Lỗ hổng nghiêm trọng trong IBM API Connect cho phép vượt qua cơ chế đăng nhập

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
122
1.455 bài viết
Lỗ hổng nghiêm trọng trong IBM API Connect cho phép vượt qua cơ chế đăng nhập
WhiteHat Team
IBM vừa phát đi cảnh báo khẩn cấp liên quan đến một lỗ hổng nghiêm trọng trong nền tảng IBM API Connect, giải pháp quản lý API đang được nhiều doanh nghiệp sử dụng để vận hành và kết nối các hệ thống lõi. Lỗ hổng này có thể cho phép tin tặc vượt qua hoàn toàn cơ chế đăng nhập, từ đó truy cập trái phép vào ứng dụng mà không cần bất kỳ thông tin xác thực nào.
IBM API.png

Lỗ hổng được theo dõi với mã CVE-2025-13915 và được IBM phân loại là lỗi bỏ qua xác thực. Theo nội dung cảnh báo, kẻ tấn công từ xa có thể lợi dụng điểm yếu này để đi thẳng qua các lớp bảo vệ đăng nhập, giành quyền truy cập trái phép vào hệ thống mà không cần tài khoản, không cần mật khẩu và cũng không cần sự tương tác từ phía người dùng. Đây là yếu tố khiến rủi ro bị đánh giá ở mức đặc biệt nghiêm trọng.

IBM đã chấm lỗ hổng này ở mức điểm CVSS 9.8, gần chạm ngưỡng tối đa. Việc có thể khai thác trực tiếp qua Internet, không đòi hỏi điều kiện phức tạp hay đặc quyền sẵn có, khiến CVE-2025-13915 trở thành một bề mặt tấn công lý tưởng cho các chiến dịch xâm nhập có chủ đích. Trong môi trường doanh nghiệp, nơi API thường đóng vai trò trung tâm trong việc kết nối dữ liệu và dịch vụ, chỉ một điểm yếu ở lớp xác thực cũng đủ để mở ra nguy cơ kiểm soát toàn bộ hệ thống phía sau.

Theo IBM, lỗ hổng ảnh hưởng đến các phiên bản API Connect từ 10.0.8.0 đến 10.0.8.5 cũng như phiên bản 10.0.11. Các tổ chức đang vận hành những phiên bản này được khuyến cáo khẩn trương kiểm tra và đánh giá mức độ phơi nhiễm, bởi nguy cơ bị khai thác là hoàn toàn thực tế nếu hệ thống được triển khai công khai trên Internet.

Trước mức độ nghiêm trọng của lỗ hổng, IBM khuyến nghị người dùng nâng cấp ngay lên các bản đã được khắc phục. Nhà sản xuất đã phát hành các bản vá tạm thời cho nhánh 10.0.8.x và phiên bản 10.0.11 nhằm xử lý điểm yếu này. Trong trường hợp doanh nghiệp chưa thể dừng hệ thống để vá lỗi ngay lập tức, IBM đề xuất tạm thời vô hiệu hóa tính năng tự đăng ký tài khoản trên Developer Portal nếu tính năng này đang được kích hoạt, qua đó giúp giảm thiểu mức độ phơi nhiễm cho đến khi bản vá chính thức được triển khai.

Sự cố này một lần nữa cho thấy API không chỉ là thành phần kết nối dữ liệu mà còn là mục tiêu tấn công có giá trị cao. Khi lớp xác thực của API bị xuyên thủng, hệ quả không dừng lại ở việc truy cập trái phép mà có thể kéo theo rò rỉ dữ liệu, leo thang đặc quyền và làm suy yếu toàn bộ chuỗi bảo mật phía sau. Trong bối cảnh các cuộc tấn công ngày càng tập trung vào hạ tầng API, việc vá lỗi kịp thời và kiểm soát chặt chẽ các chức năng công khai đã trở thành yêu cầu bắt buộc đối với các hệ thống doanh nghiệp hiện đại.
Theo Security Online
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Lỗ hổng 0-day 10 điểm cho phép chiếm quyền root hơn 70.000 thiết bị mạng XSpeeder
  • Lỗ hổng trong SmarterMail khiến hàng nghìn máy chủ có nguy cơ bị tin tặc chiếm quyền
  • Fortinet cảnh báo lỗ hổng cũ FortiOS bị khai thác trở lại, rủi ro 2FA bị bỏ qua
  • Phân tích kỹ thuật khai thác lỗ hổng React2Shell CVE-2025-55182
  • Hơn 87.000 máy chủ MongoDB gặp nguy hiểm do lỗ hổng nghiêm trọng đang bị khai thác toàn cầu
  • Những kiểu tin nhắn trên Zalo khiến người dùng mất tiền trong tích tắc
    • Thẻ
    cve-2025-13915 ibm ibm api connect
    Bên trên