Mỗi lần vendor release patch CVE là mỗi lần “đếm ngược” bắt đầu. Không phải đếm ngược tới khi server an toàn, mà đếm ngược tới khi bot scan đến IP của bạn. Tại sao?
Cơ chế patch diffing
Vendor publish patch để fix lỗ hổng. Nhưng khi patch release ra, attacker làm điều rất đơn giản: tải bản cũ + bản mới, chạy diff so sánh từng dòng code. Tool có sẵn miễn phí: BinDiff, Ghidra, diffoscope, IDA Free.
Diff xong, attacker thấy được chính xác: vendor đã đụng vào file gì, function gì, sửa logic gì. Từ đó reverse engineer ra “đoạn code cũ sai chỗ nào”. Hiểu được bug = viết được exploit.
Thời gian từ “patch release” đến “exploit công khai trên GitHub” thường chỉ 24 đến 72 giờ. Sau đó mass scanning trên toàn internet tự động hắc các server chưa kịp update.
N-day exploit thống trị
Đây gọi là N-day exploit. 70 đến 90 phần trăm tấn công thành công năm 2025-2026 dùng N-day, không phải 0-day. Tức là kẻ tấn công không cần tìm bug mới, chỉ cần đợi vendor công bố patch, copy idea từ patch, scan internet tìm nạn nhân chưa update.
Ví dụ kinh điển:
- Log4Shell 2021: 1 ngày sau patch, internet bị scan toàn diện
- ProxyShell Exchange 2021: 2 tuần sau patch, 50 nghìn server bị hắc
- Heartbleed OpenSSL 2014: tuần đầu tiên đã có hàng triệu server scan
Tại sao vendor vẫn release patch công khai
Vì giấu cũng không che được:
- Underground market thường đã biết 0-day trước cả researcher
- Responsible disclosure là chuẩn ngành: vendor có 90 ngày fix, sau đó PUBLIC để victim có cơ hội tự cứu
- Không patch thì victim cũng không bao giờ update được
- CVSS score giúp ops biết cái nào critical cần fix trước
Race against attackers
Timeline cụ thể sau mỗi CVE release:
- Day 0: Patch + CVE công bố trên NVD
- Day 1: Researcher và attacker bắt đầu diff
- Day 2: PoC exploit xuất hiện trên GitHub Twitter
- Day 3 đến 7: Exploit weaponized, mass scanning
- Day 7 trở đi: Bot scan toàn internet tự động hắc
Bạn có đúng 3 đến 7 ngày kể từ khi NVD công bố CVE để update. Sau đó server chưa patch sẽ thành mục tiêu.
Áp dụng vào CVE-2026-42945 mới release
Nginx vừa public patch hôm 13/5/2026, CVSS 9.2 CRITICAL:
- Hôm nay 15/5: PoC có thể đã có trên GitHub
- 18 đến 22/5: mass scanning bắt đầu
- Deadline update VPS: trước 18/5
Đây là lý do hosting provider tử tế gửi cảnh báo gấp khi có CVE critical, không phải để doạ khách, mà vì thật sự gấp.
Chiến lược phòng thủ dài hạn
Cho dev và ops Việt:
- Subscribe NVD RSS feed + Nginx security advisories, filter theo product bạn dùng
- VPS production bật unattended-upgrades (Ubuntu) hoặc dnf-automatic (CentOS) để auto-apply security patches
- Snapshot Proxmox trước mỗi update lớn để rollback 1 click nếu patch lỗi
- Defense in depth: WAF Cloudflare proxy phía trước + Fail2ban + CrowdSec + network segmentation
- Test patch trên 1 VPS staging trước khi deploy cluster
- Theo dõi GitHub trending security tools và Twitter của các security researcher uy tín
Bài học cốt lõi
Trong infra security, không có khái niệm “Nginx 9 năm không bug, fix xong yên tâm 9 năm”. Mỗi CVE release là đếm ngược 3 đến 7 ngày tới exploit. Update sớm là sống, chần chừ là chết.
Anh em dev quản lý server VPS hoặc đang dùng Nginx, kiểm tra phiên bản ngay bằng lệnh nginx -v. Nếu dưới 1.30.1, update gấp trong 48 giờ.
Bài chi tiết về CVE-2026-42945 và cách update từng môi trường: Hướng dẫn update Nginx CVE-2026-42945.
TND vận hành hosting VPS từ 2009. Mỗi khi có CVE critical, đội kỹ thuật phản ứng trong 24 giờ và share kiến thức cho cộng đồng dev Việt.
