Khai thác lỗ hổng CVE gia tăng: Nguy cơ Zero-day và Ransomware nghiêm trọng

Tháng 3/2026 ghi nhận hoạt động khai thác lỗ hổng CVE gia tăng đáng kể. Các nhà nghiên cứu bảo mật đã theo dõi 31 lỗ hổng tác động cao bị khai thác tích cực trong các hệ thống thực tế.

Những lỗ hổng này ảnh hưởng đến sản phẩm của hơn 20 nhà cung cấp lớn, bao gồm Cisco, Microsoft, Google, Apple, Langflow, ConnectWise và Citrix.

Microsoft và Apple chiếm khoảng 32% các sản phẩm bị ảnh hưởng. Điều này nhấn mạnh các nền tảng phổ biến tiếp tục là mục tiêu hàng đầu của các tác nhân đe dọa.

Trong số 31 lỗ hổng CVE được xác định, 29 lỗ hổng có điểm Rủi ro của Recorded Future là “Rất Nghiêm trọng”. Khả năng khai thác đã cao ngay tại thời điểm phát hiện.

Các tác nhân tấn công đã nhanh chóng hành động. Mọi lỗ hổng CVE đều bị khai thác tích cực trong tháng 3, khiến các đội ngũ bảo mật có rất ít thời gian để phản ứng.

Tháng này nổi bật với sự xuất hiện của một lỗ hổng zero-day. Đây là tâm điểm của một chiến dịch tấn công gây thiệt hại lớn.

Chiến dịch nhắm vào nền tảng bảo mật mạng Cisco được triển khai rộng rãi trước khi có bản vá bảo mật.

Tổng Quan Tình Hình Khai Thác Lỗ Hổng CVE Tháng 3/2026

Một điểm đáng chú ý là sự xuất hiện của CVE-2017-7921, một lỗ hổng CVE ảnh hưởng đến Hikvision đã tồn tại khoảng chín năm. Kẻ tấn công vẫn đang khai thác tích cực nó trong các môi trường chưa được vá.

Chi tiết này cho thấy tình trạng thực tế của quản lý lỗ hổng CVE trong doanh nghiệp: tuổi tác không làm giảm rủi ro khi hệ thống còn chưa được vá và bị phơi nhiễm.

Các chuyên gia bảo mật không bao giờ nên bỏ qua một lỗ hổng CVE cũ chỉ dựa vào ngày phát hành. Điều quan trọng là liệu nó có thể được tiếp cận và khai thác hay không.

Các nhà phân tích của Recorded Future đã xác định tất cả 31 lỗ hổng CVE này. Họ lưu ý rằng 10 trong số đó có mã khai thác Proof-of-Concept (PoC) công khai tại thời điểm phát hiện. Nguồn: Recorded Future.

Insikt Group đã tạo các template Nuclei cho hai lỗ hổng CVE nghiêm trọng mới trong tháng. Bao gồm lỗ hổng Path Traversal trong MindsDB (CVE-2026-27483) và vấn đề xác thực bị thiếu nghiêm trọng trong Nginx UI (CVE-2026-27944).

Đây là nỗ lực giúp đội ngũ bảo mật nhanh chóng kiểm tra khả năng phơi nhiễm. Một template cho CVE-2025-68613 trong n8n đã lưu hành từ tháng 12 trước khi bị khai thác vào tháng 3.

Hai lỗ hổng CVE nổi bật về mối liên hệ với hoạt động của tác nhân đe dọa có tổ chức. Chín trong số 31 CVE này cho phép thực thi mã từ xa (remote code execution) trên các sản phẩm từ Google, Langflow, Craft CMS, Laravel, Microsoft, n8n, SolarWinds và Apple.

Hai lỗ hổng CVE và một bộ công cụ khai thác đa thành phần cũng được kết nối trực tiếp với các chiến dịch mã độc. Bao gồm khai thác iOS full-chain tinh vi DarkSword, triển khai payload GHOSTKNIFE, GHOSTSABER và GHOSTBLADE.

Khai Thác Zero-Day trong Cisco Secure Firewall Management Center

Sự kiện quan trọng nhất tháng này xoay quanh Interlock Ransomware Group và một lỗ hổng zero-day trong Cisco Secure Firewall Management Center.

Nhóm mã độc ransomware Interlock đã bắt đầu khai thác CVE-2026-20131 từ ngày 26 tháng 1 năm 2026. Điều này xảy ra vài tuần trước khi Cisco công bố bản vá bảo mật và tư vấn an ninh vào ngày 4 tháng 3.

Nhóm này đã hoạt động trong mạng lưới doanh nghiệp bằng lỗ hổng CVE này mà đội ngũ bảo mật không có bản vá bảo mật chính thức hoặc kiến thức công khai vào thời điểm đó.

Phân Tích CVE-2026-20131 và Tác Động

CVE-2026-20131 tồn tại trong Cisco Secure Firewall Management Center (FMC). Đây là nền tảng tập trung quản lý chính sách tường lửa, giám sát sự kiện bảo mật mạng và kiểm soát cấu hình thiết bị.

Lỗ hổng CVE này được phân loại là vấn đề deserialization của dữ liệu không đáng tin cậy nghiêm trọng (CWE-502). Nó mang điểm Rủi ro của Recorded Future là 99, mức cao nhất.

Thông tin chi tiết CVE-2026-20131 trên NVD.

Cơ chế tấn công đơn giản nhưng hiệu quả. Một tác nhân đe dọa chưa được xác thực gửi yêu cầu HTTP được tạo đặc biệt đến giao diện quản lý web của FMC.

Do nền tảng không xác thực đúng luồng byte Java do người dùng cung cấp, kẻ tấn công có thể chèn một đối tượng Java được serialize. Ứng dụng sẽ xử lý và thực thi đối tượng này như mã cấp quyền root.

Chỉ Số Nhận Dạng (IOCs) và Kỹ Thuật Sau Xâm Nhập

Sau khai thác lỗ hổng CVE-2026-20131, kẻ tấn công tải tệp nhị phân ELF độc hại từ máy chủ staging để hỗ trợ các hoạt động tiếp theo.

Chỉ số nhận dạng (IOCs):

• Địa chỉ IP máy chủ staging:

  37[.]27[.]244[.]222

Sau xâm nhập, nhóm Interlock sử dụng trojan truy cập từ xa (RATs) tùy chỉnh dựa trên Java và JavaScript. Chúng cũng dùng web shell tồn tại trong bộ nhớ và cơ sở hạ tầng proxy để ẩn mình và di chuyển ngang trong mạng.

Hoạt động sau xâm nhập bao gồm trinh sát tích cực, thu thập dữ liệu, di chuyển ngang. Nhóm này còn sử dụng các công cụ hợp pháp như ConnectWise ScreenConnect, Volatility và Certify để đánh cắp thông tin xác thực và leo thang đặc quyền.

Mục tiêu cuối cùng là triển khai mã độc ransomware. Điểm khởi đầu qua lỗ hổng zero-day trong FMC làm cho chiến dịch trở nên đặc biệt nguy hiểm. Cơ sở hạ tầng bảo mật mạng trở thành điểm vào chính.

Mã Khai Thác (Exploit) PoC Công Khai

Vào ngày 11 tháng 3 năm 2026, một người dùng GitHub đã chia sẻ một PoC được cho là của CVE-2026-20131.

PoC này sử dụng công cụ mã nguồn mở ysoserial để tạo payload Java-serialized độc hại. Nó gửi payload này đến các endpoint chấp nhận dữ liệu Java được serialize.

Phản hồi HTTP 500 được diễn giải là xác nhận việc deserialization đã kích hoạt thực thi lệnh.

# Ví dụ giả định cấu trúc lệnh PoC (không phải mã thực tế)# import requests# import ysoserial## target_url = "https://fmc.example.com/some/api"# payload = ysoserial.generate(gadget="CommonsCollections5", command="id")# headers = {"Content-Type": "application/x-java-serialized-object"}## response = requests.post(target_url, data=payload, headers=headers, verify=False)## if response.status_code == 500:# print("Deserialization likely triggered command execution.")# else:# print("Exploit attempt failed or did not trigger expected response.")

Insikt Group chưa kiểm tra PoC này về độ chính xác hoặc xác nhận độ tin cậy. Các đội ngũ quản lý lỗ hổng CVE nên thận trọng trước khi kiểm tra bất kỳ PoC nào trong môi trường sản xuất hoặc staging.

Bài Học về Quản Lý Lỗ Hổng Bảo Mật

Tình hình trong tháng 3/2026 nhấn mạnh tầm quan trọng của quản lý lỗ hổng CVE toàn diện. Không chỉ các lỗ hổng zero-day mới là mối đe dọa, mà cả các lỗ hổng CVE cũ hơn chưa được vá cũng tạo ra rủi ro đáng kể.

Cập nhật bản vá bảo mật kịp thời và duy trì khả năng hiển thị liên tục vào các hệ thống là rất quan trọng để giảm thiểu nguy cơ bị tấn công. Điều này đặc biệt đúng khi các tác nhân đe dọa không ngừng tìm kiếm các điểm yếu.

Các tổ chức cần thiết lập quy trình kiểm tra và vá lỗi mạnh mẽ. Đồng thời, họ cần sử dụng các công cụ như template Nuclei để nhanh chóng xác định và khắc phục các điểm yếu mới.

Liên tục theo dõi và phản ứng nhanh chóng với các cảnh báo CVE mới nổi là điều kiện tiên quyết để duy trì an ninh mạng hiệu quả trước các mối đe dọa.