-
09/04/2020
-
122
-
1.280 bài viết
N-able N-central lộ chuỗi lỗ hổng nghiêm trọng cho phép truy cập dữ liệu nhạy cảm
N-able N-central là nền tảng quản lý và giám sát từ xa được nhiều doanh nghiệp và nhà cung cấp dịch vụ sử dụng rộng rãi. Gần đây, các chuyên gia phát hiện nhiều lỗ hổng bảo mật nghiêm trọng, cho phép kẻ tấn công truy cập dữ liệu nhạy cảm mà không cần xác thực. Sự việc này gây lo ngại về an toàn cho hàng nghìn hệ thống N-central trên toàn cầu.
Các nhà nghiên cứu bảo mật cho biết chuỗi lỗ hổng mới cho phép tin tặc bỏ qua bước xác thực và truy cập vào các API cũ vốn chưa bị loại bỏ hoàn toàn. Từ đó, chúng có thể đọc được các tệp cấu hình chứa thông tin cực kỳ nhạy cảm, bao gồm tài khoản cơ sở dữ liệu, khóa API và khóa SSH riêng. Khi những dữ liệu này bị rò rỉ, toàn bộ hạ tầng N‑central của tổ chức có thể bị kiểm soát từ xa.
Trước đây, cộng đồng đã tập trung vào hai lỗ hổng yêu cầu xác thực là CVE-2025-8875 và CVE-2025-8876 sau khi CISA đưa chúng vào danh sách Known Exploited Vulnerabilities. Tuy nhiên, các phân tích mới cho thấy mức độ rủi ro lớn hơn nhiều vì chỉ với cấu hình mặc định và các API cũ, kẻ tấn công không cần bất kỳ phiên đăng nhập hợp lệ nào vẫn có thể tiếp cận dữ liệu nhạy cảm và mở đường cho các bước tấn công sâu hơn.
Theo dữ liệu từ Shodan, hiện có khoảng 3.000 instance N-central mở truy cập trực tiếp ra Internet, khiến khả năng các lỗ hổng mới bị khai thác trong thực tế tăng đáng kể. Chuỗi tấn công bắt đầu với CVE‑2025‑9316, một lỗi bỏ qua xác thực trong phương thức sessionHello thuộc SOAP API cũ. Khi được gọi, endpoint này tự động trả về session ID hợp lệ của các thiết bị tích hợp sẵn trong hệ thống. Điều đáng nói là cơ sở dữ liệu mặc định của N-central chứa một số thiết bị loại này với mật khẩu tĩnh và giống nhau trên mọi cài đặt. Nhờ đó, kẻ tấn công có thể lấy session ID hợp lệ mà không cần trải qua bất kỳ bước xác thực nào.
Khi lỗ hổng CVE‑2025‑9316 được kết hợp với CVE‑2025‑11700, mức độ nguy hiểm tăng lên đáng kể. CVE‑2025‑11700 là lỗi xử lý thực thể XML (XXE) trong phương thức importServiceTemplateFromFile, cho phép kẻ tấn công gửi dữ liệu XML tùy ý và buộc hệ thống đọc các tệp trên máy chủ. Nhờ đó, tin tặc có thể truy cập vào nhiều tệp quan trọng như /etc/passwd, các tệp log chứa session ID của người dùng và đặc biệt là ncbackup.conf - tệp sao lưu của N‑central lưu thông tin đăng nhập ở dạng rõ.
Một khi tệp sao lưu này bị lộ, kẻ tấn công có thể giải mã toàn bộ cơ sở dữ liệu cùng các keystore và mật khẩu chính. Điều này kéo theo việc lộ tài khoản miền, khóa API của người dùng N‑central, khóa API của các thiết bị tích hợp và cả khóa SSH riêng, tạo điều kiện để chiếm quyền kiểm soát toàn bộ hệ thống.
Ngoài chuỗi lỗ hổng mới phát hiện, hai lỗ hổng từng được công bố là CVE‑2025‑8875 và CVE‑2025‑8876 cũng tiếp tục làm gia tăng mức độ rủi ro cho các phiên bản N‑central trước 2025.3.0.14. Lỗ hổng CVE‑2025‑8875 xuất phát từ cơ chế giải tuần tự dữ liệu không an toàn, khiến máy chủ có thể nạp và xử lý dữ liệu do kẻ tấn công kiểm soát. Còn CVE‑2025‑8876 cho phép chèn lệnh, tạo điều kiện để kẻ tấn công yêu cầu hệ thống chạy các lệnh tùy ý. Hai lỗ hổng này chỉ có thể khai thác khi kẻ tấn công có được session ID hợp lệ, nhưng một khi điều kiện đó bị đáp ứng, hệ thống có nguy cơ bị điều khiển sâu hơn và trở thành điểm xuất phát cho các cuộc tấn công tiếp theo.
N-able đã phát hành bản vá 2025.4.0.9 vào ngày 5/11/2025, vô hiệu hóa các SOAP API cũ theo mặc định để khắc phục các lỗ hổng nghiêm trọng này. Tuy nhiên, các tổ chức đang sử dụng phiên bản cũ vẫn nằm trong diện nguy cơ cao. Dấu hiệu khai thác XXE có thể xuất hiện trong log ứng dụng dưới dạng lỗi import hoặc báo cáo exception, bao gồm nội dung tập tin bị rò rỉ.
Các chuyên gia khuyến nghị các tổ chức nâng cấp ngay lên phiên bản N‑central 2025.4.0.9 hoặc mới hơn. Bên cạnh việc cập nhật, quản trị viên cần rà soát log trong mục Administration Utilities để phát hiện các yêu cầu bất thường liên quan đến importServiceTemplateFromFile. Việc giám sát dấu hiệu của tấn công XXE cũng được nhấn mạnh, đặc biệt là các tệp XML chứa tham chiếu DTD bên ngoài trỏ về hạ tầng của kẻ tấn công.
Các nhà nghiên cứu bảo mật cho biết chuỗi lỗ hổng mới cho phép tin tặc bỏ qua bước xác thực và truy cập vào các API cũ vốn chưa bị loại bỏ hoàn toàn. Từ đó, chúng có thể đọc được các tệp cấu hình chứa thông tin cực kỳ nhạy cảm, bao gồm tài khoản cơ sở dữ liệu, khóa API và khóa SSH riêng. Khi những dữ liệu này bị rò rỉ, toàn bộ hạ tầng N‑central của tổ chức có thể bị kiểm soát từ xa.
Trước đây, cộng đồng đã tập trung vào hai lỗ hổng yêu cầu xác thực là CVE-2025-8875 và CVE-2025-8876 sau khi CISA đưa chúng vào danh sách Known Exploited Vulnerabilities. Tuy nhiên, các phân tích mới cho thấy mức độ rủi ro lớn hơn nhiều vì chỉ với cấu hình mặc định và các API cũ, kẻ tấn công không cần bất kỳ phiên đăng nhập hợp lệ nào vẫn có thể tiếp cận dữ liệu nhạy cảm và mở đường cho các bước tấn công sâu hơn.
Theo dữ liệu từ Shodan, hiện có khoảng 3.000 instance N-central mở truy cập trực tiếp ra Internet, khiến khả năng các lỗ hổng mới bị khai thác trong thực tế tăng đáng kể. Chuỗi tấn công bắt đầu với CVE‑2025‑9316, một lỗi bỏ qua xác thực trong phương thức sessionHello thuộc SOAP API cũ. Khi được gọi, endpoint này tự động trả về session ID hợp lệ của các thiết bị tích hợp sẵn trong hệ thống. Điều đáng nói là cơ sở dữ liệu mặc định của N-central chứa một số thiết bị loại này với mật khẩu tĩnh và giống nhau trên mọi cài đặt. Nhờ đó, kẻ tấn công có thể lấy session ID hợp lệ mà không cần trải qua bất kỳ bước xác thực nào.
Khi lỗ hổng CVE‑2025‑9316 được kết hợp với CVE‑2025‑11700, mức độ nguy hiểm tăng lên đáng kể. CVE‑2025‑11700 là lỗi xử lý thực thể XML (XXE) trong phương thức importServiceTemplateFromFile, cho phép kẻ tấn công gửi dữ liệu XML tùy ý và buộc hệ thống đọc các tệp trên máy chủ. Nhờ đó, tin tặc có thể truy cập vào nhiều tệp quan trọng như /etc/passwd, các tệp log chứa session ID của người dùng và đặc biệt là ncbackup.conf - tệp sao lưu của N‑central lưu thông tin đăng nhập ở dạng rõ.
Một khi tệp sao lưu này bị lộ, kẻ tấn công có thể giải mã toàn bộ cơ sở dữ liệu cùng các keystore và mật khẩu chính. Điều này kéo theo việc lộ tài khoản miền, khóa API của người dùng N‑central, khóa API của các thiết bị tích hợp và cả khóa SSH riêng, tạo điều kiện để chiếm quyền kiểm soát toàn bộ hệ thống.
Ngoài chuỗi lỗ hổng mới phát hiện, hai lỗ hổng từng được công bố là CVE‑2025‑8875 và CVE‑2025‑8876 cũng tiếp tục làm gia tăng mức độ rủi ro cho các phiên bản N‑central trước 2025.3.0.14. Lỗ hổng CVE‑2025‑8875 xuất phát từ cơ chế giải tuần tự dữ liệu không an toàn, khiến máy chủ có thể nạp và xử lý dữ liệu do kẻ tấn công kiểm soát. Còn CVE‑2025‑8876 cho phép chèn lệnh, tạo điều kiện để kẻ tấn công yêu cầu hệ thống chạy các lệnh tùy ý. Hai lỗ hổng này chỉ có thể khai thác khi kẻ tấn công có được session ID hợp lệ, nhưng một khi điều kiện đó bị đáp ứng, hệ thống có nguy cơ bị điều khiển sâu hơn và trở thành điểm xuất phát cho các cuộc tấn công tiếp theo.
N-able đã phát hành bản vá 2025.4.0.9 vào ngày 5/11/2025, vô hiệu hóa các SOAP API cũ theo mặc định để khắc phục các lỗ hổng nghiêm trọng này. Tuy nhiên, các tổ chức đang sử dụng phiên bản cũ vẫn nằm trong diện nguy cơ cao. Dấu hiệu khai thác XXE có thể xuất hiện trong log ứng dụng dưới dạng lỗi import hoặc báo cáo exception, bao gồm nội dung tập tin bị rò rỉ.
Các chuyên gia khuyến nghị các tổ chức nâng cấp ngay lên phiên bản N‑central 2025.4.0.9 hoặc mới hơn. Bên cạnh việc cập nhật, quản trị viên cần rà soát log trong mục Administration Utilities để phát hiện các yêu cầu bất thường liên quan đến importServiceTemplateFromFile. Việc giám sát dấu hiệu của tấn công XXE cũng được nhấn mạnh, đặc biệt là các tệp XML chứa tham chiếu DTD bên ngoài trỏ về hạ tầng của kẻ tấn công.
Theo Cyber Press