Lỗ hổng trong ShareFile: Nguy cơ chiếm quyền máy chủ chỉ với hai bước tấn công

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
128
1.774 bài viết
Lỗ hổng trong ShareFile: Nguy cơ chiếm quyền máy chủ chỉ với hai bước tấn công
WhiteHat Team
Một chuỗi lỗ hổng bảo mật nghiêm trọng vừa được các nhà nghiên cứu tại watchTowr Labs công bố đang đặt hàng chục nghìn hệ thống doanh nghiệp vào tình trạng rủi ro cao. Mục tiêu là thành phần ShareFile Storage Zone Controller (một gateway chia sẻ tệp nội bộ được triển khai rộng rãi trong các môi trường doanh nghiệp). Đáng chú ý, kẻ tấn công không cần bất kỳ thông tin đăng nhập nào vẫn có thể chiếm toàn quyền máy chủ chỉ trong hai bước khai thác đơn giản, mở ra nguy cơ tấn công ransomware và đánh cắp dữ liệu trên diện rộng.
1775471406302.png

Theo công bố từ watchTowr Labs, chuỗi tấn công này bao gồm hai lỗ hổng mang mã CVE-2026-2699 và CVE-2026-2701, ảnh hưởng trực tiếp đến ShareFile Storage Zone Controller (một thành phần triển khai tại chỗ của hệ thống Progress ShareFile).

Khác với phiên bản SaaS trên nền tảng đám mây, Storage Zone Controller được nhiều tổ chức sử dụng để kiểm soát dữ liệu nội bộ nhằm đáp ứng yêu cầu về tuân thủ và chủ quyền dữ liệu. Chính điều này khiến nó trở thành mục tiêu hấp dẫn cho các nhóm APT và ransomware.

Hiện có khoảng 30.000 hệ thống đang phơi bày trên Internet, tạo thành một bề mặt tấn công cực lớn.​

Nguyên nhân và bản chất kỹ thuật của lỗ hổng​

Chuỗi khai thác bắt nguồn từ một lỗi logic trong mã nguồn C# của hệ thống.

Lỗ hổng đầu tiên (CVE-2026-2699) là một dạng bypass xác thực (authentication bypass) xảy ra tại trang quản trị /ConfigService/Admin.aspx.

Về nguyên tắc, khi truy cập trái phép, hệ thống sẽ chuyển hướng (HTTP 302 redirect) người dùng đến trang đăng nhập. Tuy nhiên, lập trình viên đã cấu hình sai hàm .Redirect() bằng cách truyền tham số Boolean là false, khiến server không dừng thực thi sau khi redirect.

Đây là một lỗi kinh điển gọi là Execution After Redirect (EAR) tức là dù bị chuyển hướng, phần code phía sau vẫn tiếp tục chạy.

Kẻ tấn công chỉ cần:​
  • Chặn phản hồi HTTP​
  • Xóa header Location​
=> Là có thể truy cập trực tiếp vào panel quản trị mà không cần đăng nhập​

Cơ chế khai thác: Từ bypass đến chiếm quyền máy chủ​

Sau khi có quyền quản trị, lỗ hổng thứ hai (CVE-2026-2701) cho phép thực thi mã từ xa (RCE).

Cụ thể:

Hệ thống cho phép admin cấu hình đường dẫn lưu file (Network Share Location). Tuy có kiểm tra quyền đọc/ghi, nhưng lại không kiểm tra tính an toàn của đường dẫn.

Kẻ tấn công sẽ:​
  1. Thay đổi đường dẫn lưu file về thư mục webroot: C:\inetpub\wwwroot\ShareFile\StorageCenter\documentum
  2. Upload một file độc hại dạng ASPX web shell​
  3. Truy cập file qua trình duyệt​
=> Ngay lập tức có quyền điều khiển từ xa toàn bộ máy chủ

Toàn bộ quá trình chỉ gồm 2 bước:​
  • Bypass xác thực​
  • Upload web shell​

Mức độ nguy hiểm và bối cảnh đe dọa​

Mặc dù chưa có điểm CVSS chính thức được công bố, nhưng xét theo khả năng:​
  • Không cần xác thực​
  • Khai thác từ xa​
  • Chiếm toàn quyền hệ thống​
=> Đây có thể được xếp vào mức Critical (CVSS ~9.8–10.0)

Đáng lo ngại hơn, lỗ hổng này xuất hiện trong bối cảnh các nền tảng Managed File Transfer (MFT) đang trở thành mục tiêu hàng đầu của tin tặc.

Trước đó, hàng loạt sự cố lớn đã xảy ra với:​
  • MOVEit Transfer​
  • GoAnywhere MFT​
  • Cleo Harmony​
Các chiến dịch này thường dẫn đến:​
  • Rò rỉ dữ liệu quy mô lớn​
  • Tấn công chuỗi cung ứng​
  • Triển khai ransomware hàng loạt​

Rủi ro và hậu quả khi bị khai thác​

Nếu bị khai thác thành công, hệ thống có thể đối mặt với:​
  • Bị cài web shell, duy trì truy cập lâu dài​
  • Đánh cắp dữ liệu nhạy cảm (tài chính, IP, khách hàng)​
  • Triển khai ransomware mã hóa toàn bộ hệ thống​
  • Sử dụng làm bàn đạp tấn công sâu vào mạng nội bộ​
  • Mất kiểm soát hạ tầng và gián đoạn hoạt động doanh nghiệp​
Đặc biệt nguy hiểm với:​
  • Tổ chức tài chính​
  • Doanh nghiệp lớn​
  • Cơ quan chính phủ​

Phạm vi ảnh hưởng và tình trạng vá lỗi​

Lỗ hổng ảnh hưởng đến ShareFile Storage Zone Controller phiên bản 5.x, được xây dựng trên nền tảng ASP.NET.

watchTowr xác nhận khai thác thành công trên phiên bản 5.12.3.

Progress Software đã phát hành bản vá trong phiên bản:​
  • 5.12.4 (ngày 10/03/2026)​
Các hệ thống sử dụng cloud-only (SaaS) không bị ảnh hưởng.​

Khuyến nghị từ chuyên gia an ninh mạng​

Các chuyên gia khuyến cáo tổ chức cần coi đây là tình huống khẩn cấp và thực hiện ngay các biện pháp sau:​
  • Cập nhật ngay lên phiên bản 5.12.4 hoặc mới hơn​
  • Kiểm tra log truy cập đến các endpoint nhạy cảm như /ConfigService/Admin.aspx​
  • Rà soát thư mục webroot để phát hiện file .aspx bất thường​
  • Kiểm tra cấu hình đường dẫn lưu trữ file có bị thay đổi trái phép hay không​
  • Triển khai phân đoạn mạng (network segmentation), hạn chế truy cập từ Internet​
  • Đặt hệ thống sau firewall và chỉ cho phép IP tin cậy truy cập​
Ngoài ra, với các hệ thống chưa kịp vá:​
  • Cần giả định đã bị xâm nhập​
  • Kích hoạt quy trình Incident Response​
  • Thực hiện forensic và kiểm tra toàn diện hệ thống​
Theo Cyber Press
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Lỗ hổng zero-day trên FortiClient EMS: Tin tặc đã khai thác ngoài thực tế
  • Chiến dịch thao túng tâm lý quy mô lớn nhắm vào các "kiến trúc sư" Node.js
  • Tiến hóa ransomware: “Tống tiền đa lớp” trở thành xu hướng tấn công mới của tin tặc
  • Mã độc VBS phát tán qua WhatsApp, vượt qua lớp bảo vệ quan trọng của Windows
  • Cisco vá 2 lỗ hổng nghiêm trọng cho phép chiếm quyền hệ thống từ xa
  • Lỗ hổng nghiêm trọng trong Next.js bị khai thác, hơn 700 máy chủ kêu cứu
    • Thẻ
    cve-2026-2699 cve-2026-2701 sharefile
    Bên trên