Cơ quan An ninh Cơ sở hạ tầng và An ninh Mạng (CISA) đã tăng cường nỗ lực bảo vệ các mạng lưới của Hoa Kỳ bằng cách thêm ba lỗ hổng CVE D-Link mới bị khai thác vào Danh mục các Lỗ hổng đã Bị Khai thác (KEV) của mình. Cảnh báo này, được ban hành vào ngày 05 tháng 8 năm 2025, nhấn mạnh xu hướng gia tăng các cuộc tấn công mạng nhắm vào phần cứng mạng và giám sát. Các cơ quan liên bang và tổ chức tư nhân được khuyến nghị hành động ngay lập tức để củng cố an ninh mạng.

Ba lỗ hổng cụ thể được CISA đưa vào Danh mục KEV tác động đến camera D-Link DCS-2530L, DCS-2670L và đầu ghi video mạng DNR-322L. Các lỗ hổng này đang bị các đối tượng độc hại lợi dụng để giành quyền truy cập trái phép, thao túng chức năng thiết bị hoặc phát động các cuộc tấn công rộng hơn vào các mạng được kết nối.

Hiểu về Danh mục KEV của CISA và Tầm quan trọng của Lỗ hổng CVE

Danh mục KEV của CISA là một kho lưu trữ động các lỗ hổng bảo mật nghiêm trọng đã được biết là bị khai thác tích cực trong thế giới thực. Việc CISA bổ sung một lỗ hổng CVE D-Link vào danh mục này không chỉ là một cảnh báo đơn thuần; đó là sự xác nhận rằng các lỗ hổng này không còn là mối đe dọa tiềm ẩn mà đã trở thành vectơ tấn công hiện hữu. Danh mục này cung cấp thông tin kịp thời để các tổ chức có thể ưu tiên các nỗ lực vá lỗi và giảm thiểu rủi ro.

Theo CISA, các lỗ hổng thiết bị như các lỗ hổng CVE D-Link này nằm trong số các vectơ bị khai thác phổ biến nhất trong các chiến dịch tấn công mạng hiện tại nhằm vào các hệ thống chính phủ và doanh nghiệp. Sự phổ biến của các thiết bị IoT và phần cứng mạng trong môi trường doanh nghiệp và gia đình tạo ra một bề mặt tấn công rộng lớn, thường bị bỏ qua.

Mỗi mục nhập trong Danh mục KEV được hỗ trợ bởi bằng chứng đáng tin cậy về việc khai thác tích cực, cho phép các tổ chức tập trung vào các mối đe dọa cấp bách nhất. Việc liên tục cập nhật danh mục này là rất quan trọng để phản ứng nhanh chóng với bối cảnh mối đe dọa luôn thay đổi. Các tổ chức nên thường xuyên kiểm tra Danh mục KEV tại cisa.gov để cập nhật thông tin mới nhất.

Chỉ thị Vận hành Ràng buộc (BOD) 22-01 và Quản lý Lỗ hổng

Theo Chỉ thị Vận hành Ràng buộc (BOD) 22-01, các cơ quan thuộc Nhánh Hành pháp Dân sự Liên bang (FCEB) được yêu cầu khắc phục tất cả các lỗ hổng được liệt kê trong Danh mục KEV theo thời hạn đã chỉ định. Mục tiêu của chỉ thị này là đảm bảo bảo vệ chống lại các mối đe dọa mạng đang hoạt động. BOD 22-01 là minh chứng cho sự cấp bách mà chính phủ Hoa Kỳ đặt ra đối với việc bảo vệ cơ sở hạ tầng quan trọng khỏi các cuộc tấn công mạng.

Chỉ thị này, do CISA thực thi, thiết lập Danh mục KEV như một kho lưu trữ động các lỗ hổng CVE quan trọng gây rủi ro đáng kể cho cơ sở hạ tầng quốc gia. Nó không chỉ là một khuyến nghị mà là một yêu cầu bắt buộc đối với các cơ quan liên bang, phản ánh mức độ nghiêm trọng của các mối đe dọa mà quốc gia phải đối mặt.

Mặc dù BOD 22-01 chỉ áp dụng cho các cơ quan liên bang, CISA mạnh mẽ khuyến nghị tất cả các tổ chức – công và tư – áp dụng một cách tiếp cận chủ động đối với quản lý lỗ hổng. Điều này bao gồm việc ưu tiên vá lỗi và khắc phục các vấn đề được liệt kê trong KEV. Việc bỏ qua các khuyến nghị này có thể khiến hệ thống gặp rủi ro đáng kể, bao gồm rò rỉ dữ liệu, gián điệp mạng và gián đoạn hoạt động.

Tác động của Lỗ hổng CVE D-Link và Các Chiến lược Giảm thiểu

Các lỗ hổng CVE D-Link bị khai thác trên các thiết bị mạng và giám sát là một lời nhắc nhở rõ ràng về sự dễ bị tổn thương của cơ sở hạ tầng kỹ thuật số. Khi một thiết bị bị xâm nhập, nó có thể trở thành điểm khởi đầu cho các cuộc tấn công sâu hơn vào mạng nội bộ. Điều này đặc biệt đúng với các thiết bị IoT và thiết bị mạng thường xuyên kết nối với Internet và có thể thiếu các cơ chế bảo mật mạnh mẽ.

Việc không cập nhật bản vá bảo mật cho các lỗ hổng đã biết có thể dẫn đến hậu quả nghiêm trọng. Kẻ tấn công có thể lợi dụng những lỗ hổng này để:

• Giành quyền kiểm soát thiết bị: Thay đổi cài đặt, vô hiệu hóa chức năng hoặc biến thiết bị thành một phần của mạng botnet.
• Truy cập dữ liệu nhạy cảm: Trong trường hợp camera hoặc đầu ghi video, điều này có thể bao gồm quyền truy cập vào luồng video trực tiếp hoặc dữ liệu ghi lại.
• Thiết lập chỗ đứng trong mạng: Sử dụng thiết bị bị xâm nhập làm bàn đạp để di chuyển ngang và tấn công các hệ thống khác trong mạng.
• Khởi động các cuộc tấn công DDoS: Biến thiết bị thành một phần của đội quân zombie để thực hiện các cuộc tấn công từ chối dịch vụ phân tán.

Để giảm thiểu rủi ro từ các lỗ hổng CVE D-Link và các lỗ hổng tương tự, các tổ chức cần triển khai một chiến lược bảo mật toàn diện:

• Quản lý vá lỗi thường xuyên: Thiết lập một quy trình mạnh mẽ để xác định, đánh giá và áp dụng kịp thời các bản vá bảo mật cho tất cả các thiết bị và phần mềm, đặc biệt là những thiết bị có mặt trong Danh mục KEV.
• Đánh giá lỗ hổng định kỳ: Thực hiện quét lỗ hổng và kiểm tra thâm nhập thường xuyên để xác định và khắc phục các điểm yếu trước khi chúng bị khai thác.
• Phân đoạn mạng: Cô lập các thiết bị IoT và các thiết bị ít an toàn hơn trong các phân đoạn mạng riêng biệt để hạn chế sự lây lan của các cuộc tấn công.
• Áp dụng mô hình Zero Trust: Không tin tưởng bất kỳ thiết bị hoặc người dùng nào mặc định, luôn xác minh mọi yêu cầu truy cập.
• Giám sát liên tục: Triển khai các hệ thống phát hiện xâm nhập (IDS) và hệ thống thông tin và quản lý sự kiện bảo mật (SIEM) để giám sát hoạt động mạng bất thường, có thể là dấu hiệu của việc khai thác lỗ hổng CVE D-Link hoặc các tấn công khác.

CISA sẽ tiếp tục cập nhật danh mục của mình khi có bằng chứng mới về việc khai thác tích cực và khi các lỗ hổng bổ sung đáp ứng các tiêu chí đưa vào đã được thiết lập. Cơ quan này khuyến cáo các tổ chức nên thường xuyên xem xét Danh mục KEV và triển khai các chiến lược quản lý vá lỗi mạnh mẽ cùng với chiến lược phòng thủ theo chiều sâu. Khi các cuộc tấn công vào các thiết bị phần cứng trở nên tinh vi và dai dẳng hơn, hành động tức thì và cảnh giác liên tục vẫn là điều cần thiết để duy trì tư thế bảo mật của cả liên bang và doanh nghiệp.