Các nhà nghiên cứu bảo mật đã phát hiện hơn 4 triệu máy chủ Internet dễ bị tấn công, có khả năng bị vũ khí hóa để thực hiện các cuộc tấn công từ chối dịch vụ (DoS) mới với mức độ tàn phá cao. Đây được đánh giá là một trong những lỗ hổng hạ tầng lớn nhất được khám phá trong những năm gần đây.
Nghiên cứu đột phá này do Angelos Beitis và Mathy Vanhoef từ DistriNet thuộc KU Leuven thực hiện, cho thấy hàng triệu thiết bị trên toàn cầu chấp nhận lưu lượng tunneling không xác thực từ bất kỳ nguồn nào, tạo ra một bề mặt tấn công khổng lồ cho tội phạm mạng.
Hoạt động quét trên toàn Internet của họ đã xác định được 3.527.565 máy chủ IPv4 và 735.628 máy chủ IPv6 dễ bị tấn công trên 218 quốc gia và vùng lãnh thổ.
Kỹ Thuật Tấn Công Khai Thác Lỗ Hổng
Các nhà nghiên cứu đã công bố hai kỹ thuật tấn công đặc biệt nguy hiểm khai thác các máy chủ tunneling dễ bị tổn thương này. Các phương pháp này tận dụng cơ chế phản hồi của các máy chủ trung gian để khuếch đại lưu lượng độc hại, gây quá tải cho mục tiêu.
Tấn Công Tunneled-Temporal Lensing (TuTL)
Kỹ thuật Tunneled-Temporal Lensing (TuTL) tập trung lưu lượng tấn công theo thời gian để áp đảo mục tiêu với hệ số khuếch đại tối thiểu là 16. Cơ chế hoạt động của TuTL dựa trên việc đồng bộ hóa thời điểm đến của các gói tin độc hại được gửi qua nhiều chuỗi máy chủ dễ bị tấn công.
Trong một cuộc tấn công TuTL, kẻ tấn công gửi một loạt các gói tin được đóng gói qua nhiều đường hầm khác nhau, mỗi đường hầm đi qua một hoặc nhiều máy chủ trung gian dễ bị tổn thương. Các gói tin này được thiết kế để đến đích gần như cùng một lúc, ngay cả khi chúng được gửi từ các điểm khác nhau và đi qua các tuyến đường khác nhau.
Cụ thể, kẻ tấn công sẽ tính toán và điều chỉnh thời gian gửi từng gói tin sao cho khi chúng được giải nén và chuyển tiếp bởi các máy chủ tunneling, tất cả sẽ đồng thời đổ về mục tiêu trong một khoảng thời gian cực ngắn. Sự tập trung đột ngột của lưu lượng này tạo ra một “đỉnh” tấn công khổng lồ, vượt quá khả năng xử lý của mục tiêu, dẫn đến tình trạng từ chối dịch vụ.
Kỹ thuật này cho phép kẻ tấn công gửi gói tin qua nhiều chuỗi máy chủ dễ bị tấn công, định thời gian đến của chúng để tạo ra các đỉnh lưu lượng tàn phá. Điều này đặc biệt hiệu quả trong việc gây ngập lụt tài nguyên mạng của nạn nhân trong một khoảng thời gian rất ngắn.
Tấn Công Khuếch Đại Ping-Pong
Thậm chí đáng lo ngại hơn là tấn công khuếch đại Ping-Pong, đạt được hệ số khuếch đại tối thiểu là 75. Kỹ thuật này tạo ra một vòng lặp gói tin giữa các máy chủ dễ bị tấn công. Kẻ tấn công xây dựng các gói tin tunneling được chế tạo đặc biệt, bật qua lại giữa các hệ thống bị xâm phạm, làm tăng theo cấp số nhân khối lượng lưu lượng hướng đến nạn nhân.
Trong tấn công Ping-Pong, kẻ tấn công khai thác hai hoặc nhiều máy chủ tunneling dễ bị tấn công để chúng liên tục gửi gói tin qua lại cho nhau. Gói tin ban đầu được gửi đến máy chủ A, máy chủ A sẽ đóng gói nó và chuyển tiếp đến máy chủ B. Máy chủ B lại giải nén, sau đó đóng gói lại và gửi trả lại máy chủ A (hoặc một máy chủ khác trong chuỗi), tạo thành một vòng lặp không ngừng nghỉ.
Mỗi lần gói tin đi qua một máy chủ tunneling, nó có thể được khuếch đại hoặc sao chép, hoặc đơn giản là duy trì trong vòng lặp, liên tục tiêu tốn tài nguyên của các máy chủ trung gian và tạo ra một luồng lưu lượng liên tục. Khi vòng lặp này được duy trì, một phần lưu lượng được tạo ra có thể được chuyển hướng hoặc “rò rỉ” ra ngoài đến máy chủ mục tiêu. Do vòng lặp liên tục tạo ra các gói tin mới hoặc duy trì luồng gói tin đã có, lưu lượng hướng đến mục tiêu sẽ tăng lên đáng kể, gây ra tấn công DoS hiệu quả cao với chi phí tài nguyên thấp cho kẻ tấn công.
Tấn Công Từ Chối Dịch Vụ Kinh Tế (EDoS)
Ngoài các cuộc tấn công DoS truyền thống, các nhà nghiên cứu đã phát hiện một cuộc tấn công Từ Chối Dịch Vụ Kinh Tế (EDoS), đặc biệt nhắm vào các dịch vụ được lưu trữ trên đám mây. Thay vì chỉ làm gián đoạn dịch vụ, tấn công EDoS tìm cách gây thiệt hại tài chính cho nạn nhân bằng cách lạm dụng mô hình thanh toán dựa trên mức sử dụng của các dịch vụ đám mây.
Bằng cách buộc các máy chủ dễ bị tấn công tạo ra một lượng lớn lưu lượng outbound, kẻ tấn công có thể tăng đáng kể chi phí điện toán đám mây của nạn nhân. Trong môi trường đám mây, các nhà cung cấp thường tính phí dựa trên lưu lượng dữ liệu ra (egress traffic), CPU sử dụng, hoặc các tài nguyên khác. Nếu kẻ tấn công có thể khiến các máy chủ trung gian tạo ra một lượng lớn dữ liệu được gửi ra ngoài, các dịch vụ đám mây của nạn nhân sẽ phải chịu chi phí phát sinh khổng lồ, có khả năng dẫn đến gián đoạn dịch vụ do hết ngân sách hoặc thiệt hại tài chính nghiêm trọng.
Loại tấn công này không chỉ gây ngừng trệ hoạt động mà còn tạo áp lực tài chính, buộc các tổ chức phải chi trả những khoản tiền không lường trước được, thậm chí có thể khiến họ ngừng hoạt động hoặc phải tái cấu trúc dịch vụ để tránh tổn thất lớn hơn.
Phạm Vi Ảnh Hưởng Toàn Cầu
Lỗ hổng này ảnh hưởng đến các giao thức tunneling quan trọng bao gồm IP-in-IP (IPIP), Generic Routing Encapsulation (GRE), IPv4-in-IPv6 (4in6) và IPv6-in-IPv4 (6in4). Sự phổ biến của các giao thức này trong hạ tầng mạng hiện đại làm cho phạm vi ảnh hưởng trở nên rộng lớn.
Đáng báo động nhất, gần 1,86 triệu trong số các máy chủ này có thể bị lạm dụng để giả mạo hoàn toàn địa chỉ IP nguồn. Khả năng giả mạo địa chỉ IP nguồn phá hoại các giả định bảo mật Internet cơ bản, làm cho việc truy vết kẻ tấn công trở nên cực kỳ khó khăn và cho phép các cuộc tấn công trở nên khó phòng thủ hơn.
Nghiên cứu đã xác định các hệ thống dễ bị tấn công trên 11.027 Hệ Thống Tự Trị (Autonomous Systems) khác nhau. Trong đó, Trung Quốc chiếm khoảng 59% tổng số máy chủ có khả năng giả mạo IP nguồn. Nhiều mạng lưới phân phối nội dung (CDN) và nhà cung cấp dịch vụ lưu trữ lớn cũng được phát hiện có số lượng đáng kể các hệ thống dễ bị tấn công, làm tăng nguy cơ về các cuộc tấn công DoS quy mô lớn và gây ảnh hưởng rộng.
Định Danh Lỗ Hổng và Phối Hợp Ứng Phó
Các nhà nghiên cứu đã gán bốn định danh CVE để theo dõi các lỗ hổng giao thức khác nhau:
- CVE-2024-7595
- CVE-2024-7596
- CVE-2025-23018
- CVE-2025-23019
Việc gán định danh CVE giúp chuẩn hóa việc theo dõi và quản lý các lỗ hổng này trong cộng đồng bảo mật. Điều này cũng tạo điều kiện thuận lợi cho việc chia sẻ thông tin và phối hợp các nỗ lực khắc phục.
Họ đã hợp tác với CERT/CC, Shadowserver Foundation và các tổ chức bị ảnh hưởng để phối hợp công bố và các nỗ lực khắc phục. Sự phối hợp đa phương này là rất quan trọng để đảm bảo thông tin về lỗ hổng được truyền tải rộng rãi và các biện pháp giảm thiểu được triển khai hiệu quả trên phạm vi toàn cầu.
Biện Pháp Giảm Thiểu và Phòng Ngừa
Để bảo vệ hệ thống trước các cuộc tấn công khai thác lỗ hổng tunneling không xác thực, các nhà quản trị mạng được khuyến nghị thực hiện các biện pháp sau:
- Triển khai lọc địa chỉ nguồn thích hợp: Lọc địa chỉ nguồn (Source Address Filtering) là một biện pháp cơ bản nhưng hiệu quả để ngăn chặn các gói tin có địa chỉ IP nguồn giả mạo đi vào hoặc ra khỏi mạng. Điều này giúp giảm thiểu khả năng kẻ tấn công sử dụng IP spoofing để che giấu danh tính hoặc thực hiện các cuộc tấn công khuếch đại.
- Cân nhắc sử dụng IPsec để xác thực lưu lượng tunneling: IPsec (Internet Protocol Security) cung cấp các dịch vụ bảo mật mạnh mẽ như xác thực, toàn vẹn dữ liệu và mã hóa cho lưu lượng IP. Bằng cách sử dụng IPsec để xác thực lưu lượng tunneling, các quản trị viên có thể đảm bảo rằng chỉ các kết nối tunneling được ủy quyền mới được thiết lập và duy trì, ngăn chặn việc lạm dụng các đường hầm không xác thực.
- Kiểm tra gói tin sâu (Deep Packet Inspection – DPI) để phát hiện gói tin tunneling lồng ghép độc hại: DPI cho phép các thiết bị mạng kiểm tra nội dung của các gói tin vượt ra ngoài thông tin tiêu đề tiêu chuẩn. Bằng cách sử dụng DPI, các tổ chức có thể phát hiện các cấu trúc gói tin bất thường hoặc các gói tin tunneling lồng ghép (nested tunneling packets) có thể là dấu hiệu của một cuộc tấn công đang diễn ra, cho phép phản ứng kịp thời.
- Chặn các giao thức tunneling không mã hóa nếu có thể: Các giao thức tunneling không mã hóa mặc định thiếu các cơ chế bảo mật cần thiết, làm cho chúng dễ bị lạm dụng. Nếu môi trường hoạt động cho phép, việc chặn hoặc hạn chế sử dụng các giao thức này và ưu tiên các giải pháp tunneling bảo mật hơn (ví dụ: VPNs dựa trên IPsec) sẽ giảm đáng kể bề mặt tấn công.
Tầm Quan Trọng và Bài Học
Khám phá này đại diện cho một hồi chuông cảnh tỉnh quan trọng đối với an ninh hạ tầng Internet. Nó làm nổi bật cách các giao thức cũ không có xác thực thích hợp có thể tạo ra các bề mặt tấn công khổng lồ trong thế giới kết nối hiện nay. Trong khi các tổ chức thường tập trung vào bảo vệ các ứng dụng và dịch vụ hiện đại, các lỗ hổng trong các giao thức nền tảng, ít được chú ý hơn, có thể tiềm ẩn những rủi ro nghiêm trọng và khó bị phát hiện.
Bài học rút ra từ nghiên cứu này là sự cần thiết phải đánh giá lại và củng cố các lớp cơ bản của hạ tầng mạng, đặc biệt là những giao thức được thiết kế trước khi các mối đe dọa hiện tại được hình dung đầy đủ. Việc ưu tiên xác thực mạnh mẽ và kiểm soát chặt chẽ đối với tất cả các dạng lưu lượng mạng, bao gồm cả lưu lượng tunneling, là điều tối quan trọng để xây dựng một môi trường Internet an toàn và kiên cường hơn.
