-
09/04/2020
-
114
-
1.125 bài viết
SolarWinds lại "dậy sóng": Ba lần vá vẫn hở, lỗ hổng RCE đe dọa hệ thống Help Desk toàn cầu
SolarWinds - cái tên từng gắn với một trong những vụ tấn công chuỗi cung ứng nghiêm trọng nhất lịch sử vào năm 2020 lại một lần nữa khiến giới an ninh mạng phải cảnh giác. Mới đây, hãng đã phát hành bản vá khẩn cấp cho lỗ hổng nghiêm trọng CVE-2025-26399, ảnh hưởng trực tiếp đến phần mềm Web Help Desk, một công cụ hỗ trợ kỹ thuật được nhiều tổ chức sử dụng.
Điều đáng lo ngại là lỗ hổng này không phải mới xuất hiện lần đầu. Trước đó, SolarWinds đã từng vá một lỗi tương tự vào tháng 8/2024 (CVE-2024-28986), tuy nhiên bản vá này nhanh chóng bị vượt mặt, dẫn đến một bản vá thứ hai (CVE-2024-28988). Và đến nay với việc phát hiện CVE-2025-26399, chuỗi vá lỗi vẫn chưa thể chấm dứt hoàn toàn điểm yếu về xử lý dữ liệu không đáng tin cậy.
Theo cảnh báo từ ZDI, nếu bị khai thác, lỗ hổng này có thể trở thành công cụ nguy hiểm trong tay kẻ tấn công, đặc biệt là trong các môi trường chưa được vá hoặc bị lộ ra Internet. Dù hiện tại chưa ghi nhận khai thác thực tế nhưng với lịch sử bị vượt qua hai lần trước đó, các hệ thống sử dụng Web Help Desk đang đứng trước nguy cơ rất lớn nếu không kịp thời cập nhật.
Cụ thể, lỗ hổng gốc CVE-2024-28986 từng được Cơ quan An ninh mạng và Hạ tầng Hoa Kỳ (CISA) đưa vào danh mục lỗ hổng đang bị khai thác (KEV Catalog) chỉ ít ngày sau khi công bố. Điều này đặt ra nghi vấn: nếu lỗ hổng đầu tiên đã bị nhòm ngó nhanh chóng thì liệu bản vá mới nhất có kịp thời ngăn chặn các chiến dịch khai thác tiếp theo?
Ông Ryan Dewhurst, phụ trách tình báo mối đe dọa tại WatchTowr nhấn mạnh rằng: “Từ một vụ tấn công chuỗi cung ứng mang tầm quốc tế năm 2020, giờ đây SolarWinds lại tiếp tục bị cảnh báo về lỗ hổng nghiêm trọng. Ba bản vá liên tiếp vẫn chưa thể chấm dứt chuỗi nguy cơ. Lịch sử cho thấy: vấn đề không phải là ‘có bị khai thác không’, mà là ‘khi nào’.”
Lời cảnh báo này càng cho thấy tầm quan trọng của việc khẩn trương cập nhật hệ thống và giám sát chặt chẽ các hạ tầng sử dụng SolarWinds, đặc biệt trong bối cảnh nhiều tổ chức tại Việt Nam vẫn đang sử dụng phần mềm này cho hệ thống Help Desk nội bộ. Việc trì hoãn cập nhật hoặc chủ quan với cảnh báo có thể dẫn đến những hậu quả nghiêm trọng trong thời gian tới.
Khuyến nghị cho các đơn vị Việt Nam đang sử dụng SolarWinds:
Lỗ hổng nghiêm trọng cho phép thực thi mã từ xa
Lỗ hổng CVE-2025-26399 là một điểm yếu nghiêm trọng trong phần mềm SolarWinds Web Help Desk với điểm đánh giá CVSS lên tới 9,8/10. Vấn đề nằm ở cơ chế deserialization không xác thực trong thành phần AjaxProxy, khiến kẻ tấn công có thể gửi dữ liệu độc hại từ xa và thực thi mã tùy ý trên máy chủ đích mà không cần đăng nhập. Điều này cho phép chiếm quyền kiểm soát toàn diện hệ thống với đặc quyền SYSTEM - cấp quyền cao nhất trong môi trường Windows.Điều đáng lo ngại là lỗ hổng này không phải mới xuất hiện lần đầu. Trước đó, SolarWinds đã từng vá một lỗi tương tự vào tháng 8/2024 (CVE-2024-28986), tuy nhiên bản vá này nhanh chóng bị vượt mặt, dẫn đến một bản vá thứ hai (CVE-2024-28988). Và đến nay với việc phát hiện CVE-2025-26399, chuỗi vá lỗi vẫn chưa thể chấm dứt hoàn toàn điểm yếu về xử lý dữ liệu không đáng tin cậy.
Theo cảnh báo từ ZDI, nếu bị khai thác, lỗ hổng này có thể trở thành công cụ nguy hiểm trong tay kẻ tấn công, đặc biệt là trong các môi trường chưa được vá hoặc bị lộ ra Internet. Dù hiện tại chưa ghi nhận khai thác thực tế nhưng với lịch sử bị vượt qua hai lần trước đó, các hệ thống sử dụng Web Help Desk đang đứng trước nguy cơ rất lớn nếu không kịp thời cập nhật.
Nguy cơ vẫn hiện hữu dù đã có bản vá
Mặc dù SolarWinds đã phát hành bản vá Web Help Desk 12.8.7 HF1 để khắc phục lỗ hổng CVE-2025-26399 nhưng các chuyên gia cảnh báo rằng nguy cơ vẫn chưa được loại bỏ hoàn toàn. Hiện tại, chưa ghi nhận trường hợp khai thác thực tế ngoài đời, tuy nhiên tiền lệ từ các bản vá trước khiến giới an ninh mạng không thể chủ quan.Cụ thể, lỗ hổng gốc CVE-2024-28986 từng được Cơ quan An ninh mạng và Hạ tầng Hoa Kỳ (CISA) đưa vào danh mục lỗ hổng đang bị khai thác (KEV Catalog) chỉ ít ngày sau khi công bố. Điều này đặt ra nghi vấn: nếu lỗ hổng đầu tiên đã bị nhòm ngó nhanh chóng thì liệu bản vá mới nhất có kịp thời ngăn chặn các chiến dịch khai thác tiếp theo?
Ông Ryan Dewhurst, phụ trách tình báo mối đe dọa tại WatchTowr nhấn mạnh rằng: “Từ một vụ tấn công chuỗi cung ứng mang tầm quốc tế năm 2020, giờ đây SolarWinds lại tiếp tục bị cảnh báo về lỗ hổng nghiêm trọng. Ba bản vá liên tiếp vẫn chưa thể chấm dứt chuỗi nguy cơ. Lịch sử cho thấy: vấn đề không phải là ‘có bị khai thác không’, mà là ‘khi nào’.”
Lời cảnh báo này càng cho thấy tầm quan trọng của việc khẩn trương cập nhật hệ thống và giám sát chặt chẽ các hạ tầng sử dụng SolarWinds, đặc biệt trong bối cảnh nhiều tổ chức tại Việt Nam vẫn đang sử dụng phần mềm này cho hệ thống Help Desk nội bộ. Việc trì hoãn cập nhật hoặc chủ quan với cảnh báo có thể dẫn đến những hậu quả nghiêm trọng trong thời gian tới.
Cảnh báo đối với Việt Nam và các hệ thống sử dụng SolarWinds
Tại Việt Nam, nhiều cơ quan, doanh nghiệp, tổ chức giáo dục và hạ tầng kỹ thuật từng triển khai phần mềm SolarWinds (trong đó có Web Help Desk). Trong bối cảnh nhiều hệ thống CNTT chưa được kiểm soát chặt và các nhóm APT ngày càng nhắm vào khu vực châu Á, việc chậm cập nhật bản vá hoặc cấu hình sai có thể trở thành nguy cơ.Khuyến nghị cho các đơn vị Việt Nam đang sử dụng SolarWinds:
- Rà soát toàn bộ hệ thống có sử dụng Web Help Desk
- Kiểm tra phiên bản hiện tại và lập tức cập nhật lên 12.8.7 HF1
- Giám sát logs để phát hiện dấu hiệu bất thường
- Áp dụng cơ chế kiểm tra mã độc và kiểm soát quyền nghiêm ngặt
- Cân nhắc cô lập hệ thống nếu chưa thể cập nhật ngay
Theo The Hacker News
Chỉnh sửa lần cuối: