Canon đã chính thức xác nhận rằng họ là mục tiêu trong chiến dịch tấn công mạng diện rộng, khai thác một zero-day vulnerability nghiêm trọng trong Oracle E-Business Suite (EBS). Sự kiện này làm nổi bật rủi ro liên tục mà các tổ chức lớn phải đối mặt trước các lỗ hổng zero-day chưa được biết đến hoặc chưa có bản vá.

Chiến dịch Tấn công của Clop Ransomware vào Oracle EBS

Cuộc tấn công này được dàn dựng bởi nhóm Clop ransomware khét tiếng, đã ảnh hưởng đến hàng chục tổ chức lớn trên toàn thế giới. Nhóm này đã liệt kê Canon trên trang rò rỉ dữ liệu (dark web leak site) của mình, công bố tên miền của công ty cùng với các nạn nhân bị cáo buộc khác. Việc xuất hiện trên trang rò rỉ đã làm dấy lên lo ngại về một vụ rò rỉ dữ liệu quy mô lớn từ Canon.

Tuy nhiên, Canon đã làm rõ rằng mức độ ảnh hưởng đã được kiểm soát một cách hiệu quả. Gã khổng lồ về máy ảnh và thiết bị hình ảnh này tuyên bố rằng sự xâm nhập chỉ ảnh hưởng đến một môi trường cụ thể trong một trong các công ty con của họ. Đây là một điểm khác biệt quan trọng so với vụ tấn công bằng mã độc tống tiền Maze mà Canon từng phải đối mặt vào năm 2020, vốn gây ra hậu quả nghiêm trọng hơn và tác động rộng khắp mạng lưới của họ.

Phạm vi Xâm nhập và Biện pháp Kiểm soát tại Canon

Theo thông tin từ công ty, những kẻ tấn công không mã hóa mạng lưới rộng hơn hoặc làm gián đoạn các hoạt động toàn cầu của Canon. Điều này cho thấy chiến thuật của nhóm Clop trong vụ việc này đã chuyển hướng, tập trung vào việc đánh cắp dữ liệu nhạy cảm và sử dụng chúng để tống tiền, thay vì triển khai phần mềm mã hóa và gây gián đoạn hệ thống trên diện rộng.

Đội ngũ bảo mật của Canon đã phát hiện sự xâm nhập này và lập tức thực hiện các biện pháp khẩn cấp để cô lập các hệ thống bị ảnh hưởng. Trong một tuyên bố gửi tới SecurityWeek, công ty nhấn mạnh rằng vụ xâm phạm không lan rộng ra ngoài một máy chủ web cụ thể, được vận hành bởi một công ty con của Canon U.S.A., Inc. Điều này cho thấy hệ thống phân đoạn và phản ứng nhanh đã đóng vai trò then chốt.

Việc kiểm soát và cô lập hệ thống nhanh chóng này có khả năng đã ngăn chặn hành vi đánh cắp dữ liệu khách hàng nhạy cảm hoặc tài sản trí tuệ quan trọng. Đây là những mục tiêu chính mà nhóm Clop thường tìm kiếm để phục vụ cho các chiến dịch tống tiền bằng cách đe dọa công khai dữ liệu.

Canon đã phát biểu: “Chúng tôi đã xác nhận rằng sự cố chỉ ảnh hưởng đến máy chủ web, và chúng tôi đã thực hiện các biện pháp bảo mật và khôi phục dịch vụ. Ngoài ra, chúng tôi đang tiếp tục điều tra sâu hơn để đảm bảo không có tác động nào khác đến hệ thống hoặc dữ liệu của chúng tôi.” Cam kết điều tra liên tục là cần thiết để đảm bảo không có dấu vết nào của zero-day vulnerability bị bỏ sót.

Chi tiết Kỹ thuật: Lỗ hổng CVE-2025-61882 trong Oracle E-Business Suite

Lỗ hổng CVE được sử dụng trong chiến dịch tấn công này được theo dõi dưới mã hiệu CVE-2025-61882. Đây là một lỗi bảo mật nghiêm trọng, phân loại là zero-day vulnerability, tồn tại trong Oracle E-Business Suite. Lỗ hổng này đặc biệt nguy hiểm vì nó cho phép những kẻ tấn công chưa được xác thực (unauthenticated attackers) thực thi mã tùy ý từ xa (Remote Code Execution – RCE) trên các máy chủ đang chạy Oracle EBS dễ bị tổn thương.

Khả năng RCE cho phép kẻ tấn công kiểm soát hoàn toàn hệ thống bị ảnh hưởng mà không cần bất kỳ thông tin đăng nhập hợp lệ nào. Các nhà nghiên cứu bảo mật đã phát hiện rằng các chi nhánh của Clop, được theo dõi dưới tên Graceful Spider, đã bắt đầu khai thác lỗi này ngay từ tháng 8 năm 2025. Mục tiêu chính của chúng là cài đặt các web shells và tiến hành đánh cắp dữ liệu nhạy cảm trước khi Oracle có thể phát hành bản vá chính thức vào tháng 10 cùng năm. Điều này làm nổi bật tính cấp bách trong việc xử lý các zero-day vulnerability khi chúng được tiết lộ.

Thông tin chi tiết về lỗ hổng này, bao gồm điểm CVSS và các thông tin liên quan, thường được công bố trên các cơ sở dữ liệu quốc gia về lỗ hổng. Các chuyên gia bảo mật và quản trị viên hệ thống có thể tham khảo thêm trên NIST National Vulnerability Database để cập nhật các bản vá và biện pháp phòng ngừa.

Chiến thuật Tống tiền “Move-It Style” của Nhóm Clop

Sự cố liên quan đến Canon là một phần của làn sóng tống tiền lớn hơn, được ví như phong cách “Move-It”, nơi nhóm Clop đã tận dụng zero-day vulnerability này để xâm nhập vào gần 30 tổ chức trên toàn cầu. Khác với các cuộc tấn công ransomware truyền thống thường triển khai phần mềm mã hóa dữ liệu ngay lập tức, nhóm Clop trong chiến dịch này đã tập trung hoàn toàn vào hành vi đánh cắp dữ liệu.

Sau khi thu thập được dữ liệu nhạy cảm, nhóm này bắt đầu gửi email tống tiền cho các giám đốc điều hành của các công ty bị ảnh hưởng, bắt đầu từ cuối tháng 9 năm 2025. Nội dung của các email này đe dọa sẽ công khai hoặc rò rỉ các tài liệu bị đánh cắp nếu nạn nhân không thanh toán một khoản tiền chuộc nhất định. Chiến thuật này cho phép Clop tạo ra áp lực lớn mà không cần phải thực hiện các hoạt động mã hóa có thể bị phát hiện dễ dàng hơn.

Trang rò rỉ dữ liệu của nhóm Clop hiện liệt kê các tên miền, bao gồm cả Canon, là bằng chứng cho thấy các thực thể này đã bị xâm phạm thành công trong giai đoạn khai thác tự động ban đầu. Phương thức tấn công này cho phép Clop thu thập một lượng lớn dữ liệu nhạy cảm mà không cần phải đối mặt với rủi ro bị phát hiện ngay lập tức bởi các giải pháp phòng thủ truyền thống tập trung vào ngăn chặn mã độc tống tiền và mã hóa.

Chỉ Số Lây Nhiễm (IOCs) và Khuyến Nghị Phòng Ngừa

Mặc dù văn bản gốc không cung cấp các Chỉ Số Lây Nhiễm (Indicators of Compromise – IoCs) cụ thể, chi tiết như hash file, địa chỉ IP hay tên miền độc hại, cho vụ tấn công này, các nhóm bảo mật vẫn được khuyến nghị mạnh mẽ rằng cần quét môi trường Oracle EBS của họ để tìm kiếm các dấu hiệu bất thường. Việc này bao gồm kiểm tra log hệ thống, lưu lượng mạng, và các file đáng ngờ có thể là web shells hoặc các công cụ khai thác đã được cài đặt sau khi khai thác zero-day vulnerability.

Bất kỳ dấu hiệu nào của hoạt động trái phép, chẳng hạn như truy cập vào các thư mục nhạy cảm từ các địa chỉ IP không xác định, việc tạo tài khoản người dùng mới không được ủy quyền, hoặc các thay đổi cấu hình hệ thống không giải thích được, đều cần được điều tra ngay lập tức và kỹ lưỡng. Đây là bước quan trọng để xác định mức độ xâm nhập và ngăn chặn các hành vi tấn công tiếp theo.

Quan trọng hơn cả, việc áp dụng các bản vá lỗi chính thức ngay lập tức là biện pháp phòng ngừa hàng đầu để ngăn chặn truy cập trái phép thêm. Oracle thường xuyên phát hành các bản cập nhật bảo mật để khắc phục các lỗ hổng CVE và các điểm yếu khác trong các sản phẩm của mình. Do đó, việc duy trì một chương trình quản lý bản vá mạnh mẽ và kịp thời là rất cần thiết cho mọi tổ chức đang sử dụng Oracle E-Business Suite. Việc chậm trễ trong việc vá lỗi có thể biến một zero-day vulnerability đã được công bố thành một điểm yếu dễ dàng bị khai thác.

Các Biện pháp Bảo mật Chủ động

Để tăng cường khả năng phòng thủ trước các mối đe dọa tương tự, các tổ chức nên triển khai các biện pháp bảo mật chủ động sau:

• Cập nhật bản vá định kỳ và khẩn cấp: Luôn đảm bảo rằng tất cả các hệ thống Oracle E-Business Suite đã được áp dụng các bản vá bảo mật mới nhất từ Oracle ngay khi chúng được phát hành. Đặc biệt chú ý đến các bản vá khắc phục lỗ hổng zero-day.
• Giám sát an ninh mạng chặt chẽ: Triển khai các giải pháp Giám sát Sự kiện và Thông tin An ninh (SIEM) cùng Hệ thống Phát hiện và Ngăn chặn Xâm nhập (IDS/IPS) để liên tục giám sát và phát hiện các hoạt động bất thường, đặc biệt là trên các máy chủ EBS.
• Phân đoạn mạng hiệu quả: Cô lập các hệ thống quan trọng như EBS trong một phân đoạn mạng riêng biệt (network segmentation) để hạn chế khả năng lây lan của các cuộc tấn công nếu xảy ra xâm nhập ban đầu.
• Thực hiện sao lưu dữ liệu thường xuyên: Thực hiện sao lưu dữ liệu quan trọng một cách thường xuyên và đảm bảo chúng được lưu trữ an toàn, ngoại tuyến để có thể khôi phục nhanh chóng trong trường hợp xảy ra sự cố nghiêm trọng như mất dữ liệu hoặc mã hóa bởi ransomware.
• Đào tạo và nâng cao nhận thức về an ninh mạng: Nâng cao nhận thức về an ninh mạng cho toàn bộ nhân viên, đặc biệt là về các kỹ thuật lừa đảo (phishing) và kỹ thuật xã hội (social engineering), vì chúng thường là bước đầu tiên để khai thác các lỗ hổng hệ thống.
• Kiểm tra thâm nhập và đánh giá lỗ hổng định kỳ: Thực hiện kiểm tra thâm nhập (penetration testing) và quét lỗ hổng (vulnerability scanning) định kỳ để xác định và khắc phục các điểm yếu tiềm ẩn trước khi chúng bị kẻ tấn công khai thác.