Tin tức bảo mật mới nhất cho thấy kẻ tấn công đang tích cực khai thác một lỗ hổng nghiêm trọng trong dòng sản phẩm ArrayOS AG của Array Networks. Mục tiêu chính là giành quyền truy cập trái phép vào các mạng doanh nghiệp. Hoạt động xâm nhập mạng này đang nhắm vào các tổ chức sử dụng phiên bản cũ của hệ điều hành ArrayOS, gây ra mối đe dọa đáng kể về an toàn thông tin.

Lỗ hổng Tiêm lệnh Nghiêm trọng trong ArrayOS AG Series

Lỗ hổng tồn tại trong chức năng DesktopDirect, một tính năng được thiết kế để cung cấp quyền truy cập máy tính từ xa cho các quản trị viên. Các nhà nghiên cứu bảo mật đã phát hiện ra rằng đây là một lỗ hổng tiêm lệnh (command injection). Nó cho phép kẻ tấn công thực thi các lệnh tùy ý trên các hệ thống bị ảnh hưởng với những hạn chế tối thiểu.

Mặc dù chưa có mã định danh CVE nào được gán cho lỗ hổng này, mối đe dọa là có thật và đã được ghi nhận. Các cuộc tấn công đã được xác nhận xảy ra kể từ tháng 8 năm 2025, chủ yếu nhắm vào các tổ chức ở Nhật Bản. Array Networks đã phát hành phiên bản vá lỗi vào tháng 5 năm 2025.

Tuy nhiên, việc triển khai rộng rãi các phiên bản cũ đã khiến nhiều hệ thống vẫn dễ bị tấn công. Các nhà phân tích bảo mật của JPCERT/CC đã xác định các chiến dịch tấn công phối hợp tận dụng điểm yếu này, đánh dấu một sự thay đổi đáng kể trong cách kẻ tấn công nhắm mục tiêu vào các thiết bị cổng doanh nghiệp.

Lỗ hổng ảnh hưởng đến tất cả các cài đặt ArrayOS AG đang chạy phiên bản 9.4.5.8 và các phiên bản cũ hơn, đặc biệt là những hệ thống đã bật tính năng DesktopDirect. Các tổ chức sử dụng các hệ thống này phải đối mặt với rủi ro bảo mật nghiêm trọng. Kẻ tấn công đang tích cực quét mạng để tìm các phiên bản dễ bị tấn công và nhanh chóng thiết lập quyền truy cập liên tục.

Kỹ thuật Khai thác và Chuỗi Tấn công

Các nhà phân tích bảo mật của JPCERT đã xác định rằng kẻ tấn công đã khai thác lỗ hổng này để cài đặt webshell PHP, tạo các tài khoản người dùng trái phép và thiết lập chỗ đứng cho hoạt động xâm nhập mạng nội bộ. Chi tiết kỹ thuật có thể tham khảo từ JPCERT/CC.

Mô hình tấn công cho thấy một phương pháp tiếp cận có hệ thống. Các tác nhân đe dọa giành quyền truy cập ban đầu thông qua lỗ hổng tiêm lệnh. Sau đó, họ tận dụng chỗ đứng đó để triển khai cửa hậu (backdoor) nhằm duy trì sự hiện diện lâu dài trong hệ thống. Đây là một bước quan trọng trong việc chuẩn bị cho các cuộc tấn công sâu hơn vào hạ tầng mục tiêu.

Vector lây nhiễm chính liên quan đến việc gửi các yêu cầu được tạo thủ công đặc biệt (specially crafted requests) chứa các chuỗi lệnh đến giao diện DesktopDirect. Kẻ tấn công lạm dụng các ký tự dấu chấm phẩy (semicolon) trong URL để thoát khỏi các ranh giới lệnh dự kiến và thực thi các hướng dẫn của riêng chúng. Điều này cho phép thực hiện các lệnh tùy ý trên máy chủ.

Trong các cuộc tấn công đã được xác nhận, lệnh thực thi đã cố gắng đặt một tệp webshell PHP vào đường dẫn /ca/aproxy/webapp/. Webshell này cho phép remote code execution (thực thi mã từ xa) trên thiết bị bị xâm nhập. Đây là một khả năng cực kỳ nguy hiểm, cho phép kẻ tấn công kiểm soát hoàn toàn hệ thống.

Webshell đóng vai trò như một cửa hậu dai dẳng, cho phép kẻ tấn công duy trì quyền truy cập, trích xuất dữ liệu và thâm nhập sâu hơn vào các mạng mục tiêu. Khả năng này biến thiết bị cổng Array Networks thành một điểm tựa vững chắc để tiếp tục các hoạt động xâm nhập mạng rộng hơn, tiềm ẩn nguy cơ rò rỉ dữ liệu nhạy cảm.

Chỉ số Thỏa hiệp (Indicators of Compromise – IOCs)

Dữ liệu phân tích lưu lượng tấn công đã được truy vết về một địa chỉ IP nguồn cụ thể:

• Địa chỉ IP:194.233.100[.]138

Lưu ý rằng địa chỉ này có thể chỉ đại diện cho một nút trong một hạ tầng tấn công rộng lớn hơn, và kẻ tấn công có thể thay đổi các IOCs khác để tránh bị phát hiện.

Tác động Hệ thống và Rủi ro Doanh nghiệp

Việc bị khai thác thành công lỗ hổng này dẫn đến nhiều tác động nghiêm trọng đến hệ thống và doanh nghiệp. Đầu tiên, khả năng remote code execution cho phép kẻ tấn công thực thi bất kỳ lệnh nào. Điều này có thể dẫn đến việc cài đặt mã độc, thay đổi cấu hình hệ thống, hoặc thậm chí là xóa dữ liệu quan trọng.

Thứ hai, việc cài đặt webshell và tạo tài khoản trái phép đảm bảo quyền truy cập liên tục cho kẻ tấn công, ngay cả khi hệ thống được khởi động lại. Điều này cho phép chúng thực hiện các cuộc tấn công giai đoạn hai, bao gồm thu thập thông tin nội bộ, trích xuất dữ liệu, hoặc sử dụng hệ thống bị xâm nhập làm bàn đạp để tấn công các tài nguyên khác trong mạng.

Rủi ro lớn nhất là khả năng đánh cắp dữ liệu nhạy cảm và xâm nhập mạng sâu rộng. Các cuộc tấn công có thể leo thang từ việc truy cập ban đầu đến việc chiếm quyền kiểm soát toàn bộ cơ sở hạ tầng, gây thiệt hại nghiêm trọng về tài chính, uy tín và hoạt động kinh doanh liên tục. Việc không kiểm soát được quyền truy cập này có thể dẫn đến các hậu quả pháp lý và quy định nghiêm ngặt.

Biện pháp Giảm thiểu Khẩn cấp và Khuyến nghị Bảo mật

Biện pháp giảm thiểu tức thì đòi hỏi phải nâng cấp lên phiên bản ArrayOS AG 9.4.5.9. Đây là bản vá bảo mật được Array Networks phát hành để khắc phục lỗ hổng. Việc áp dụng bản vá này là bước quan trọng nhất để loại bỏ điểm yếu.

Nếu không thể nâng cấp ngay lập tức, một giải pháp thay thế là vô hiệu hóa các dịch vụ DesktopDirect nếu chức năng truy cập từ xa này không cần thiết. Để vô hiệu hóa dịch vụ DesktopDirect, quản trị viên có thể sử dụng giao diện CLI của ArrayOS. Một ví dụ về lệnh CLI để quản lý dịch vụ:

config terminal
no service DesktopDirect enable
write memory

Trước khi thực hiện bất kỳ hoạt động vá lỗi nào, các tổ chức nên bảo toàn nhật ký hệ thống. Việc khởi động lại hệ thống sau khi cập nhật có thể dẫn đến mất nhật ký, có khả năng phá hủy bằng chứng pháp y quan trọng cần thiết cho các cuộc điều tra vi phạm bảo mật. Các nhật ký này cung cấp thông tin chi tiết về hoạt động của kẻ tấn công và phạm vi xâm nhập mạng.

Ngoài ra, việc triển khai các giải pháp giám sát an ninh mạng (IDS/IPS) và thường xuyên rà soát lỗ hổng bảo mật là cần thiết. Các giải pháp này giúp phát hiện sớm các hoạt động bất thường và ngăn chặn các cuộc tấn công tương tự. Việc duy trì một chính sách cập nhật bản vá bảo mật nghiêm ngặt là yếu tố then chốt để bảo vệ hạ tầng CNTT khỏi các mối đe dọa đang phát triển.

Cuộc tấn công này nhấn mạnh tầm quan trọng của việc quản lý lỗ hổng bảo mật chủ động và nhanh chóng áp dụng các bản vá bảo mật. Kẻ tấn công liên tục tìm kiếm các điểm yếu và tận dụng bất kỳ khoảng trống nào trong chu trình bảo vệ để thực hiện các chiến dịch xâm nhập mạng.