Việt Nam nằm trong nhóm quốc gia có nguy cơ cao bị tấn công bởi lỗ hổng Session Reaper của Adobe

Hơn 95.000 máy chủ Magento (Adobe Commerce) đang bị tấn công bởi một lỗ hổng nghiêm trọng có tên gọi Session Reaper, cho phép tin tặc lợi dụng phiên đăng nhập của người dùng để thực thi mã từ xa và kiểm soát toàn bộ hệ thống…

Doanh nghiệp Việt cần khẩn trương ứng phó trước lỗ hổng nền tảng thương mại điện tử Session Reaper của Adobe.
Doanh nghiệp Việt cần khẩn trương ứng phó trước lỗ hổng nền tảng thương mại điện tử Session Reaper của Adobe.

Theo thông tin vừa được công ty an ninh mạng Bkav phát đi, lỗ hổng Session Reaper xuất phát từ cách Magento xử lý dữ liệu thông qua Web API, cho phép kẻ tấn công chèn nội dung độc hại vào phiên làm việc (session) và tải lên web shell – tệp mã độc giúp duy trì quyền truy cập và điều khiển máy chủ.

Chỉ trong 48 giờ sau khi mã khai thác công khai, thế giới đã ghi nhận hơn 300 cuộc tấn công tự động nhắm vào hơn 130 máy chủ Magento.

Khai thác thành công, tin tặc có thể chiếm quyền quản trị hệ thống, rò rỉ dữ liệu thanh toán hoặc tạo tài khoản quản trị giả để mở rộng phạm vi tấn công. Các phiên bản Adobe Commerce và Magento Open Source phát hành trước tháng 10/2025, bao gồm các nhánh từ 2.4.9-alpha2 trở xuống đều dính lỗ hổng này.

Theo thống kê của Sansec Shield, dù Adobe đã phát hành bản vá khẩn cấp từ đầu tháng 9, đến nay vẫn còn khoảng 62% cửa hàng Magento chưa được cập nhật.

Với hơn 95.000 máy chủ Magento đang hoạt động công khai trên toàn cầu, con số này đồng nghĩa hàng nghìn website thương mại điện tử vẫn đang trong tình trạng dễ bị tấn công. Việc chậm trễ cập nhật chỉ một ngày cũng có thể khiến doanh nghiệp chịu thiệt hại nặng nề.

Chuyên gia an ninh mạng Bkav cảnh báo, Việt Nam nằm trong nhóm quốc gia có nguy cơ cao bị tấn công bởi lỗ hổng Session Reaper.

Tại Việt Nam, rất nhiều sàn thương mại điện tử, trong đó phải kể đến hàng trăm thương hiệu nổi tiếng trong lĩnh vực bán lẻ, thời trang và công nghệ… đang sử dụng Magento. Do đó, doanh nghiệp Việt Nam cần khẩn trương ứng phó lỗ hổng này.

Ngoài ra, các nghiên cứu, khảo sát từ quá trình xử lý sự cố an ninh mạng của Bkav cho thấy đây là nhóm mục tiêu dễ bị tổn thương nhất vì hầu hết hệ thống không có quy trình vá lỗi định kỳ hoặc thiếu lớp phòng thủ ở tầng ứng dụng (WAF).

Trong khi đó, các phiên bản Magento cũ hoặc module REST API chưa được kiểm soát được đánh giá là nhóm rủi ro cao, có khả năng bị tin tặc khai thác nhanh nếu không cập nhật kịp thời.

Bkav khuyến nghị các quản trị viên hệ thống Magento tại Việt Nam cần khẩn trương cập nhật bản vá chính thức từ Adobe, đồng thời kích hoạt tường lửa ứng dụng web (WAF) để lọc và chặn các gói tin bất thường.

“Các doanh nghiệp nên rà soát toàn bộ hệ thống, đặc biệt là kiểm tra sự xuất hiện của tệp PHP lạ trong thư mục, xem lại các tài khoản quản trị mới phát sinh. Trường hợp nghi ngờ bị xâm nhập, cần cách ly máy chủ, khôi phục từ bản sao lưu sạch và thay đổi toàn bộ mật khẩu, khóa truy cập”, chuyên gia an ninh mạng Bkav khuyến cáo.

AI agent tiêu thụ điện nhiều gấp 137 lần chatbot AI

Một nghiên cứu mới cho thấy AI agent, thế hệ trí tuệ nhân tạo có khả năng tự lập kế hoạch và thực hiện nhiều tác vụ phức tạp, tiêu thụ điện năng cho mỗi truy vấn cao gấp 137 lần chatbot AI truyền thống...

15 thuật ngữ AI cần biết

AI không chỉ tác động sâu rộng đến nhiều lĩnh vực, mà còn kéo theo sự xuất hiện của hàng loạt thuật ngữ mới. Dưới đây là cách diễn giải ngắn gọn, dễ hiểu 15 khái niệm thường gặp được TechCrunch tổng hợp trong lĩnh vực này...

Ba yếu tố tích cực khiến nguồn vốn FDI tăng mạnh trong 6 tháng đầu năm 2026

Thông tin từ Bộ Tài chính cho thấy, vốn đầu tư thực hiện toàn xã hội trong sáu tháng đầu năm 2026 ước đạt 1.807,8 nghìn tỷ đồng, tăng 12,9% so với cùng kỳ năm trước. Vốn FDI sáu tháng đạt 13,03 tỷ USD, đạt mức cao nhất sáu tháng đầu năm của các năm từ 2022 đến nay. Có ba yếu tố tích cực khiến nguồn vốn FDI tăng mạnh…

Nhìn lại di sản và thành tựu của Thời báo Kinh tế Việt Nam (nay là Tạp chí Kinh tế Việt Nam) trong 35 năm qua, giá trị lớn nhất không chỉ đo bằng lượng thông tin phục vụ bạn đọc hàng ngày, hàng giờ, cũng không chỉ ở tên gọi và số lượng các ấn phấm báo chí đã phát hành, mà còn được thể hiện ở tư duy bứt phá của những thế hệ lãnh đạo được giao nhiệm vụ thực hiện sứ mệnh phát triển “dòng thông tin kinh tế phục vụ công cuộc kiến tạo và phát triển đất nước”.

VnEconomy Interactive

VnEconomy Interactive

Interactive là một sản phẩm báo chí mới của VnEconomy vừa được ra mắt bạn đọc từ đầu tháng 3/2023 đã gây ấn tượng mạnh với độc giả bởi sự mới lạ, độc đáo. Đây cũng là sản phẩm độc quyền chỉ có trên...

VnEconomy
VnEconomy