-
09/04/2020
-
128
-
1.688 bài viết
CISA cảnh báo lỗ hổng SolarWinds Web Help Desk có thể chiếm quyền máy chủ
Một lỗ hổng nghiêm trọng vừa được phát hiện trong hệ thống SolarWinds Web Help Desk, phần mềm quản lý hỗ trợ kỹ thuật được nhiều tổ chức doanh nghiệp sử dụng. Lỗ hổng này cho phép kẻ tấn công thực thi các lệnh trái phép trực tiếp trên máy chủ chạy ứng dụng, mở ra nguy cơ chiếm quyền kiểm soát hệ thống nếu không được xử lý kịp thời.
Lỗ hổng được định danh là CVE-2025-26399 với điểm CVSS 9.8/10. Do mức độ rủi ro cao và đã xuất hiện dấu hiệu bị khai thác ngoài thực tế, Cơ quan An ninh mạng và Hạ tầng Hoa Kỳ (CISA) đã đưa lỗ hổng này vào danh mục Known Exploited Vulnerabilities. Đây là danh sách các lỗ hổng đã bị tin tặc khai thác trong các cuộc tấn công thực tế và cần được khắc phục khẩn cấp.
Theo phân tích kỹ thuật, lỗ hổng bắt nguồn từ lỗi deserialization, được phân loại theo chuẩn CWE-502. Điểm yếu tồn tại trong thành phần AjaxProxy của SolarWinds Web Help Desk, bộ phận chịu trách nhiệm tiếp nhận và xử lý các dữ liệu gửi đến từ phía người dùng.
Trong hoạt động bình thường, deserialization là quá trình phần mềm giải mã dữ liệu đã được định dạng sẵn thành các đối tượng mà hệ thống có thể đọc và sử dụng. Tuy nhiên, khi dữ liệu đầu vào đến từ nguồn không đáng tin cậy mà không được kiểm tra đầy đủ, quá trình này có thể trở thành lỗ hổng nghiêm trọng.
Ở trường hợp của CVE-2025-26399, thành phần AjaxProxy không xác thực đầy đủ nội dung của dữ liệu trước khi tiến hành deserialization. Kẻ tấn công có thể gửi các payload được chế tạo đặc biệt để đánh lừa hệ thống. Khi ứng dụng xử lý các dữ liệu này, các đối tượng độc hại sẽ được nạp trực tiếp vào bộ nhớ và thực thi. Điều này cho phép tin tặc chạy các lệnh tùy ý trên máy chủ đang vận hành hệ thống help desk.
Một khi khai thác thành công, kẻ tấn công gần như có toàn quyền kiểm soát máy chủ. Từ vị trí này, chúng có thể truy cập và đánh cắp dữ liệu nhạy cảm của tổ chức, thao túng tài khoản người dùng hoặc quản trị viên, đồng thời sử dụng máy chủ làm điểm trung chuyển để tiếp tục xâm nhập sâu hơn vào mạng nội bộ.
Hiện chưa có bằng chứng cho thấy các nhóm ransomware đang tích cực tận dụng lỗ hổng này trong chiến dịch tống tiền. Tuy nhiên việc CISA đưa CVE-2025-26399 vào danh mục lỗ hổng đang bị khai thác cho thấy tin tặc đã bắt đầu lợi dụng điểm yếu này trong các cuộc tấn công thực tế. Các hệ thống SolarWinds Web Help Desk có thể truy cập từ Internet được đánh giá là đối tượng có nguy cơ bị xâm nhập cao nhất.
Ngày 9/3/2026, CISA đã chính thức bổ sung CVE-2025-26399 vào danh sách các lỗ hổng phải xử lý theo chỉ thị Binding Operational Directive 22-01. Theo yêu cầu này, các cơ quan thuộc nhánh hành pháp liên bang Mỹ phải hoàn tất việc khắc phục trước ngày 12/3/2026. Dù quy định chủ yếu áp dụng cho cơ quan chính phủ, các chuyên gia an ninh mạng khuyến cáo doanh nghiệp tư nhân cũng nên xử lý lỗ hổng với mức độ khẩn cấp tương tự.
Các tổ chức đang sử dụng SolarWinds Web Help Desk được khuyến nghị cập nhật bản vá bảo mật mới nhất do SolarWinds phát hành để khắc phục thành phần AjaxProxy. Trong trường hợp chưa thể triển khai bản vá ngay lập tức, giải pháp an toàn nhất là tạm ngừng sử dụng hệ thống và ngắt kết nối khỏi mạng để giảm nguy cơ bị khai thác. Đồng thời, đội ngũ an ninh cần theo dõi nhật ký hệ thống nhằm phát hiện các dấu hiệu bất thường như việc thực thi lệnh trái phép, truy cập quản trị không rõ nguồn gốc hoặc lưu lượng mạng outbound bất thường.
Sự cố này tiếp tục cho thấy các lỗi deserialization không an toàn vẫn là một trong những điểm yếu nguy hiểm trong các ứng dụng doanh nghiệp. Khi bị khai thác, chúng có thể biến những hệ thống quản trị nội bộ thành cửa hậu giúp tin tặc chiếm quyền kiểm soát máy chủ và mở rộng phạm vi tấn công trong toàn bộ hạ tầng mạng của tổ chức.
Theo Cyber Security News