Cảnh báo: Lỗ hổng CVE nghiêm trọng tấn công Magento, chiếm quyền điều khiển

Một vụ rò rỉ dữ liệu nhạy cảm nghiêm trọng đã ảnh hưởng đến nhiều nền tảng thương mại điện tử Magento trên toàn cầu. Các tác nhân đe dọa đã khai thác thành công một lỗ hổng CVE xác thực nghiêm trọng để đạt được quyền kiểm soát hệ thống hoàn toàn.

Chiến dịch tấn công này, được các nhà nghiên cứu xác định vào tháng 1 năm 2026, đại diện cho một trong những làn sóng xâm nhập máy chủ web phối hợp đáng kể nhất trong những tháng gần đây. Nó đã ảnh hưởng đến hàng trăm cửa hàng trực tuyến thuộc nhiều khu vực địa lý và ngành công nghiệp khác nhau. Sự xuất hiện của lỗ hổng CVE này đã gây ra mối lo ngại lớn trong cộng đồng bảo mật toàn cầu về an ninh của các nền tảng e-commerce.

Chi tiết Lỗ hổng CVE-2025-54236 (SessionReaper)

Lỗ hổng cốt lõi được khai thác trong cuộc tấn công diện rộng này là CVE-2025-54236, còn được biết đến với tên gọi SessionReaper.

Đây là một lỗ hổng CVE nghiêm trọng cho phép truy cập trái phép vào các tài khoản quản trị bằng cách tái sử dụng các mã thông báo phiên (session tokens) không được ứng dụng Magento vô hiệu hóa đúng cách sau khi người dùng đăng xuất.

Các mã thông báo phiên này có chức năng như những khóa kỹ thuật số tạm thời. Chúng được sử dụng để xác minh danh tính và duy trì trạng thái đăng nhập của người dùng trong một phiên làm việc nhất định. Khi ứng dụng Magento không hủy bỏ hoặc làm mất hiệu lực các khóa kỹ thuật số này sau khi người dùng thực hiện hành động đăng xuất, kẻ tấn công có thể chặn và phát lại chúng.

Hành động này cho phép kẻ tấn công giả mạo quyền truy cập với tư cách quản trị viên hợp lệ, từ đó bỏ qua tất cả các biện pháp bảo vệ mật khẩu truyền thống và các cơ chế an ninh khác.

Để hiểu rõ hơn về phân tích kỹ thuật của lỗ hổng CVE này, bạn đọc có thể tham khảo chi tiết tại: Oasis Security Blog. Đây là nguồn thông tin đáng tin cậy cung cấp cái nhìn sâu sắc về cơ chế hoạt động của lỗ hổng.

Phạm vi và Quy mô Tấn công Mạng

Các nhà phân tích bảo mật tại Oasis Security đã tiến hành điều tra và xác định nhiều sự cố xâm nhập độc lập, có mối liên hệ với nhau. Trong các sự cố này, các tác nhân đe dọa khác nhau đã liên tục khai thác lỗ hổng CVE-2025-54236 chống lại các môi trường Magento trên nhiều khu vực địa lý. Điều này chứng tỏ sự phổ biến rộng rãi của kiến thức về lỗ hổng này và khả năng nó đã được vũ khí hóa để phục vụ các mục đích tấn công.

Đáng chú ý, nhóm nghiên cứu đã phát hiện ra rằng kẻ tấn công đã thực hiện các hoạt động quét tìm kiếm các hệ thống dễ bị tổn thương trên một quy mô lớn. Kết quả của các hoạt động quét này là việc xác định hơn 1.000 API Magento tiềm ẩn nguy cơ và đã xâm nhập thành công vào khoảng 200 trang web. Quyền truy cập đạt được là cấp quản trị root, cho phép kiểm soát hoàn toàn hệ thống. Đây là một quy mô đáng báo động đối với một lỗ hổng CVE và cho thấy mức độ nghiêm trọng của mối đe dọa.

Cơ chế Khai thác và Chiếm quyền Điều khiển Hệ thống

Cơ chế lây nhiễm và kiểm soát hệ thống của kẻ tấn công cho thấy một quy trình có hệ thống để khai thác lỗ hổng CVE này. Mục tiêu cuối cùng là thiết lập quyền kiểm soát hoàn toàn đối với cơ sở hạ tầng của nạn nhân.

Đánh cắp Phiên (Session Hijacking) và Leo thang Đặc quyền

Sau khi kẻ tấn công đạt được quyền truy cập ban đầu thông qua kỹ thuật đánh cắp phiên (session hijacking), bước tiếp theo là thực hiện leo thang đặc quyền. Mục tiêu là để có được quyền truy cập root, vốn là mức kiểm soát hệ thống cao nhất trên các máy chủ Linux.

Kỹ thuật leo thang đặc quyền này cho phép kẻ tấn công vượt qua các hạn chế thông thường và giành quyền kiểm soát tối cao. Từ đó, chúng có thể triển khai các web shell. Web shell là những script nhỏ, thường được đặt trong các tệp trên máy chủ web, cấp cho kẻ tấn công khả năng thực thi lệnh từ xa. Điều này mở ra cánh cửa cho việc thao tác hệ thống liên tục và đánh cắp dữ liệu nhạy cảm.

Bằng chứng từ các hệ thống bị xâm nhập cho thấy sự hiện diện của các tệp chứa thông tin nhạy cảm, bao gồm tài khoản người dùng hệ thống và thông tin đăng nhập. Điều này chỉ ra rằng kẻ tấn công đã thực hiện một quá trình khám phá hệ thống kỹ lưỡng và có tiềm năng lớn cho hoạt động rò rỉ dữ liệu quy mô lớn.

Cơ sở hạ tầng Chỉ huy và Kiểm soát (C2)

Cuộc điều tra đã phát hiện ra các thành phần của cơ sở hạ tầng chỉ huy và kiểm soát (C2) của kẻ tấn công, với các máy chủ hoạt động từ Phần Lan và Hồng Kông.

Đặc biệt, các tác nhân đe dọa riêng biệt đã tiến hành các hoạt động triển khai web shell, đặc biệt nhắm mục tiêu vào các trang Magento đặt tại Canada và Nhật Bản.

Kẻ tấn công đã duy trì nhật ký chi tiết về các trang web bị xâm nhập và các đường dẫn của web shell đã triển khai. Điều này cho thấy một mức độ an ninh hoạt động (OpSec) có tổ chức và chiến lược nhắm mục tiêu có hệ thống, phản ánh sự chuyên nghiệp trong các chiến dịch tấn công của chúng.

Hành động Khuyến nghị và Bảo vệ Hệ thống

Các tổ chức đang vận hành nền tảng Magento phải thực hiện các hành động bảo mật khẩn cấp. Đầu tiên và quan trọng nhất là ngay lập tức vá lỗ hổng CVE-2025-54236 này với bản vá mới nhất do nhà cung cấp cung cấp.

Ngoài ra, việc kiểm tra kỹ lưỡng nhật ký máy chủ của họ để tìm kiếm bất kỳ dấu hiệu sử dụng mã thông báo phiên đáng ngờ nào là rất cần thiết. Các dấu hiệu này có thể bao gồm truy cập từ các địa chỉ IP không xác định hoặc hoạt động bất thường sau khi người dùng đã đăng xuất.

Tính chất rộng khắp và mức độ nghiêm trọng của chiến dịch tấn công mạng này nhấn mạnh tầm quan trọng của việc cập nhật bảo mật kịp thời và giám sát liên tục. Điều này đặc biệt đúng đối với các nền tảng thương mại điện tử lưu trữ dữ liệu khách hàng và thông tin thanh toán có giá trị. Việc áp dụng bản vá bảo mật ngay lập tức là rất cần thiết để giảm thiểu rủi ro từ lỗ hổng CVE này và bảo vệ dữ liệu nhạy cảm.