Các vụ xâm nhập không phải lúc nào cũng bắt đầu bằng một zero-day. Một bảng điều khiển admin bị lộ có thể bị brute-forced, hoặc thông tin đăng nhập bị sử dụng lại từ một cuộc tấn công trước đó. Nhưng khi một lỗ hổng xuất hiện — như MongoBleed đầu năm nay, cho phép kẻ tấn công lấy thông tin đăng nhập và session tokens từ bộ nhớ máy chủ mà không cần xác thực — bất kỳ thứ gì hướng ra internet đều ngay lập tức gặp rủi ro.
Với thời gian khai thác (time-to-exploit) hiện chỉ còn chưa đầy một ngày, câu hỏi không chỉ là bạn có thể vá lỗi nhanh đến mức nào. Mà là tại sao dịch vụ đó ngay từ đầu lại bị lộ công khai.
Nhóm nghiên cứu tại Intruder đã phân tích 3.000 bề mặt tấn công để tìm hiểu xem có bao nhiêu phần trong bề mặt tấn công điển hình của một tổ chức bao gồm các dịch vụ không có lý do gì để tồn tại ở đó. Chúng tôi đã nhóm những gì tìm thấy vào bốn danh mục — bảng điều khiển HTTP, các cổng và dịch vụ rủi ro, cơ sở dữ liệu, và các tệp tin cũng như thông tin có thể truy cập công khai.
Toàn bộ kết quả, bao gồm phân tích theo quy mô công ty và ngành nghề, có trong Chỉ số Quản lý Bề mặt Tấn công năm 2026 của chúng tôi.
Vấn đề này phổ biến đến mức nào?
- 60% tổ chức có ít nhất một bảng điều khiển HTTP bị lộ — các bảng điều khiển admin, giao diện quản lý, trang đăng nhập cho các công cụ nội bộ vốn không nên để công khai.
- Gần một nửa (49%) có cổng hoặc dịch vụ rủi ro bị lộ.
- 42% có cơ sở dữ liệu có thể truy cập trực tiếp từ internet.
- 30% có các tệp tin hoặc thông tin bị lộ công khai mà lẽ ra không nên — tài liệu API, tệp cấu hình, dữ liệu chưa từng được định sẵn để bị phát hiện.
Mười điểm yếu lộ lọt phổ biến nhất
Đây là những điểm yếu lộ lọt bề mặt tấn công phổ biến nhất ảnh hưởng đến các tổ chức trong 12 tháng qua.
- Cơ sở dữ liệu MySQL bị lộ — 26%
- Cơ sở dữ liệu Postgres bị lộ — 16%
- Tài liệu API bị lộ — 15%
- Bảng điều khiển Admin WordPress bị lộ — 15%
- Dịch vụ Remote Desktop (RDP) bị lộ — 11%
- Dịch vụ SNMP bị lộ — 9%
- Bảng điều khiển Admin phpMyAdmin bị lộ — 8%
- Dịch vụ UPnP bị lộ — 8%
- Dịch vụ NTP bị lộ — 7%
- Dịch vụ RPC Portmapper bị lộ — 7%
Cơ sở dữ liệu chiếm lĩnh hai vị trí đầu bảng
Cơ sở dữ liệu bị lộ chiếm hai vị trí dẫn đầu, với hơn một phần tư tổ chức để lộ MySQL và Postgres, gây ảnh hưởng đến tỷ lệ 1 trên 6. Các cơ sở dữ liệu hướng ra internet từ lâu đã là mục tiêu cho những kẻ tấn công cơ hội. Chiến dịch ransomware PLEASE_READ_ME năm 2020 đã xâm nhập hơn 250.000 cơ sở dữ liệu MySQL bằng cách brute-force thông tin đăng nhập yếu. MongoDB và Elasticsearch cũng từng đối mặt với tình trạng tương tự.
Tài liệu API bị lộ nhiều hơn cả RDP
Tài liệu API xếp thứ ba — cao hơn cả RDP, điều này khiến chúng tôi ngạc nhiên. Một số tài liệu API được để công khai có chủ đích, nhưng các tổ chức thường bỏ qua các tài liệu liên quan đến các API nội bộ hoặc phía quản trị vốn không dành cho việc công khai. Tài liệu API công khai có thể biến các lỗ hổng vốn khó tìm thành những con đường tấn công đã được ghi chép sẵn.
RDP vẫn là điểm xâm nhập của ransomware
RDP ở vị trí thứ năm là một mối lo ngại do lịch sử của nó như một vector truy cập ban đầu trong các cuộc tấn công ransomware. BlueKeep vào năm 2019 đã khiến gần một triệu hệ thống có thể bị khai thác ngay lập tức. Việc đoán thông tin đăng nhập đối với RDP bị lộ vẫn là một trong những cách đáng tin cậy nhất để các nhóm vận hành ransomware xâm nhập.
Các mục còn lại vốn không dành cho môi trường internet
Phần còn lại của danh sách — SNMP, UPnP, NTP, RPC — là các dịch vụ cũ (legacy) được thiết kế cho mạng nội bộ và chưa bao giờ có ý định để lộ ra internet.
Xem toàn bộ kết quả nghiên cứu
Hầu hết các đội ngũ đều coi việc vá lỗi là ưu tiên hàng đầu. Nhưng đối với nhiều thứ trong danh sách này — cơ sở dữ liệu, bảng điều khiển admin, các dịch vụ cũ — câu hỏi xác đáng hơn là tại sao chúng có thể truy cập được ngay từ đầu. Đó là nơi mà giảm thiểu bề mặt tấn công (attack surface reduction) phát huy tác dụng — và đối với hầu hết các tổ chức, nó không nhận được sự chú ý tương xứng như quản lý lỗ hổng bảo mật.
Toàn bộ kết quả, bao gồm phân tích theo quy mô công ty và ngành nghề, có trong Chỉ số Quản lý Bề mặt Tấn công năm 2026.