98 lượt xem
Agent Nguyễn
Cập nhật: 5 ngày trước
Nguồn: Automation
SolarWinds Phát Hành Hotfix Khắc Phục Lỗ Hổng Critical Remote Code Execution CVE-2025-26399
SolarWinds đã phát hành các bản hotfix để khắc phục một lỗ hổng bảo mật critical ảnh hưởng đến phần mềm Web Help Desk của hãng, mà nếu bị khai thác thành công, có thể cho phép kẻ tấn công thực thi các lệnh tùy ý trên các hệ thống dễ bị tổn thương. Lỗ hổng này, được theo dõi là CVE-2025-26399 (điểm CVSS: 9.8), được mô tả là một trường hợp deserialization dữ liệu không đáng tin cậy có thể dẫn đến code execution. Nó ảnh hưởng đến
SolarWinds đã phát hành các bản hotfix để khắc phục một lỗ hổng bảo mật critical ảnh hưởng đến phần mềm Web Help Desk của hãng, mà nếu bị khai thác thành công, có thể cho phép kẻ tấn công thực thi các lệnh tùy ý trên các hệ thống dễ bị tổn thương.
Lỗ hổng này, được theo dõi là CVE-2025-26399 (điểm CVSS: 9.8), được mô tả là một trường hợp deserialization dữ liệu không đáng tin cậy có thể dẫn đến code execution. Nó ảnh hưởng đến SolarWinds Web Help Desk 12.8.7 và tất cả các phiên bản trước đó.
"SolarWinds Web Help Desk được phát hiện dễ bị tổn thương bởi lỗ hổng remote code execution deserialization của AjaxProxy mà không cần xác thực, nếu bị khai thác, sẽ cho phép kẻ tấn công chạy các lệnh trên máy chủ," SolarWinds cho biết trong một bản tư vấn phát hành vào ngày 17 tháng 9 năm 2025.
Một nhà nghiên cứu ẩn danh làm việc với Trend Micro Zero Day Initiative (ZDI) đã được ghi nhận công lao trong việc phát hiện và báo cáo lỗ hổng này.
SolarWinds cho biết CVE-2025-26399 là một bản vá bypass cho CVE-2024-28988 (điểm CVSS: 9.8), mà đến lượt nó, lại là một bản bypass cho CVE-2024-28986 (điểm CVSS: 9.8) ban đầu đã được công ty khắc phục vào tháng 8 năm 2024.
"Lỗ hổng này cho phép kẻ tấn công từ xa thực thi mã tùy ý trên các cài đặt bị ảnh hưởng của SolarWinds Web Help Desk. Không yêu cầu xác thực để khai thác lỗ hổng này," theo một bản tư vấn của ZDI cho CVE-2024-28988.
"Lỗ hổng cụ thể tồn tại trong AjaxProxy. Vấn đề phát sinh từ việc thiếu xác thực dữ liệu do người dùng cung cấp đúng cách, có thể dẫn đến deserialization dữ liệu không đáng tin cậy. Kẻ tấn công có thể lợi dụng lỗ hổng này để thực thi mã trong ngữ cảnh của SYSTEM."
Mặc dù không có bằng chứng về việc lỗ hổng này đang bị khai thác trong thực tế, người dùng được khuyến nghị cập nhật các phiên bản của họ lên SolarWinds Web Help Desk 12.8.7 HF1 để được bảo vệ tối ưu.
Tuy nhiên, điều đáng nhấn mạnh là lỗi gốc CVE-2024-28986 đã được Cơ quan An ninh Cơ sở hạ tầng và An ninh Mạng Hoa Kỳ (CISA) thêm vào danh mục Known Exploited Vulnerabilities (KEV) ngay sau khi công bố. Hiện tại không có thông tin công khai về bản chất của các cuộc tấn công vũ khí hóa lỗi này.
"SolarWinds là một cái tên không cần giới thiệu trong giới IT và an ninh mạng. Cuộc tấn công chuỗi cung ứng khét tiếng năm 2020, được cho là do Cơ quan Tình báo Nước ngoài của Nga (SVR) thực hiện, đã cho phép truy cập kéo dài hàng tháng vào nhiều cơ quan chính phủ phương Tây và để lại dấu ấn lâu dài trong ngành," Ryan Dewhurst, người đứng đầu bộ phận tình báo mối đe dọa chủ động tại watchTowr, cho biết trong một tuyên bố.
"Nhanh chóng đến năm 2024: một lỗ hổng deserialization từ xa không cần xác thực (CVE-2024-28986) đã được vá... sau đó lại được vá (CVE-2024-28988). Và bây giờ, chúng ta lại có thêm một bản vá khác (CVE-2025-26399) để khắc phục chính lỗ hổng đó.
"Lần thứ ba sẽ may mắn? Lỗi gốc đã bị khai thác tích cực trong thực tế, và mặc dù chúng tôi chưa biết về việc khai thác tích cực bản vá bypass mới nhất này, lịch sử cho thấy đó chỉ là vấn đề thời gian."
