-
09/04/2020
-
123
-
1.485 bài viết
SmarterMail dính lỗ hổng RCE 10 điểm, cho phép chiếm quyền điều khiển máy chủ từ xa
Một lỗ hổng thực thi mã từ xa nghiêm trọng cho phép tấn công không cần xác thực vừa được phát hiện trong SmarterMail, nền tảng máy chủ email và cộng tác do SmarterTools phát triển. Lỗ hổng này được đánh giá mức tối đa 10.0 theo thang điểm CVSS, cho thấy mức độ rủi ro đặc biệt cao đối với các tổ chức đang triển khai hệ thống SmarterMail trong môi trường sản xuất.
Lỗ hổng mang mã CVE-2025-52691, được Cơ quan An ninh mạng Singapore công bố vào tháng 12/2025 kèm theo mã khai thác mẫu chứng minh khả năng tấn công trong thực tế. Theo cảnh báo, kẻ tấn công có thể chiếm quyền điều khiển máy chủ SmarterMail từ xa mà không cần tài khoản hợp lệ, mở đường cho việc cài đặt web shell, đánh cắp dữ liệu email hoặc triển khai thêm mã độc trong hạ tầng nội bộ.
Điểm đáng chú ý trong vụ việc này nằm ở mốc thời gian xử lý. SmarterTools đã âm thầm vá lỗ hổng trong bản dựng 9413, phát hành từ ngày 10/10/2025. Tuy nhiên, thông tin về lỗ hổng chỉ được công bố công khai gần ba tháng sau đó. Khoảng trễ này làm dấy lên lo ngại về thời gian phơi nhiễm thực tế của các hệ thống chưa kịp cập nhật, cũng như nguy cơ lỗ hổng đã bị khai thác trước khi người dùng nhận được cảnh báo chính thức.
Về bản chất, CVE-2025-52691 xuất phát từ cách SmarterMail xử lý chức năng tải tệp không cần xác thực tại điểm cuối /api/upload của SmarterMail. Nguyên nhân xuất phát từ việc ứng dụng không kiểm tra đầy đủ tham số guid trong trường contextData của yêu cầu multipart/form-data. Bằng cách gửi một yêu cầu POST được chế tạo đặc biệt, kẻ tấn công có thể chèn chuỗi path traversal vào giá trị guid, qua đó ghi tệp tùy ý lên máy chủ.
Cụ thể, khi tham số context được đặt là attachment và contextData chứa một GUID độc hại với các chuỗi như ../../../, cơ chế xử lý phía máy chủ sẽ xây dựng đường dẫn tệp mà không kiểm tra chặt chẽ, cho phép vượt ra khỏi thư mục App_Data/Attachments vốn được giới hạn. Từ đó, kẻ tấn công có thể ghi tệp trực tiếp vào các thư mục có thể truy cập qua web như inetpub/wwwroot.
Bằng cách tải lên một tệp .aspx, kẻ tấn công có thể triển khai web shell và đạt được khả năng thực thi mã từ xa hoàn toàn không cần xác thực. Đáng lưu ý, phản hồi từ máy chủ sau khi tải tệp còn tiết lộ chính xác đường dẫn và tên tệp đã được ghi, giúp việc truy cập và kích hoạt payload trở nên dễ dàng hơn.
SmarterTools cho biết đã khắc phục vấn đề bằng cách bổ sung kiểm tra hợp lệ đối với giá trị GUID trong bản dựng 9413. Các tổ chức đang sử dụng SmarterMail phiên bản 9406 trở xuống được khuyến cáo nâng cấp ngay lập tức để tránh nguy cơ bị xâm nhập. Bên cạnh đó, các nhà nghiên cứu bảo mật cũng đã công bố các công cụ tạo dấu hiệu phát hiện nhằm hỗ trợ doanh nghiệp rà soát log, xác định nỗ lực khai thác và đánh giá mức độ ảnh hưởng đối với hệ thống của mình.
Điểm đáng chú ý trong vụ việc này nằm ở mốc thời gian xử lý. SmarterTools đã âm thầm vá lỗ hổng trong bản dựng 9413, phát hành từ ngày 10/10/2025. Tuy nhiên, thông tin về lỗ hổng chỉ được công bố công khai gần ba tháng sau đó. Khoảng trễ này làm dấy lên lo ngại về thời gian phơi nhiễm thực tế của các hệ thống chưa kịp cập nhật, cũng như nguy cơ lỗ hổng đã bị khai thác trước khi người dùng nhận được cảnh báo chính thức.
Về bản chất, CVE-2025-52691 xuất phát từ cách SmarterMail xử lý chức năng tải tệp không cần xác thực tại điểm cuối /api/upload của SmarterMail. Nguyên nhân xuất phát từ việc ứng dụng không kiểm tra đầy đủ tham số guid trong trường contextData của yêu cầu multipart/form-data. Bằng cách gửi một yêu cầu POST được chế tạo đặc biệt, kẻ tấn công có thể chèn chuỗi path traversal vào giá trị guid, qua đó ghi tệp tùy ý lên máy chủ.
Cụ thể, khi tham số context được đặt là attachment và contextData chứa một GUID độc hại với các chuỗi như ../../../, cơ chế xử lý phía máy chủ sẽ xây dựng đường dẫn tệp mà không kiểm tra chặt chẽ, cho phép vượt ra khỏi thư mục App_Data/Attachments vốn được giới hạn. Từ đó, kẻ tấn công có thể ghi tệp trực tiếp vào các thư mục có thể truy cập qua web như inetpub/wwwroot.
Bằng cách tải lên một tệp .aspx, kẻ tấn công có thể triển khai web shell và đạt được khả năng thực thi mã từ xa hoàn toàn không cần xác thực. Đáng lưu ý, phản hồi từ máy chủ sau khi tải tệp còn tiết lộ chính xác đường dẫn và tên tệp đã được ghi, giúp việc truy cập và kích hoạt payload trở nên dễ dàng hơn.
SmarterTools cho biết đã khắc phục vấn đề bằng cách bổ sung kiểm tra hợp lệ đối với giá trị GUID trong bản dựng 9413. Các tổ chức đang sử dụng SmarterMail phiên bản 9406 trở xuống được khuyến cáo nâng cấp ngay lập tức để tránh nguy cơ bị xâm nhập. Bên cạnh đó, các nhà nghiên cứu bảo mật cũng đã công bố các công cụ tạo dấu hiệu phát hiện nhằm hỗ trợ doanh nghiệp rà soát log, xác định nỗ lực khai thác và đánh giá mức độ ảnh hưởng đối với hệ thống của mình.
Theo Cyber Press