-
09/04/2020
-
128
-
1.738 bài viết
Lỗ hổng 10 điểm bị khai thác, nguy cơ chiếm quyền toàn bộ hệ thống Quest KACE SMA
Các chuyên gia an ninh mạng cảnh báo lỗ hổng nghiêm trọng CVE-2025-32975 đang bị tin tặc khai thác, nhắm vào hệ thống Quest KACE Systems Management Appliance (SMA) - nền tảng quản lý endpoint phổ biến trong doanh nghiệp.
Theo báo cáo, các hoạt động tấn công đã xuất hiện từ đầu tháng 3/2026, chủ yếu nhằm vào các hệ thống SMA chưa được vá và đang phơi nhiễm Internet, làm gia tăng đáng kể nguy cơ bị xâm nhập.
Theo báo cáo, các hoạt động tấn công đã xuất hiện từ đầu tháng 3/2026, chủ yếu nhằm vào các hệ thống SMA chưa được vá và đang phơi nhiễm Internet, làm gia tăng đáng kể nguy cơ bị xâm nhập.
Lỗ hổng 10 điểm không cần xác thực vẫn chiếm quyền
CVE-2025-32975 được đánh giá ở mức nghiêm trọng tối đa (CVSS 10/10), thuộc nhóm lỗ hổng bỏ qua xác thực. Nghĩa là kẻ tấn công không cần tài khoản hay mật khẩu vẫn có thể truy cập hệ thống, giả mạo người dùng hợp lệ và từng bước chiếm toàn bộ quyền quản trị.
Theo phân tích của chuyên gia WhiteHat, đây là dạng lỗ hổng đặc biệt nguy hiểm do điều kiện khai thác gần như bằng không nhưng tác động lại ở mức cao, nhất là trong môi trường doanh nghiệp nơi SMA đóng vai trò quản trị tập trung.
Mặc dù đã được vá từ tháng 5/2025, việc chậm cập nhật khiến nhiều hệ thống vẫn đang trở thành mục tiêu dễ dàng cho tin tặc.
Theo phân tích của chuyên gia WhiteHat, đây là dạng lỗ hổng đặc biệt nguy hiểm do điều kiện khai thác gần như bằng không nhưng tác động lại ở mức cao, nhất là trong môi trường doanh nghiệp nơi SMA đóng vai trò quản trị tập trung.
Mặc dù đã được vá từ tháng 5/2025, việc chậm cập nhật khiến nhiều hệ thống vẫn đang trở thành mục tiêu dễ dàng cho tin tặc.
Chuỗi hành động có chủ đích
Dữ liệu phân tích cho thấy tin tặc không chỉ dừng ở việc xâm nhập ban đầu mà triển khai một chuỗi tấn công có tổ chức. Sau khi khai thác lỗ hổng để chiếm quyền quản trị, chúng thực thi lệnh từ xa và tải payload được mã hóa Base64 từ máy chủ bên ngoài thông qua công cụ curl.
Tiếp đó, tin tặc duy trì quyền truy cập bằng cách tạo thêm tài khoản quản trị, lợi dụng tiến trình runkbot.exe của SMA Agent để chạy các script ngầm, đồng thời chỉnh sửa Windows Registry bằng PowerShell nhằm đảm bảo khả năng bám trụ lâu dài trong hệ thống.
Ở giai đoạn tiếp theo, tin tặc tiến hành đánh cắp thông tin đăng nhập bằng công cụ Mimikatz, thu thập dữ liệu tài khoản nội bộ và thực hiện do thám hệ thống thông qua các lệnh quen thuộc như “net time”, “net group” để nắm cấu trúc mạng.
Đáng chú ý, các dấu hiệu cho thấy chúng đã mở rộng xâm nhập sang các hệ thống quan trọng hơn, bao gồm truy cập RDP tới Domain Controller và hạ tầng sao lưu như Veeam, Veritas, bước đi điển hình trong các cuộc tấn công nhằm kiểm soát toàn bộ hệ thống.
Theo nhận định của WhiteHat, chuỗi hành vi này cho thấy mục tiêu không chỉ dừng ở xâm nhập mà hướng tới kiểm soát sâu hạ tầng công nghệ thông tin, tạo tiền đề cho các kịch bản nguy hiểm hơn như mã độc tống tiền hoặc đánh cắp dữ liệu quy mô lớn.
Trước nguy cơ bị khai thác diện rộng, các tổ chức cần khẩn trương cập nhật bản vá mới nhất cho hệ thống Quest KACE SMA, đồng thời hạn chế tối đa việc để hệ thống này truy cập trực tiếp từ Internet. Việc rà soát các tài khoản quản trị bất thường, giám sát hoạt động PowerShell, RDP và lưu lượng kết nối ra ngoài cũng cần được thực hiện ngay để phát hiện sớm dấu hiệu xâm nhập.
Các phiên bản đã được vá gồm: 13.0.385, 13.1.81, 13.2.183, 14.0.341 (Patch 5) và 14.1.101 (Patch 4).
Tiếp đó, tin tặc duy trì quyền truy cập bằng cách tạo thêm tài khoản quản trị, lợi dụng tiến trình runkbot.exe của SMA Agent để chạy các script ngầm, đồng thời chỉnh sửa Windows Registry bằng PowerShell nhằm đảm bảo khả năng bám trụ lâu dài trong hệ thống.
Ở giai đoạn tiếp theo, tin tặc tiến hành đánh cắp thông tin đăng nhập bằng công cụ Mimikatz, thu thập dữ liệu tài khoản nội bộ và thực hiện do thám hệ thống thông qua các lệnh quen thuộc như “net time”, “net group” để nắm cấu trúc mạng.
Đáng chú ý, các dấu hiệu cho thấy chúng đã mở rộng xâm nhập sang các hệ thống quan trọng hơn, bao gồm truy cập RDP tới Domain Controller và hạ tầng sao lưu như Veeam, Veritas, bước đi điển hình trong các cuộc tấn công nhằm kiểm soát toàn bộ hệ thống.
Theo nhận định của WhiteHat, chuỗi hành vi này cho thấy mục tiêu không chỉ dừng ở xâm nhập mà hướng tới kiểm soát sâu hạ tầng công nghệ thông tin, tạo tiền đề cho các kịch bản nguy hiểm hơn như mã độc tống tiền hoặc đánh cắp dữ liệu quy mô lớn.
Trước nguy cơ bị khai thác diện rộng, các tổ chức cần khẩn trương cập nhật bản vá mới nhất cho hệ thống Quest KACE SMA, đồng thời hạn chế tối đa việc để hệ thống này truy cập trực tiếp từ Internet. Việc rà soát các tài khoản quản trị bất thường, giám sát hoạt động PowerShell, RDP và lưu lượng kết nối ra ngoài cũng cần được thực hiện ngay để phát hiện sớm dấu hiệu xâm nhập.
Các phiên bản đã được vá gồm: 13.0.385, 13.1.81, 13.2.183, 14.0.341 (Patch 5) và 14.1.101 (Patch 4).
The The Hacker News