-
09/04/2020
-
141
-
1.951 bài viết
Lỗ hổng mới trên IBM WebSphere cho phép chiếm quyền máy chủ từ xa
IBM vừa phát hành cảnh báo về lỗ hổng nghiêm trọng có mã CVE-2026-8633 trong hệ sinh thái WebSphere Application Server. Lỗ hổng có thể cho phép kẻ tấn công từ xa thực thi mã tùy ý thông qua các yêu cầu HTTP được tạo đặc biệt, đe dọa trực tiếp đến các hệ thống doanh nghiệp đang sử dụng nền tảng này.
Theo IBM, CVE-2026-8633 tồn tại trong thành phần Web Server Plug-ins, một mô-đun thường được triển khai để định tuyến lưu lượng giữa máy chủ web và máy chủ ứng dụng WebSphere. Với điểm CVSS 9.8, lỗ hổng không yêu cầu xác thực và có thể bị khai thác từ xa, tạo điều kiện cho tin tặc chiếm quyền kiểm soát hoàn toàn hệ thống bị ảnh hưởng.
Nguyên nhân của lỗ hổng được xác định là lỗi Improper Control of Code Generation (CWE-94). Kẻ tấn công có thể gửi các yêu cầu HTTP được chế tạo đặc biệt để chèn mã độc vào quá trình xử lý của Web Server Plug-ins, từ đó dẫn đến thực thi mã từ xa. Bên cạnh khả năng thực thi mã, lỗ hổng còn mở ra nguy cơ HTTP Request Smuggling. Kỹ thuật này cho phép kẻ tấn công thao túng cách các thành phần trung gian và máy chủ backend xử lý yêu cầu HTTP, từ đó vượt qua các cơ chế kiểm soát bảo mật hoặc truy cập trái phép vào các dịch vụ nội bộ.
CVE-2026-8633 tác động trực tiếp đến thành phần Web Server Plug-ins trên cả nền tảng WebSphere Application Server lẫn WebSphere Liberty. Các phiên bản bị ảnh hưởng bao gồm:
- IBM WebSphere Application Server: Phiên bản 8.5 và 9.0
- IBM WebSphere Liberty: Phiên bản 8.5 và 9.0
Do các plug-in này thường đóng vai trò cầu nối giữa tầng web và ứng dụng, việc khai thác thành công có thể tạo ra con đường trực tiếp để xâm nhập sâu vào hạ tầng backend.
Để giảm nguy cơ bị khai thác, IBM đã phát hành hướng dẫn khắc phục và yêu cầu các tổ chức ưu tiên triển khai bản vá. Các tổ chức cần khẩn trương áp dụng các bản sửa lỗi liên quan đến APAR PH71342 và nâng cấp lên các phiên bản Fix Pack mới nhất. Cụ thể, người dùng WebSphere 9.0 nên cập nhật lên Fix Pack 9.0.5.28 hoặc mới hơn, trong khi các hệ thống WebSphere 8.5 cần nâng cấp lên Fix Pack 8.5.5.30 hoặc phiên bản cao hơn khi có sẵn.
Ngoài việc khẩn trương cập nhật bản vá, các tổ chức cần theo dõi lưu lượng mạng để phát hiện các yêu cầu HTTP bất thường, hạn chế truy cập Internet tới các hệ thống WebSphere khi không cần thiết và tăng cường rà soát nhằm phát hiện sớm dấu hiệu xâm nhập.
Sự xuất hiện của CVE-2026-8633 cho thấy các nền tảng middleware và hạ tầng ứng dụng doanh nghiệp tiếp tục là mục tiêu hấp dẫn của các nhóm tấn công mạng. Các tổ chức đang vận hành WebSphere cần ưu tiên đánh giá mức độ ảnh hưởng và triển khai biện pháp khắc phục trong thời gian sớm nhất để giảm thiểu nguy cơ bị khai thác.
Để giảm nguy cơ bị khai thác, IBM đã phát hành hướng dẫn khắc phục và yêu cầu các tổ chức ưu tiên triển khai bản vá. Các tổ chức cần khẩn trương áp dụng các bản sửa lỗi liên quan đến APAR PH71342 và nâng cấp lên các phiên bản Fix Pack mới nhất. Cụ thể, người dùng WebSphere 9.0 nên cập nhật lên Fix Pack 9.0.5.28 hoặc mới hơn, trong khi các hệ thống WebSphere 8.5 cần nâng cấp lên Fix Pack 8.5.5.30 hoặc phiên bản cao hơn khi có sẵn.
Ngoài việc khẩn trương cập nhật bản vá, các tổ chức cần theo dõi lưu lượng mạng để phát hiện các yêu cầu HTTP bất thường, hạn chế truy cập Internet tới các hệ thống WebSphere khi không cần thiết và tăng cường rà soát nhằm phát hiện sớm dấu hiệu xâm nhập.
Sự xuất hiện của CVE-2026-8633 cho thấy các nền tảng middleware và hạ tầng ứng dụng doanh nghiệp tiếp tục là mục tiêu hấp dẫn của các nhóm tấn công mạng. Các tổ chức đang vận hành WebSphere cần ưu tiên đánh giá mức độ ảnh hưởng và triển khai biện pháp khắc phục trong thời gian sớm nhất để giảm thiểu nguy cơ bị khai thác.