Hơn 95.000 máy chủ Magento (Adobe Commerce) trên toàn cầu đang trở thành mục tiêu của một chiến dịch tấn công mạng quy mô lớn. Lỗ hổng nghiêm trọng có tên Session Reaper cho phép tin tặc chiếm quyền điều khiển hệ thống và đánh cắp dữ liệu người dùng.
Các chuyên gia Bkav cảnh báo: doanh nghiệp Việt Nam đang nằm trong nhóm nguy cơ cao bị ảnh hưởng nếu không vá lỗi ngay lập tức.
Lỗ hổng Session Reaper cho phép chiếm quyền điều khiển máy chủ
Theo ông Hoàng Trường Khương, chuyên gia an ninh mạng của Bkav, lỗ hổng Session Reaper xuất phát từ cơ chế xử lý dữ liệu Web API trong Magento.
Tin tặc có thể chèn mã độc vào phiên làm việc (session) để tải lên web shell – tệp mã giúp duy trì quyền truy cập và điều khiển toàn bộ hệ thống máy chủ.
Nếu khai thác thành công, kẻ tấn công có thể:
- Chiếm quyền quản trị hệ thống;
- Rò rỉ dữ liệu thanh toán của khách hàng;
- Tạo tài khoản quản trị giả để mở rộng phạm vi tấn công.
Các phiên bản Adobe Commerce và Magento Open Source phát hành trước tháng 10/2025, bao gồm từ nhánh 2.4.9-alpha2 trở xuống, đều bị ảnh hưởng bởi lỗ hổng này.
Tấn công lan rộng: 95.000 máy chủ trong tình trạng nguy hiểm
Chỉ trong 48 giờ sau khi mã khai thác (exploit code) được công bố, hơn 300 cuộc tấn công tự động đã được ghi nhận, nhắm vào hơn 130 máy chủ Magento trên toàn cầu.
Theo Sansec Shield, dù Adobe đã phát hành bản vá khẩn cấp từ đầu tháng 9, đến nay vẫn còn khoảng 62% cửa hàng Magento chưa cập nhật.
Với hơn 95.000 máy chủ Magento đang hoạt động công khai, hàng nghìn website thương mại điện tử đang rơi vào tình trạng dễ bị tấn công.
Các chuyên gia cảnh báo: “Việc chậm trễ cập nhật chỉ một ngày cũng có thể khiến doanh nghiệp phải gánh chịu thiệt hại nghiêm trọng về dữ liệu và uy tín”.
Doanh nghiệp Việt Nam nằm trong nhóm rủi ro cao
Tại Việt Nam, hàng trăm thương hiệu bán lẻ, thời trang, công nghệ đang sử dụng Magento làm nền tảng thương mại điện tử.
Theo đánh giá của Bkav, đây là nhóm dễ bị tấn công nhất do:
- Thiếu quy trình vá lỗi định kỳ;
- Không có tường lửa ứng dụng web (WAF) để bảo vệ tầng ứng dụng;
- Sử dụng phiên bản cũ hoặc module REST API không kiểm soát, dễ bị khai thác qua Internet.
Kinh nghiệm từ các sự cố an ninh mạng trước đây cho thấy, những hệ thống không cập nhật đúng hạn thường bị xâm nhập chỉ trong vài giờ sau khi mã khai thác bị rò rỉ.
Bkav khuyến nghị doanh nghiệp cần hành động ngay
Để giảm thiểu rủi ro, Bkav đưa ra khuyến nghị khẩn cấp:
- Cập nhật ngay bản vá bảo mật mới nhất từ Adobe.
- Kích hoạt và cấu hình tường lửa ứng dụng web (WAF) để chặn gói tin bất thường.
- Rà soát toàn bộ hệ thống:
- Kiểm tra tệp PHP lạ trong thư mục;
- Xem lại các tài khoản quản trị mới được tạo;
- Theo dõi log truy cập bất thường.
- Nếu nghi ngờ bị xâm nhập, cần:
- Cách ly máy chủ;
- Khôi phục từ bản sao lưu sạch;
- Thay đổi toàn bộ mật khẩu và khóa truy cập.
Ông Khương nhấn mạnh: “Với tốc độ khai thác hiện nay, việc trì hoãn cập nhật đồng nghĩa với việc mở cửa hệ thống cho tin tặc. Các doanh nghiệp cần hành động ngay để bảo vệ dữ liệu khách hàng và uy tín thương hiệu”.
