Hacker hiện khai thác giao thức JDWP bị lộ để chiếm quyền hệ thống, tiến hành đào tiền điện tử trái phép.
Giao thức Java Debug Wire Protocol (JDWP) khi không được bảo mật đúng cách tạo lỗ hổng nghiêm trọng, cho phép kẻ tấn công thực thi mã độc và vận hành miner ngầm trên hệ thống bị xâm nhập.
- JDWP thiếu kiểm soát truy cập, dễ bị hacker lợi dụng để remote code execution.
- Các cuộc tấn công sử dụng miner XMRig tùy biến cài ngầm tránh bị phát hiện.
- Lượng quét JDWP lớn với hàng nghìn IP độc hại, xuất phát từ nhiều quốc gia trên thế giới.
JDWP là gì và tại sao lại trở thành mục tiêu tấn công?
Theo chuyên gia an ninh mạng từ công ty Wiz, JDWP là giao thức hỗ trợ debug trong Java nhưng không có cơ chế kiểm soát truy cập chặt chẽ. Điều này khiến JDWP trở thành điểm yếu chiến lược, tạo điều kiện để hacker truy cập, chiếm quyền điều khiển các ứng dụng Java trên máy tính hoặc server từ xa.
Các phần mềm phổ biến như TeamCity, Jenkins hay Apache Tomcat khi bật debug thường sẽ mở JDWP mà không cảnh báo rủi ro, khiến nhiều hệ thống dễ bị tấn công RCE (Remote Code Execution) qua cổng 5005.
“JDWP không được bật mặc định, nhưng thường được kích hoạt trong môi trường phát triển mà các nhà phát triển không rõ ràng về nguy cơ bảo mật.”
Trích lời nhà nghiên cứu đội ngũ Wiz, 7/2025
Hacker khai thác JDWP để thực hiện hành vi đào tiền điện tử như thế nào?
Các chuyên gia bảo mật quan sát qua hệ thống honeypot cho thấy hacker quét mạng tìm cổng 5005 mở JDWP, sau đó thực hiện handshake xác nhận giao thức, rồi chèn mã lệnh để triển khai miner XMRig đã được chỉnh sửa để tránh phát hiện.
Miner này được tải về từ máy chủ ngoài, chạy ngầm trong thư mục cấu hình thông thường với tên giả mạo process logrotate, đồng thời loại bỏ các tiến trình đào tiền điện tử khác để tăng hiệu suất và tạo persistence qua cron job.
“XMRig phiên bản được chỉnh sửa giúp payload ngụy trang thành process hợp lệ, tránh bị phát hiện bởi các hệ thống bảo vệ.”
Wiz Security Team, 7/2025
Quy mô và mức độ tấn công khai thác JDWP hiện nay ra sao?
Theo dữ liệu từ GreyNoise, trong vòng 24 giờ có tới hơn 2.600 địa chỉ IP thực hiện quét tìm JDWP, trong đó khoảng 1.500 IP được cho là độc hại và 1.100 IP có dấu hiệu khả nghi. Các IP này chủ yếu đến từ Hong Kong, Đức, Hoa Kỳ, Singapore và Trung Quốc.
Việc quét rộng và tấn công liên tục cho thấy sự phổ biến và rủi ro nghiêm trọng của JDWP bị lộ với các hệ thống phát triển và vận hành dịch vụ microservice sử dụng Java.
Những biện pháp nào giúp phòng chống tấn công qua JDWP hiệu quả?
Nhóm chuyên gia bảo mật Wiz khuyến nghị các tổ chức nên tắt JDWP hoặc chỉ cho phép truy cập trong mạng nội bộ, kiểm tra cấu hình thiếu sót ở môi trường debug và áp dụng firewall để chặn truy cập không hợp lệ.
Việc cập nhật kịp thời phần mềm và áp dụng giải pháp giám sát an ninh mạng giúp phát hiện hành vi lạ, giảm thiểu nguy cơ bị cài miner đào tiền điện tử và các mã độc khác.
| Biện pháp | Mô tả | Lợi ích chính |
|---|---|---|
| Tắt JDWP khi không dùng | Chỉ bật chế độ debug khi cần trong môi trường kiểm thử nội bộ | Ngăn chặn truy cập trái phép từ bên ngoài |
| Áp dụng Firewall | Chặn cổng 5005 ngoài mạng nội bộ | Giảm thiểu các cuộc quét và tấn công mạng |
| Giám sát Logs & Traffic | Phát hiện sớm hành vi bất thường | Kịp thời phản ứng với các cuộc tấn công mới |
Những câu hỏi thường gặp
- JDWP là gì?
JDWP là giao thức debug của Java, giúp gỡ lỗi ứng dụng nhưng dễ bị tấn công nếu không kiểm soát truy cập.
- Hacker khai thác JDWP để làm gì?
Chúng dùng JDWP để thực thi mã độc, đặc biệt là cài miner đào tiền điện tử ngầm trên hệ thống.
- Làm sao nhận biết hệ thống bị tấn công qua JDWP?
Có thể phát hiện qua lưu lượng cổng 5005 bất thường hoặc tiến trình miner XMRig hoạt động trái phép.
- Biện pháp bảo vệ hiệu quả nhất?
Tắt JDWP ngoài môi trường phát triển, giới hạn truy cập chỉ trong mạng nội bộ và giám sát kỹ hoạt động hệ thống.
- Đâu là các phần mềm dễ bị ảnh hưởng?
TeamCity, Jenkins, Apache Tomcat, Spring Boot, Elasticsearch và một số ứng dụng Java khi bật debug.
