Lệnh khẩn hiếm thấy với khách hàng dùng ShareFile tại chỗ

Progress Software vừa phát đi cảnh báo khẩn yêu cầu một số khách hàng đang vận hành ShareFile Storage Zone Controllers phải chủ động tắt hẳn máy chủ Windows lưu trữ thành phần này. ShareFile là nền tảng chia sẻ tệp doanh nghiệp, còn Storage Zone Controllers là mô-đun triển khai tại chỗ (on-premises), tức phần mềm được cài trong hạ tầng riêng của khách hàng thay vì chạy hoàn toàn trên đám mây. Theo nội dung email được tiết lộ, hãng cho biết họ phát hiện một “mối đe dọa an ninh bên ngoài đáng tin cậy”, nghi nhắm trực tiếp vào thành phần này.

Không có bản vá, cũng chưa có cách giảm thiểu cấu hình

Điểm đáng chú ý là Progress không đưa ra bản vá bảo mật hay hướng dẫn thay đổi cấu hình để giảm rủi ro ngay lập tức. Thay vào đó, hãng yêu cầu khách hàng thực hiện một trong những biện pháp mạnh tay nhất có thể: tắt thủ công máy chủ đang chạy Storage Zone Controllers. Công ty cho biết họ đã chặn quyền truy cập vào các tài khoản ShareFile sử dụng thành phần này, nhưng nhấn mạnh chỉ riêng bước đó là chưa đủ để bảo vệ dữ liệu.

Progress nói chưa thấy dấu hiệu truy cập trái phép

Trong thông báo tiếp theo vào cuối tuần, Progress cho biết hiện chưa có bằng chứng cho thấy tài khoản hoặc dữ liệu khách hàng ShareFile đã bị truy cập trái phép. Hãng cũng nói chưa xác định được “mối đe dọa đang hoạt động” nào tại thời điểm cập nhật. Dù vậy, các Storage Zone Controllers vẫn phải tiếp tục ở trạng thái ngoại tuyến, nghĩa là bị ngắt khỏi hệ thống và không được bật lại, trong khi dịch vụ đám mây của ShareFile đang dần được khôi phục.

Khoảng trống thông tin làm dấy lên nhiều suy đoán

Cho đến nay, Progress vẫn chưa công bố bản chất chính xác của mối đe dọa, chưa xác nhận có khách hàng nào bị xâm nhập hay không, cũng chưa nêu rõ phiên bản phần mềm nào bị ảnh hưởng. Thời điểm an toàn để quản trị viên bật lại máy chủ cũng vẫn là dấu hỏi. Việc thiếu thông tin đã khiến cộng đồng an ninh mạng suy đoán rằng đây có thể là một lỗ hổng đặc biệt nghiêm trọng. Trên Reddit, một người dùng cho rằng nếu nhà cung cấp yêu cầu tắt hẳn máy chủ, khả năng cao đó là lỗi RCE chưa cần xác thực. RCE, viết tắt của Remote Code Execution, là dạng lỗ hổng cho phép kẻ tấn công chạy mã độc từ xa trên hệ thống nạn nhân. Cụm “chưa cần xác thực” nghĩa là tin tặc không cần đăng nhập hay có tài khoản hợp lệ vẫn có thể khai thác.

Vì sao Storage Zone Controllers trở thành mục tiêu hấp dẫn

Storage Zone Controllers là cầu nối giúp doanh nghiệp giữ tệp tin trên hạ tầng riêng nhưng vẫn dùng nền tảng đám mây ShareFile cho xác thực và quản trị. “Xác thực” ở đây là quá trình kiểm tra danh tính người dùng trước khi cấp quyền truy cập. Do các máy chủ này thường là máy Windows hướng Internet, tức có thể được truy cập từ bên ngoài mạng nội bộ, chúng trở thành mục tiêu hấp dẫn nếu xuất hiện lỗ hổng có thể bị khai thác từ xa. Với các hệ thống kiểu này, chỉ một lỗi nghiêm trọng cũng có thể mở đường cho việc chiếm quyền máy chủ hoặc đánh cắp dữ liệu.

Bối cảnh: ShareFile từng vá lỗi nghiêm trọng cách đây không lâu

Sự cố lần này diễn ra chỉ vài tháng sau khi Progress vá hai lỗ hổng nghiêm trọng trong ShareFile Storage Zone Controller v5. Theo công bố trước đó, hai lỗi này có thể bị xâu chuỗi để tạo thành tấn công RCE chưa cần xác thực. “Xâu chuỗi lỗ hổng” là cách kẻ tấn công kết hợp nhiều điểm yếu riêng lẻ để đạt được tác động lớn hơn, chẳng hạn từ việc vượt qua kiểm tra ban đầu đến chiếm quyền thực thi mã. Dù vậy, Progress hiện chưa xác nhận sự cố mới có liên quan đến các lỗi đã vá hay không.

Lịch sử an ninh mạng của Progress khiến thị trường thêm lo ngại

Progress không phải cái tên xa lạ với các cuộc khủng hoảng an ninh mạng. Trong giai đoạn 2023–2024, hãng từng chịu áp lực lớn sau chiến dịch tấn công hàng loạt vào phần mềm MOVEit Transfer do nhóm ransomware Clop thực hiện. Ransomware là mã độc tống tiền, thường mã hóa hoặc đánh cắp dữ liệu rồi yêu cầu nạn nhân trả tiền chuộc. Vụ MOVEit được xem là một trong những sự cố chuỗi cung ứng phần mềm lớn nhất từng được ghi nhận. “Tấn công chuỗi cung ứng” là kiểu xâm nhập thông qua nhà cung cấp phần mềm hoặc dịch vụ để lan tác động sang nhiều khách hàng cùng lúc. Chính vì tiền lệ đó, việc Progress lần này chọn phương án yêu cầu khách hàng tắt máy chủ ngay lập tức càng làm giới công nghệ chú ý.

Doanh nghiệp nên làm gì lúc này

Với các tổ chức đang dùng ShareFile Storage Zone Controllers, ưu tiên trước mắt là tuân thủ hướng dẫn của Progress, giữ các máy chủ liên quan ở trạng thái tắt hoặc ngoại tuyến cho đến khi có thông báo mới. Đồng thời, đội ngũ CNTT nên rà soát nhật ký hệ thống, hay còn gọi là log, để tìm dấu hiệu bất thường; kiểm tra các kết nối đến từ Internet; và chuẩn bị phương án ứng phó nếu Progress công bố thêm chỉ báo tấn công. Trong bối cảnh chưa có nhiều thông tin kỹ thuật, động thái quyết liệt của nhà cung cấp cho thấy rủi ro tiềm ẩn có thể đủ lớn để việc dừng dịch vụ tạm thời vẫn an toàn hơn tiếp tục vận hành.

Danh mục máy quét mã vạch

Máy quét mã vạch - Quét mã Qr - Quét mã vạch sản phẩm.

DÒNG MÁY CÓ DÂY

máy quét mã vạch không dây

DÒNG MÁY KHÔNG DÂY

DÒNG MÁY KIỂM KHO PDA

DÒNG MÁY FITMOUNT