Một lỗ hổng trong hệ thống email của Canon đang khiến cộng đồng an ninh mạng chú ý khi đã xuất hiện các cuộc tấn công khai thác ngoài thực tế. Chủ yếu ảnh hưởng tới GUARDIANWALL MailSuite (đây là giải pháp bảo mật email do Canon Marketing Japan phát triển và được nhiều doanh nghiệp Nhật Bản sử dụng).
Theo cảnh báo từ JPCERT/CC, lỗ hổng mang mã CVE-2026-32661 là lỗi stack based buffer overflow tồn tại trong lệnh pop3wallpasswd. Lỗi này được chấm điểm CVSS 9,8 và có thể cho phép kẻ tấn công từ xa thực thi mã tùy ý mà không cần xác thực trong một số cấu hình cụ thể.
Các phiên bản GUARDIANWALL MailSuite từ 1.4.00 đến 2.4.26 được xác nhận bị ảnh hưởng. Trong khi đó, phiên bản dịch vụ đám mây GUARDIANWALL Mail Security Cloud đã được vá trong đợt bảo trì ngày 30.4.2026.
Điểm gây lo ngại lớn nhất là Canon xác nhận đã ghi nhận các cuộc tấn công khai thác lỗ hổng này trên phiên bản triển khai tại chỗ của sản phẩm. Điều đó đồng nghĩa đây không còn là nguy cơ lý thuyết mà đã trở thành rủi ro thực tế đối với doanh nghiệp đang sử dụng hệ thống.
Theo phân tích kỹ thuật, lỗ hổng chỉ có thể bị khai thác khi hệ thống được cấu hình để chạy pop3wallpasswd với quyền người dùng grdnwww. Nếu đáp ứng điều kiện này, hacker có thể gửi yêu cầu được chế tạo đặc biệt tới dịch vụ web để thực thi mã độc trên máy chủ mục tiêu.
Theo cảnh báo từ JPCERT/CC, lỗ hổng mang mã CVE-2026-32661 là lỗi stack based buffer overflow tồn tại trong lệnh pop3wallpasswd. Lỗi này được chấm điểm CVSS 9,8 và có thể cho phép kẻ tấn công từ xa thực thi mã tùy ý mà không cần xác thực trong một số cấu hình cụ thể.
Các phiên bản GUARDIANWALL MailSuite từ 1.4.00 đến 2.4.26 được xác nhận bị ảnh hưởng. Trong khi đó, phiên bản dịch vụ đám mây GUARDIANWALL Mail Security Cloud đã được vá trong đợt bảo trì ngày 30.4.2026.
Điểm gây lo ngại lớn nhất là Canon xác nhận đã ghi nhận các cuộc tấn công khai thác lỗ hổng này trên phiên bản triển khai tại chỗ của sản phẩm. Điều đó đồng nghĩa đây không còn là nguy cơ lý thuyết mà đã trở thành rủi ro thực tế đối với doanh nghiệp đang sử dụng hệ thống.
Theo phân tích kỹ thuật, lỗ hổng chỉ có thể bị khai thác khi hệ thống được cấu hình để chạy pop3wallpasswd với quyền người dùng grdnwww. Nếu đáp ứng điều kiện này, hacker có thể gửi yêu cầu được chế tạo đặc biệt tới dịch vụ web để thực thi mã độc trên máy chủ mục tiêu.
JPCERT và Canon đã phát hành bản vá cho khách hàng sử dụng bản on premise. Trong trường hợp chưa thể cập nhật ngay, Canon khuyến nghị quản trị viên tạm thời vô hiệu hóa màn hình quản trị của GUARDIANWALL MailSuite để giảm nguy cơ bị khai thác. Tuy nhiên hãng cũng cảnh báo biện pháp này có thể ảnh hưởng đáng kể tới hoạt động vận hành hệ thống email doanh nghiệp.
Vụ việc đang tạo ra nhiều tranh luận trên mạng xã hội và diễn đàn công nghệ khi một sản phẩm vốn được thiết kế để bảo vệ email doanh nghiệp lại trở thành mục tiêu khai thác nguy hiểm. Nhiều ý kiến cho rằng các hệ thống bảo mật email đang ngày càng trở thành “cửa ngõ vàng” cho tin tặc vì chứa lượng lớn dữ liệu nhạy cảm và thường được kết nối sâu vào hạ tầng nội bộ doanh nghiệp.
Một số chuyên gia cũng cảnh báo việc nhiều tổ chức Nhật Bản sử dụng GUARDIANWALL MailSuite trong môi trường email doanh nghiệp có thể khiến phạm vi ảnh hưởng của lỗ hổng rộng hơn dự kiến nếu các bản vá không được triển khai kịp thời.
Các chuyên gia bảo mật khuyến cáo doanh nghiệp cần:
• Khẩn cấp cập nhật bản vá mới nhất cho GUARDIANWALL MailSuite
• Kiểm tra dấu hiệu xâm nhập trên hệ thống email nội bộ
• Tạm thời vô hiệu hóa giao diện quản trị nếu chưa thể vá ngay
• Giám sát lưu lượng truy cập bất thường tới dịch vụ web mail
• Rà soát quyền thực thi của tài khoản grdnwww
• Tăng cường sao lưu và bảo vệ dữ liệu email doanh nghiệp
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
