CISA Gắn Cờ Các Lỗ Hổng SolarWinds, Ivanti và Workspace One Đang Bị Khai Thác Tích Cực

Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) vào thứ Hai đã bổ sung ba lỗ hổng bảo mật vào danh mục Known Exploited Vulnerabilities (KEV) của mình, dựa trên bằng chứng về việc bị khai thác tích cực. Danh sách các lỗ hổng như sau: CVE-2021-22054 (điểm CVSS: 7.5) – một lỗ hổng server-side request forgery (SSRF) trong Omnissa Workspace One UEM (trước đây là VMware Workspace One UEM) có thể cho phép...
Logo CISA và dòng chữ KEV
Hình ảnh minh họa về danh mục Known Exploited Vulnerabilities (KEV) của CISA.

Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) vào thứ Hai đã bổ sung ba lỗ hổng bảo mật vào danh mục Known Exploited Vulnerabilities (KEV) của mình, dựa trên bằng chứng về việc bị khai thác tích cực.

Các Lỗ Hổng Bị Khai Thác

Danh sách các lỗ hổng như sau:

  • CVE-2021-22054 (điểm CVSS: 7.5) - Một lỗ hổng server-side request forgery (SSRF) trong Omnissa Workspace One UEM (trước đây là VMware Workspace One UEM) có thể cho phép kẻ tấn công độc hại có quyền truy cập mạng vào UEM gửi yêu cầu mà không cần xác thực và chiếm quyền truy cập vào thông tin nhạy cảm.
  • CVE-2025-26399 (điểm CVSS: 9.8) - Một lỗ hổng deserialization of untrusted data trong thành phần AjaxProxy của SolarWinds Web Help Desk có thể cho phép kẻ tấn công chạy các lệnh trên máy chủ.
  • CVE-2026-1603 (điểm CVSS: 8.6) - Một lỗ hổng authentication bypass sử dụng một đường dẫn hoặc kênh thay thế trong Ivanti Endpoint Manager có thể cho phép kẻ tấn công từ xa chưa xác thực làm rò rỉ dữ liệu thông tin xác thực được lưu trữ cụ thể.

Chi Tiết Các Vụ Khai Thác

Việc bổ sung CVE-2025-26399 diễn ra sau các báo cáo từ Microsoft và Huntress cho thấy các tác nhân đe dọa đang khai thác các lỗ hổng bảo mật trong SolarWinds Web Help Desk để giành quyền truy cập ban đầu. Hoạt động này được cho là do nhóm ransomware Warlock thực hiện.

Mặt khác, CVE-2021-22054 đã được GreyNoise gắn cờ vào tháng 3 năm 2025 là đang bị khai thác cùng với một số lỗ hổng SSRF khác trong các sản phẩm khác như một phần của chiến dịch phối hợp.

Hiện tại, không có thông tin chi tiết về cách CVE-2026-1603 đang bị vũ khí hóa trên thực tế. Tính đến thời điểm viết bài, bản tin bảo mật của Ivanti chưa được cập nhật để phản ánh tình trạng khai thác.

Biện Pháp Khắc Phục

Để đối phó với rủi ro từ các mối đe dọa đang hoạt động, các cơ quan Federal Civilian Executive Branch (FCEB) đã được lệnh áp dụng bản vá cho SolarWinds Web Help Desk trước ngày 12 tháng 3 năm 2026 và hai lỗ hổng còn lại trước ngày 23 tháng 3 năm 2026.

"Những loại lỗ hổng này là các vectơ tấn công thường xuyên cho các tác nhân mạng độc hại và gây ra rủi ro đáng kể cho doanh nghiệp liên bang," CISA cho biết.

Thẻ liên quan
#CISA #KEV #lỗ hổng #khai thác #SolarWinds #Ivanti #Workspace One #an ninh mạng