-
09/04/2020
-
128
-
1.640 bài viết
ServiceNow phát hành bản vá khẩn cho lỗi thực thi mã từ xa trên AI Platform
Một lỗ hổng nghiêm trọng vừa được phát hiện và khắc phục trên nền tảng AI doanh nghiệp của ServiceNow, cho phép tin tặc thực thi mã từ xa mà không cần bất kỳ bước xác thực nào. Được định danh CVE-2026-0542 với điểm CVSS 9.8, điểm yếu này mở ra nguy cơ xâm nhập trực tiếp vào các hệ thống đang vận hành ServiceNow AI Platform trong môi trường sản xuất, nơi dữ liệu và quy trình nghiệp vụ cốt lõi được xử lý hằng ngày.
Theo thông tin từ hãng, lỗ hổng tồn tại trong cơ chế sandbox của nền tảng AI. Về lý thuyết, sandbox được thiết kế để cô lập mã không tin cậy, ngăn chặn truy cập trái phép tới tài nguyên hệ thống. Tuy nhiên, trong những điều kiện nhất định, kẻ tấn công có thể khai thác lỗi này để vượt qua lớp cô lập và thực thi mã tùy ý bên trong môi trường ServiceNow Sandbox.
CVE-2026-0542 được phân loại là lỗ hổng Remote Code Execution. Điều đáng chú ý là quá trình khai thác không yêu cầu xác thực trước đó. Điều này đồng nghĩa với việc tin tặc có thể tấn công trực tiếp qua mạng, thường thông qua kết nối HTTPS tới các thành phần web, API hoặc module tự động hóa của AI Platform. Nếu khai thác thành công, kẻ tấn công có thể chiếm quyền kiểm soát hệ thống, đánh cắp dữ liệu hoặc thao túng quy trình vận hành nội bộ.
Do chi tiết kỹ thuật chưa được công bố để tránh bị lợi dụng, giới chuyên môn chưa thể phân tích sâu cách khai thác. Tuy vậy, chỉ riêng việc đây là lỗ hổng thực thi mã từ xa không cần xác thực đã đủ để xếp nó vào nhóm rủi ro cao nhất. Kẻ tấn công có thể truy cập thẳng vào hệ thống qua mạng mà không cần tài khoản hay đánh cắp mật khẩu, từ đó rút ngắn đáng kể quá trình xâm nhập và tăng khả năng chiếm quyền kiểm soát.
Trong thông báo bảo mật KB2693566, ServiceNow cho biết đã triển khai bản vá cho các khách hàng sử dụng dịch vụ lưu trữ do hãng quản lý từ ngày 6/1/2026. Các bản cập nhật cũng được phát hành cho khách hàng self-hosted và đối tác triển khai độc lập. Tại thời điểm công bố, hãng khẳng định chưa ghi nhận dấu hiệu khai thác thực tế ngoài môi trường thử nghiệm.
Các bản vá tương ứng đã được phát hành theo từng nhánh sản phẩm:
- Zurich: Patch 4 Hotfix 3b (23/2/2026) và Patch 5 (12/1/2026)
- Yokohama: Patch 10 Hotfix 1b (18/2/2026) và Patch 12 (6/2/2026)
- Xanadu: Patch 11 Hotfix 1a (2/2/2026)
- Australia: Bản vá dự kiến phát hành trong quý II/2026
Các tổ chức đã cập nhật theo đợt vá tháng 1 nhiều khả năng đã được áp dụng bản sửa lỗi tương ứng. Tuy nhiên, với những môi trường tự quản lý hoặc chưa thực hiện cập nhật, đơn vị vận hành cần khẩn trương kiểm tra phiên bản đang sử dụng và triển khai bản vá mới nhất để giảm thiểu nguy cơ bị khai thác.
Hiện nay, nền tảng AI ngày càng được tích hợp sâu vào quy trình vận hành doanh nghiệp, một lỗ hổng ở tầng sandbox không chỉ là vấn đề kỹ thuật. Nó có thể trở thành điểm mở đầu cho chuỗi tấn công nhiều tầng, từ truy cập trái phép, leo thang đặc quyền cho đến gián đoạn dịch vụ hoặc rò rỉ dữ liệu quy mô lớn. Với mức CVSS 9.8 và đặc tính không yêu cầu xác thực, CVE-2026-0542 là lời nhắc rõ ràng rằng các hệ thống AI doanh nghiệp cũng phải được quản trị rủi ro như bất kỳ hạ tầng trọng yếu nào khác.
Hiện nay, nền tảng AI ngày càng được tích hợp sâu vào quy trình vận hành doanh nghiệp, một lỗ hổng ở tầng sandbox không chỉ là vấn đề kỹ thuật. Nó có thể trở thành điểm mở đầu cho chuỗi tấn công nhiều tầng, từ truy cập trái phép, leo thang đặc quyền cho đến gián đoạn dịch vụ hoặc rò rỉ dữ liệu quy mô lớn. Với mức CVSS 9.8 và đặc tính không yêu cầu xác thực, CVE-2026-0542 là lời nhắc rõ ràng rằng các hệ thống AI doanh nghiệp cũng phải được quản trị rủi ro như bất kỳ hạ tầng trọng yếu nào khác.
Theo Cyber Security News
Chỉnh sửa lần cuối: