-
09/04/2020
-
132
-
1.866 bài viết
Lỗ hổng trong MOVEit Automation cho phép vượt xác thực, chiếm quyền hệ thống
Một cảnh báo an ninh mới vừa được phát đi từ Progress Software khi hai lỗ hổng trong nền tảng truyền tải file doanh nghiệp MOVEit Automation được công bố. Trong đó, một lỗ hổng có mức độ nguy hiểm gần như tối đa có thể cho phép kẻ tấn công vượt qua cơ chế xác thực và chiếm quyền điều khiển hệ thống, đặt ra rủi ro lớn đối với các tổ chức đang sử dụng giải pháp này.
Về bản chất, MOVEit Automation là một hệ thống Managed File Transfer (MFT) được nhiều doanh nghiệp sử dụng để tự động hóa việc trao đổi dữ liệu nội bộ và với đối tác. Chính vì đóng vai trò trung tâm trong luồng dữ liệu, bất kỳ lỗ hổng nào trong nền tảng này đều có thể tạo ra tác động dây chuyền đến toàn bộ hệ thống.
Hai lỗ hổng được xác định gồm CVE-2026-4670 với điểm CVSS 9,8 và CVE-2026-5174 với điểm CVSS 7,7. Lỗ hổng đầu tiên là lỗi bypass xác thực, cho phép kẻ tấn công truy cập hệ thống mà không cần đăng nhập hợp lệ. Lỗ hổng thứ hai liên quan đến kiểm tra đầu vào không đầy đủ, có thể bị lợi dụng để leo thang đặc quyền sau khi đã có quyền truy cập ban đầu.
Nguyên nhân cốt lõi nằm ở cách hệ thống xử lý các yêu cầu gửi đến thông qua các cổng giao tiếp backend. Khi cơ chế xác thực và kiểm tra dữ liệu đầu vào không được triển khai chặt chẽ, kẻ tấn công có thể gửi các yêu cầu được “chế tạo” đặc biệt để đánh lừa hệ thống.
Về mặt kỹ thuật, kịch bản khai thác có thể diễn ra theo chuỗi. Trước hết, attacker tận dụng CVE-2026-4670 để vượt qua lớp xác thực và truy cập vào hệ thống. Sau đó, thông qua CVE-2026-5174, chúng có thể nâng quyền lên mức quản trị. Khi đã có quyền admin, kẻ tấn công có thể kiểm soát hoàn toàn các luồng truyền file, truy cập dữ liệu nhạy cảm, hoặc cài cắm mã độc vào hệ thống.
Rủi ro của việc khai thác hai lỗ hổng này không chỉ dừng ở việc truy cập trái phép. Do MOVEit Automation thường xử lý dữ liệu quan trọng như tài liệu nội bộ, dữ liệu khách hàng, hoặc file giao dịch, việc bị xâm nhập có thể dẫn đến rò rỉ dữ liệu trên diện rộng. Trong bối cảnh các chiến dịch tấn công chuỗi cung ứng ngày càng gia tăng, đây là một điểm yếu đặc biệt nguy hiểm.
Hậu quả có thể bao gồm mất dữ liệu, gián đoạn hoạt động, bị mã hóa dữ liệu bởi ransomware, hoặc bị lợi dụng làm bàn đạp tấn công sang các hệ thống khác. Thực tế trước đây, các lỗ hổng trong hệ sinh thái MOVEit từng bị các nhóm ransomware như Cl0p khai thác trên diện rộng, cho thấy mức độ hấp dẫn của mục tiêu này đối với tội phạm mạng.
Các phiên bản bị ảnh hưởng bao gồm nhiều nhánh khác nhau của MOVEit Automation, cụ thể là các bản trước 2025.1.5, 2025.0.9 và 2024.1.8. Hiện tại, Progress Software đã phát hành bản vá và không có giải pháp tạm thời nào có thể thay thế việc cập nhật. Trong bối cảnh chưa ghi nhận khai thác thực tế, đây là “khoảng thời gian vàng” để các tổ chức chủ động phòng ngừa trước khi lỗ hổng bị weaponize rộng rãi.
Từ góc độ chuyên gia an ninh mạng, các khuyến nghị quan trọng bao gồm:
- Cập nhật ngay lập tức MOVEit Automation lên phiên bản đã được vá lỗi
- Kiểm tra log hệ thống để phát hiện các truy cập bất thường liên quan đến backend command ports
- Hạn chế truy cập đến các cổng quản trị, chỉ cho phép từ các IP tin cậy
- Triển khai cơ chế giám sát và phát hiện xâm nhập (IDS/EDR) đối với các hoạt động bất thường
- Rà soát quyền truy cập và phân quyền chặt chẽ trong hệ thống MFT