Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã bổ sung một lỗ hổng SolarWinds Serv-U nghiêm trọng vào danh mục Các Lỗ hổng Đã Bị Khai Thác (KEV) của mình. CISA cảnh báo rằng các tác nhân đe dọa đang tích cực khai thác lỗ hổng này trong thực tế.
Đây là một nguy cơ bảo mật cấp bách đòi hỏi các tổ chức phải hành động khẩn cấp để bảo vệ hệ thống của mình.
Tổng Quan về Lỗ Hổng CVE-2026-28318
Lỗ hổng này được theo dõi dưới mã định danh CVE-2026-28318, ảnh hưởng đến phần mềm truyền tệp SolarWinds Serv-U. Nó cho phép những kẻ tấn công chưa xác thực (unauthenticated attackers) gây ra lỗi ngừng hoạt động dịch vụ thông qua các yêu cầu HTTP được chế tạo đặc biệt.
Mức độ nghiêm trọng của lỗ hổng này được đánh giá cao, đặc biệt khi xem xét khả năng bị khai thác từ xa mà không cần bất kỳ thông tin xác thực nào.
Phân Loại và Cơ Chế Khai Thác
CVE-2026-28318 được phân loại là một lỗ hổng tiêu thụ tài nguyên không kiểm soát (Uncontrolled Resource Consumption), thuộc mã CWE-400. Lớp lỗ hổng này xảy ra khi một ứng dụng không giới hạn đúng cách các tài nguyên mà nó cấp phát để phản hồi các đầu vào đến.
Trong trường hợp cụ thể này, kẻ tấn công có thể gửi một yêu cầu POST độc hại sử dụng tiêu đề HTTP Content-Encoding: deflate. Hành động này buộc dịch vụ Serv-U phải tiêu thụ tài nguyên quá mức, dẫn đến lỗi và ngừng hoạt động.
Quá trình này không yêu cầu bất kỳ thông tin xác thực nào từ phía kẻ tấn công, làm tăng đáng kể nguy cơ và khả năng bị khai thác.
Ví dụ về yêu cầu HTTP độc hại có thể trông như sau:
POST / HTTP/1.1
Host: target.example.com
Content-Encoding: deflate
Content-Length: [large_size_or_malformed_data]
[maliciously crafted deflate data]Khi dịch vụ Serv-U cố gắng giải nén (deflate) dữ liệu được chế tạo đặc biệt với tiêu đề này, nó sẽ bị tiêu tốn quá nhiều tài nguyên xử lý hoặc bộ nhớ, cuối cùng dẫn đến tình trạng từ chối dịch vụ (DoS).
Tầm Quan Trọng của Khai Thác Lỗ Hổng
Vector tấn công này đặc biệt đáng báo động vì nó không yêu cầu đặc quyền và có thể được kích hoạt từ xa qua mạng. Điều này biến nó thành một vector truy cập ban đầu hấp dẫn đối với các tác nhân đe dọa nhắm mục tiêu vào các tổ chức có dịch vụ Serv-U được phơi bày ra internet.
Khả năng gây ra ngừng hoạt động dịch vụ mà không cần xác thực cho phép kẻ tấn công gián đoạn hoạt động kinh doanh quan trọng hoặc sử dụng nó như một bước đệm cho các cuộc tấn công phức tạp hơn.
Các cuộc tấn công này có thể là một phần của chiến lược phức tạp hơn để gây nhiễu loạn hoặc che giấu các hoạt động xâm nhập khác trên mạng mục tiêu.
Cảnh Báo từ CISA và Hạn Chót Khắc Phục
CISA đã thêm CVE-2026-28318 vào danh mục KEV của mình vào ngày 5 tháng 6 năm 2026, đặt ra hạn chót khắc phục là ngày 19 tháng 6 năm 2026 cho tất cả các cơ quan Điều hành Chi nhánh Dân sự Liên bang (FCEB).
Theo Chỉ thị Vận hành Ràng buộc (BOD) 22-01, các cơ quan liên bang được yêu cầu khắc phục các lỗ hổng được liệt kê trong KEV trong khung thời gian đã chỉ định. Bạn có thể tham khảo danh mục KEV tại CISA Known Exploited Vulnerabilities Catalog.
Mặc dù vẫn chưa rõ liệu lỗ hổng này có được tận dụng cụ thể trong các chiến dịch mã độc tống tiền hay không, CISA thúc giục tất cả các tổ chức, không chỉ các thực thể liên bang, coi trọng vấn đề này với mức độ khẩn cấp cao do hoạt động khai thác tích cực trong thực tế.
Giải Pháp và Bản Vá Bảo Mật
SolarWinds đã phát hành một bản vá nóng (hotfix) để khắc phục lỗ hổng SolarWinds Serv-U này trong phiên bản Serv-U 15.5.4 Hotfix 1. Các tổ chức đang chạy bất kỳ phiên bản Serv-U nào trước đó đều được coi là dễ bị tổn thương và nên áp dụng bản vá ngay lập tức.
Việc cập nhật bản vá là bước phòng ngừa quan trọng nhất để ngăn chặn các cuộc tấn công tiềm ẩn và bảo vệ hệ thống khỏi nguy cơ bị chiếm quyền điều khiển hoặc từ chối dịch vụ.
Hướng Dẫn Khắc Phục và Thông Tin Tham Khảo
Các nhóm bảo mật nên tham khảo thông báo chính thức từ SolarWinds và mục NVD của NIST để biết thông tin chi tiết kỹ thuật mới nhất và hướng dẫn vá lỗi.
- Thông báo bảo mật của SolarWinds: SolarWinds Security Advisory – CVE-2026-28318
- Thông tin NVD về CVE-2026-28318: NIST NVD – CVE-2026-28318
Việc không áp dụng bản vá bảo mật này có thể khiến hệ thống của bạn gặp rủi ro nghiêm trọng, đặc biệt trong bối cảnh các tác nhân độc hại đang tìm cách khai thác lỗ hổng đã được biết đến.
Kiểm tra thường xuyên các bản cập nhật bảo mật và tuân thủ các khuyến nghị vá lỗi là một phần không thể thiếu của chiến lược an ninh mạng hiệu quả.
Phòng Ngừa và An Ninh Mạng
Để giảm thiểu rủi ro từ các lỗ hổng tương tự như lỗ hổng SolarWinds Serv-U, các tổ chức nên thực hiện các biện pháp an ninh mạng toàn diện. Điều này bao gồm việc thường xuyên quét lỗ hổng, kiểm tra cấu hình bảo mật và triển khai các hệ thống phát hiện xâm nhập (IDS) hoặc hệ thống ngăn chặn xâm nhập (IPS).
Hơn nữa, việc giảm thiểu bề mặt tấn công bằng cách không phơi bày các dịch vụ quan trọng ra internet trừ khi thực sự cần thiết, và nếu có, phải đảm bảo chúng được bảo vệ bằng các lớp bảo mật bổ sung như tường lửa ứng dụng web (WAF) và VPN.
Đào tạo nhân viên về nhận thức bảo mật cũng đóng vai trò quan trọng trong việc ngăn chặn các cuộc tấn công lừa đảo hoặc các hình thức kỹ thuật xã hội khác có thể dẫn đến việc khai thác các lỗ hổng.
Trong bối cảnh các mối đe dọa mạng ngày càng tinh vi, việc chủ động trong quản lý lỗ hổng và áp dụng các bản vá bảo mật kịp thời là yếu tố then chốt để duy trì an toàn thông tin cho mọi hệ thống.
