Cảnh báo khẩn cấp: Tấn công mạng Magento quy mô lớn

Một chiến dịch tấn công mạng quy mô lớn đã xâm phạm hơn 7.500 website thương mại điện tử sử dụng nền tảng Magento kể từ cuối tháng 2 năm 2026. Kẻ tấn công đã tải lên các tệp độc hại ẩn vào các thư mục web công khai trên hàng ngàn tên miền bị ảnh hưởng.

Chiến dịch này đã lan rộng tới hơn 15.000 hostname, gây ảnh hưởng đến nhiều thương hiệu thương mại, cơ quan chính phủ, trường đại học và tổ chức phi lợi nhuận trên nhiều quốc gia.

Đây được đánh giá là một trong những chiến dịch tập trung vào Magento có phạm vi rộng nhất trong những năm gần đây.

Phạm Vi và Quy Mô Ảnh Hưởng

Magento là một trong những nền tảng thương mại điện tử được triển khai rộng rãi nhất trên thế giới, phục vụ từ các cửa hàng độc lập nhỏ đến các hệ thống doanh nghiệp lớn.

Việc áp dụng rộng rãi này khiến Magento trở thành mục tiêu hấp dẫn cho những kẻ tấn công muốn thỏa hiệp nhiều website cùng lúc với nỗ lực tối thiểu.

Khi một phương pháp khai thác đáng tin cậy được phát hiện, các tác nhân đe dọa có thể mở rộng quy mô tấn công nhanh chóng. Hàng ngàn tên miền riêng biệt đã trở thành nạn nhân chỉ trong vài tuần sau khi chiến dịch bắt đầu.

Các Tổ Chức và Nền Tảng Bị Ảnh Hưởng

Các nhà nghiên cứu của Netcraft đã xác định hoạt động đầu tiên của chiến dịch vào ngày 27 tháng 2 năm 2026 và tiếp tục theo dõi sự phát triển của nó.

Trong số các nạn nhân đáng chú ý có các tổ chức được công nhận trên toàn cầu như Toyota, Fiat, Citroën, Asus, Diesel, Fila, Bandai, FedEx, BenQ, Yamaha và Lindt.

Mặc dù hầu hết các sự cố liên quan đến các subdomain, môi trường thử nghiệm (staging environments) hoặc các cửa hàng khu vực thay vì các hệ thống sản xuất cốt lõi, một số website khách hàng trực tiếp đã bị ảnh hưởng trong thời gian ngắn trước khi các biện pháp khắc phục được triển khai.

Phạm vi của chiến dịch còn vượt ra ngoài thế giới thương mại. Các nhà nghiên cứu cũng tìm thấy các vụ làm biến dạng trang (defacements) trên các tên miền dịch vụ chính phủ khu vực, các website của trường đại học ở Mỹ Latinh và Qatar, cơ sở hạ tầng phi lợi nhuận quốc tế và một số tên miền liên quan đến tổ chức Trump Organization.

Dù có sự hiện diện của các tên tuổi lớn, bằng chứng cho thấy các trang này không bị chọn lựa có chủ đích. Chúng chỉ đơn giản là bị cuốn vào một đợt quét rộng, không phân biệt, nhắm mục tiêu vào cơ sở hạ tầng Magento dễ bị tổn thương ở bất cứ đâu.

Các nền tảng Magento dễ bị tổn thương bao gồm Magento Open Source, Magento Enterprise, Adobe Commerce và Adobe Commerce với module B2B.

Chi Tiết Kỹ Thuật về Lỗ Hổng Magento

Cuộc tấn công mạng này dường như xoay quanh một lỗ hổng Magento tải lên tệp không xác thực (unauthenticated file upload vulnerability) ảnh hưởng đến một số môi trường Magento.

Đây là một dạng lỗ hổng nguy hiểm vì nó cho phép kẻ tấn công ghi tệp trực tiếp lên máy chủ web mà không cần bất kỳ thông tin đăng nhập hợp lệ nào. Không cần đăng nhập, không cần mật khẩu – chỉ cần một đường dẫn trực tiếp để gửi tệp đến bất cứ nơi nào lỗ hổng cho phép.

Xác Nhận Khả Năng Khai Thác

Các nhà nghiên cứu của Netcraft đã xác nhận hành vi này bằng cách tải thành công một tệp .txt lên một phiên bản Magento thử nghiệm đang chạy Magento Community 2.4.9-beta1, phiên bản mới nhất của nền tảng tại thời điểm công bố.

Phát hiện này cho thấy ngay cả các cài đặt Magento mới được cập nhật vẫn có thể bị phơi nhiễm dưới một số cấu hình máy chủ nhất định.

Mặc dù Adobe đã phát hành một bản tin bảo mật cho nhiều lỗ hổng Adobe Commerce vào khoảng thời gian này, hành vi cụ thể được quan sát trong chiến dịch này dường như không khớp trực tiếp với các bản sửa lỗi đã được công bố.

Các nhà phân tích cũng lưu ý rằng chiến dịch này có những điểm tương đồng với lỗ hổng Magento SessionReaper từ tháng 10 năm 2025, vốn cũng liên quan đến việc truy cập tệp trái phép.

Để biết thêm chi tiết về chiến dịch, bạn có thể tham khảo bài viết gốc từ Netcraft: Large-Scale Magento Defacement Campaign.

Dấu Hiệu Nhận Diện và Chiến Thuật Kẻ Tấn Công

Hầu hết các trang bị làm biến dạng chứa các tệp văn bản đơn giản hiển thị các alias của kẻ tấn công cùng với thông điệp “greetz”, một thực hành phổ biến trong cộng đồng làm biến dạng trang.

Các Alias (Attacker Handles) Được Sử Dụng

• L4663R666H05T
• Simsimi
• Brokenpipe
• Typical Idiot Security

Mục Đích Chính của Kẻ Tấn Công

Một số nhỏ các vụ làm biến dạng trang, xuất hiện chỉ vào ngày 7 tháng 3 năm 2026, bao gồm thông điệp địa chính trị. Các nhà phân tích kết luận rằng sự bùng phát ngắn ngủi của nội dung chính trị này không phải là động cơ cốt lõi của chiến dịch mà là một màn trình diễn biệt lập nằm ngoài mẫu hoạt động bình thường.

Nhiều trang bị xâm phạm đã được tự báo cáo cho Zone-H, một kho lưu trữ làm biến dạng công khai, bởi alias “Typical Idiot Security”. Đây là cùng một alias được tìm thấy trong chính nội dung làm biến dạng, cho thấy một tác nhân cố ý ghi lại hoạt động của mình để tạo dựng vị thế trong cộng đồng.

Biện Pháp Phòng Ngừa và Ứng Phó

Các tổ chức đang vận hành cơ sở hạ tầng dựa trên Magento được khuyến nghị mạnh mẽ cần hành động ngay lập tức để củng cố an ninh mạng của hệ thống.

Khuyến Nghị Bảo Mật Khẩn Cấp

• Kiểm tra ngay lập tức tất cả các điểm cuối tải tệp (file upload endpoints) bị phơi nhiễm.
• Áp dụng các bản cập nhật bảo mật Adobe Commerce có sẵn mà không chậm trễ.
• Theo dõi chủ động các thư mục web để phát hiện các tệp bổ sung trái phép.
• Điều tra kỹ lưỡng bất kỳ tệp đáng ngờ nào được tìm thấy trong các đường dẫn máy chủ có thể truy cập công khai.

Vì các trang web bị xâm phạm mới vẫn đang xuất hiện vào thời điểm viết bài, hành động kịp thời là điều cần thiết để hạn chế rủi ro từ chiến dịch tấn công mạng này.