động giám sát vẫn đang tiếp tục vào tháng 8.
NCSC đã chủ động liên hệ với các bên có khả năng bị ảnh hưởng và kêu gọi tất cả các tổ chức sử dụng sản phẩm Citrix tiến hành điều tra nội bộ kỹ lưỡng, ngay cả khi các bản vá bảo mật đã được áp dụng. Điều này là tối quan trọng để đảm bảo không còn tồn tại các backdoor hoặc persistence mechanisms.
Chỉ số Thỏa hiệp (IOCs) và Thách thức Phát hiện
Các nỗ lực hợp tác của NCSC với các đội ứng phó sự cố, các tổ chức bị ảnh hưởng và các đối tác bảo mật đã tạo ra các chỉ số thỏa hiệp (IOCs) mới. Các IOC này đang được chia sẻ rộng rãi để hỗ trợ việc xác định các hệ thống bị nhiễm. Tuy nhiên, cơ quan này cảnh báo rằng chiến thuật xóa dấu vết của kẻ tấn công đồng nghĩa với việc một số khía cạnh của sự cố, như danh sách đầy đủ các nạn nhân, hoạt động đang diễn ra của tác nhân và tổng tác động, có thể không bao giờ được giải quyết hoàn toàn.
Khuyến nghị Phòng thủ và Giảm thiểu Rủi ro
Để tăng cường khả năng phòng thủ và nâng cao an ninh mạng tổng thể, NCSC khuyến nghị mạnh mẽ áp dụng chiến lược phòng thủ theo chiều sâu (defense-in-depth). Phương pháp này tập trung vào việc kết hợp các kiểm soát bảo mật theo lớp, nhằm tạo ra nhiều rào cản ngăn chặn kẻ tấn công tiến sâu vào hệ thống. Các biện pháp cụ thể bao gồm:
- Phân đoạn mạng (network segmentation): Cô lập các phân vùng mạng khác nhau để hạn chế khả năng di chuyển ngang (lateral movement) của kẻ tấn công, ngay cả khi một phần mạng đã bị xâm nhập.
- Xác thực đa yếu tố (multi-factor authentication – MFA): Triển khai MFA cho tất cả các tài khoản truy cập, đặc biệt là tài khoản quản trị và truy cập từ xa, nhằm giảm thiểu rủi ro bảo mật do thông tin đăng nhập bị đánh cắp.
- Giám sát liên tục các hành vi bất thường: Sử dụng các hệ thống giám sát và phát hiện xâm nhập (IDS/IPS) để nhận diện các hoạt động đáng ngờ, các dấu hiệu của web shell hoặc các kỹ thuật xóa dấu vết.
- Kiểm toán pháp y định kỳ: Thực hiện các cuộc kiểm tra và phân tích pháp y hệ thống một cách thường xuyên để chủ động tìm kiếm các dấu hiệu thỏa hiệp tiềm ẩn, đặc biệt là trên các hệ thống quan trọng như Citrix NetScaler.
Các tổ chức phát hiện các Chỉ số Thỏa hiệp (IOCs) liên quan đến chiến dịch này cần khẩn trương thực hiện đánh giá thỏa hiệp chi tiết. Điều này bao gồm việc quét hệ thống, phân tích nhật ký và kiểm tra sự tồn tại của các backdoor hoặc web shell. Đồng thời, nên liên hệ ngay lập tức với nhóm CERT của NCSC để được hỗ trợ chuyên sâu và chia sẻ thông tin. Sự cố này là một lời nhắc nhở rõ ràng về bối cảnh mối đe dọa mạng đang phát triển không ngừng, nơi các khai thác lỗ hổng zero-day trong cơ sở hạ tầng được sử dụng rộng rãi như Citrix NetScaler có thể dẫn đến các vi phạm dữ liệu và tấn công mạng diện rộng. Bằng cách ưu tiên các biện pháp phục hồi và tăng cường bảo mật mạng, các tổ chức có thể xây dựng khả năng chống chịu tốt hơn không chỉ đối với mối đe dọa cụ thể này mà còn cả các lỗ hổng trong tương lai trong các hệ thống truy cập từ xa và phân phối ứng dụng tương tự. NCSC tiếp tục các cuộc điều tra của mình, nhấn mạnh tầm quan trọng của việc chia sẻ thông tin để nâng cao tư thế an ninh mạng tập thể trước những rủi ro an toàn thông tin dai dẳng.
Để biết thêm chi tiết kỹ thuật về các phương pháp remote code execution, bạn có thể tham khảo các phân tích chuyên sâu tại GBHackers on Security.
Báo cáo gốc của NCSC Hà Lan về sự cố Citrix NetScaler có thể được tìm thấy tại NCSC.nl.
