Lỗ hổng CVE Ivanti EPMM nghiêm trọng: Nguy cơ RCE bị khai thác

Hai lỗ hổng CVE nghiêm trọng cho phép thực thi mã từ xa đã được công bố trong nền tảng Ivanti Endpoint Manager Mobile (EPMM). Các lỗ hổng này hiện đang bị khai thác tích cực trong các cuộc tấn công thực tế, đặt ra nguy cơ đáng kể cho các tổ chức sử dụng EPMM.

Tổng Quan Về Các Lỗ Hổng CVE Nghiêm Trọng

Các lỗ hổng bảo mật này được theo dõi dưới mã định danh CVE-2026-1281 và CVE-2026-1340. Chúng cho phép kẻ tấn công không cần xác thực (unauthenticated attackers) thực thi mã tùy ý (arbitrary code) từ xa trên các hệ thống dễ bị tổn thương.

Điểm số CVSS của cả hai lỗ hổng đạt mức tối đa 9.8 (nghiêm trọng), phản ánh mức độ rủi ro rất cao. Các phiên bản EPMM bị ảnh hưởng bao gồm 12.5.0.0, 12.6.0.0 và 12.7.0.0.

Theo bản tư vấn bảo mật của Ivanti, được công bố vào ngày 29 tháng 1 năm 2026, công ty đã xác nhận một số môi trường khách hàng đã bị xâm phạm tại thời điểm công bố thông tin này.

Chi Tiết Kỹ Thuật về Khai Thác (Exploitation)

Cả hai lỗ hổng CVE đều xuất phát từ các điểm yếu code-injection (CWE-94). Đặc điểm này cho phép khai thác mà không yêu cầu xác thực hoặc tương tác của người dùng.

Vector tấn công dựa trên mạng (network-based) và có độ phức tạp thấp (low-complexity). Điều này giúp các tác nhân đe dọa dễ dàng xâm nhập từ xa vào các phiên bản EPMM dễ bị tổn thương với nỗ lực tối thiểu.

Khai thác thành công các lỗ hổng này cấp cho kẻ tấn công quyền kiểm soát hoàn toàn đối với tính bảo mật (confidentiality), tính toàn vẹn (integrity) và tính sẵn sàng (availability) của các hệ thống bị ảnh hưởng.

Khả năng remote code execution (RCE) có nghĩa là kẻ tấn công có thể thực thi bất kỳ lệnh nào trên máy chủ EPMM bị tổn thương. Từ đó, chúng có thể cài đặt phần mềm độc hại, đánh cắp dữ liệu nhạy cảm hoặc giành quyền kiểm soát sâu hơn vào mạng nội bộ.

Ảnh Hưởng Hệ Thống và Hậu Quả Bảo Mật

Một cuộc tấn công khai thác thành công CVE-2026-1281 và CVE-2026-1340 có thể dẫn đến các hậu quả nghiêm trọng sau:

• Rò rỉ dữ liệu nhạy cảm: Kẻ tấn công có thể truy cập và đánh cắp thông tin quản lý thiết bị di động, dữ liệu người dùng, cấu hình hệ thống và các thông tin độc quyền khác.
• Gián đoạn hoạt động: Khả năng kiểm soát toàn diện hệ thống có thể dẫn đến việc phá hoại, xóa dữ liệu hoặc làm tê liệt các dịch vụ quan trọng, gây ảnh hưởng nghiêm trọng đến hoạt động kinh doanh.
• Mở rộng tấn công: Máy chủ EPMM bị xâm nhập có thể trở thành điểm pivot để tấn công các hệ thống khác trong mạng nội bộ. Điều này mở rộng phạm vi xâm nhập và leo thang đặc quyền.
• Cài đặt mã độc: Kẻ tấn công có thể sử dụng quyền RCE để cài đặt ransomware, trojan hoặc các loại mã độc khác, gây ra thiệt hại tài chính và uy tín.

Kỹ Thuật Code Injection (CWE-94)

CWE-94, hay “Improper Control of Generation of Code (‘Code Injection’)”, là một loại lỗ hổng xảy ra khi một ứng dụng không xác thực hoặc lọc đúng cách dữ liệu đầu vào. Dữ liệu này sau đó được diễn giải hoặc thực thi như một phần của mã lệnh.

Trong trường hợp của Ivanti EPMM, điều này ngụ ý rằng các đầu vào không được kiểm soát có thể được sử dụng để tiêm các lệnh độc hại. Các lệnh này sau đó được hệ thống EPMM thực thi với các đặc quyền của nó. Đây là lý do tại sao các lỗ hổng CVE này lại có điểm CVSS cao đến vậy và cho phép remote code execution.

Biện Pháp Khắc Phục và Cập Nhật Bản Vá

Để đối phó với những lỗ hổng này, Ivanti đã phát hành các bản vá RPM dành riêng cho từng phiên bản. Đồng thời, một bản sửa lỗi vĩnh viễn dự kiến sẽ có mặt trong phiên bản 12.8.0.0 vào Quý 1 năm 2026.

Các bản vá tạm thời này không yêu cầu thời gian ngừng hệ thống (downtime) và không ảnh hưởng đến chức năng tính năng. Tuy nhiên, quản trị viên phải áp dụng lại script RPM sau mỗi lần nâng cấp phiên bản EPMM.

Các tổ chức đang chạy Ivanti EPMM cần khẩn trương áp dụng các bản vá RPM dành riêng cho phiên bản của họ, có sẵn thông qua cổng hỗ trợ của Ivanti. Thông tin chi tiết và bản vá có thể tìm thấy tại Ivanti Security Advisory.

• Khách hàng sử dụng các phiên bản từ 12.5.0.x đến 12.7.0.x yêu cầu bản vá RPM 12.x.0.x.
• Những người đang sử dụng 12.5.1.0 hoặc 12.6.1.0 nên triển khai bản vá RPM 12.x.1.x.

Ivanti nhấn mạnh rằng chỉ cần một bản vá duy nhất dựa trên phiên bản đã triển khai. Việc thực hiện cập nhật bản vá này là bước phòng thủ đầu tiên và quan trọng nhất.

Khuyến Nghị Bảo Mật Nâng Cao

Ivanti khuyến nghị các tổ chức đặc biệt quan tâm đến bảo mật nên cân nhắc việc xây dựng lại môi trường EPMM và di chuyển dữ liệu sang các hệ thống thay thế. Đây được coi là phương pháp khắc phục rủi ro thận trọng nhất.

Việc xây dựng lại hệ thống đảm bảo rằng không có dấu vết nào của cuộc tấn công tiềm ẩn hoặc mã độc đã được cài đặt có thể tồn tại, đặc biệt khi các lỗ hổng CVE này đã bị khai thác trong thực tế.

Mặc dù Ivanti đã cung cấp tài liệu phân tích kỹ thuật kèm hướng dẫn pháp y (forensic guidance), các chỉ số xâm nhập đáng tin cậy (Indicators of Compromise – IOCs) vẫn chưa có sẵn khi các cuộc điều tra tiếp tục diễn ra.

Điều quan trọng cần lưu ý là các sản phẩm Ivanti khác, bao gồm Endpoint Manager (EPM), Neurons for MDM và thiết bị Sentry, không bị ảnh hưởng bởi những lỗ hổng CVE này.

Các Bước Khẩn Cấp Cần Thực Hiện

Để bảo vệ hệ thống khỏi các cuộc tấn công đang diễn ra, quản trị viên cần thực hiện ngay lập tức các hành động sau:

1. Kiểm tra phiên bản EPMM: Xác định chính xác phiên bản Ivanti EPMM đang chạy trong môi trường của bạn.
2. Tải xuống và áp dụng bản vá RPM: Truy cập cổng hỗ trợ của Ivanti và tải xuống bản vá RPM phù hợp với phiên bản EPMM của bạn. Thực hiện cập nhật bản vá theo hướng dẫn của nhà cung cấp.
3. Giám sát hệ thống: Tăng cường giám sát nhật ký (logs) và hoạt động mạng của máy chủ EPMM để phát hiện bất kỳ dấu hiệu xâm nhập hoặc hoạt động bất thường nào, ngay cả khi IOCs chưa được công bố.
4. Đánh giá khả năng xây dựng lại: Đối với các môi trường quan trọng hoặc nơi có nguy cơ cao, hãy bắt đầu lập kế hoạch cho việc xây dựng lại môi trường EPMM hoàn toàn và di chuyển dữ liệu.
5. Rà soát bảo mật tổng thể: Đảm bảo rằng các biện pháp bảo mật khác như phân đoạn mạng, xác thực đa yếu tố và chính sách vá lỗi định kỳ được thực thi nghiêm ngặt.

Những lỗ hổng CVE này là lời nhắc nhở quan trọng về sự cần thiết của việc thường xuyên cập nhật hệ thống và phản ứng nhanh chóng trước các cảnh báo bảo mật, đặc biệt là khi có thông tin về việc khai thác tích cực.