ManageEngine đã công bố một lỗ hổng bảo mật nghiêm trọng, được định danh là CVE-2026-11374, ảnh hưởng đến nhiều giải pháp quản lý định danh và truy cập (Identity and Access Management – IAM) khi tích hợp với AD360. Lỗ hổng này cho phép kẻ tấn công không cần xác thực dự đoán được các token Single Sign-On (SSO), dẫn đến nguy cơ chiếm quyền kiểm soát tài khoản và lộ thông tin nhạy cảm của người dùng.
Phân tích chi tiết lỗ hổng CVE-2026-11374
Phạm vi ảnh hưởng của lỗ hổng
Lỗ hổng này tác động đến các sản phẩm của ManageEngine bao gồm ADSelfService Plus, RecoveryManager Plus, M365 Manager Plus và ADAudit Plus khi chúng được triển khai trong môi trường ManageEngine AD360. Các công cụ này thường được sử dụng rộng rãi trong các mạng doanh nghiệp để quản trị định danh, quản lý Active Directory, kiểm toán và quản trị Microsoft 365.
Nguyên nhân gốc rễ của lỗ hổng
Theo thông tin từ hãng, lỗ hổng xuất phát từ điểm yếu trong quá trình tạo các vé SSO trong giai đoạn xác thực. Khi người dùng đăng nhập thông qua SSO của AD360, hệ thống sẽ cấp một token để xác thực phiên làm việc. Tuy nhiên, các nhà nghiên cứu đã phát hiện rằng một kẻ tấn công không cần xác thực có thể dự đoán được các token này. Điều này mở ra khả năng kẻ tấn công có thể tạo ra các token phiên hợp lệ mà không cần sở hữu thông tin đăng nhập hợp pháp.
Tác động tiềm ẩn của việc khai thác
Việc khai thác thành công lỗ hổng này có thể cho phép kẻ tấn công mạo danh người dùng và chiếm quyền truy cập trái phép vào hệ thống. Trong các kịch bản tấn công, kẻ tấn công có thể thu thập thông tin định danh người dùng cùng với dữ liệu về quyền truy cập theo vai trò, từ đó có thể dẫn đến leo thang đặc quyền tùy thuộc vào tài khoản bị xâm nhập. Đặc biệt, trong các môi trường mà AD360 đóng vai trò là trung tâm định danh tập trung, rủi ro này càng trở nên nghiêm trọng hơn, bởi một cuộc tấn công thành công có thể làm lộ nhiều dịch vụ tích hợp thông qua một điểm truy cập duy nhất.
Ví dụ về kịch bản tấn công
Một kẻ tấn công có thể tạo ra một token SSO hợp lệ để chiếm quyền truy cập trái phép vào các bản ghi kiểm toán của ADAudit Plus và dữ liệu quản trị. Điều này cho phép chúng thực hiện các hoạt động do thám nội bộ và tiềm năng di chuyển ngang trong mạng lưới của tổ chức. Khả năng này nhấn mạnh tầm quan trọng của việc đảm bảo tính bảo mật cho các hệ thống quản lý định danh.
Các phiên bản bị ảnh hưởng và bản vá lỗi
Danh sách các phiên bản bị ảnh hưởng
Lỗ hổng này ảnh hưởng đến các phiên bản sau:
- ADSelfService Plus: phiên bản 6528 trở về trước.
- RecoveryManager Plus: phiên bản 6320 trở về trước.
- M365 Manager Plus: phiên bản 4816 trở về trước.
- ADAudit Plus: phiên bản 8702 trở về trước.
Cập nhật bản vá và các biện pháp khắc phục
ManageEngine đã nhanh chóng phát hành các bản vá để giải quyết vấn đề này trong các phiên bản cập nhật được phát hành từ ngày 3 tháng 6 đến ngày 12 tháng 6 năm 2026. Hãng đã gia cố cơ chế tạo token SSO để đảm bảo các token không còn có thể dự đoán được. Các tổ chức sử dụng các sản phẩm bị ảnh hưởng được khuyến cáo mạnh mẽ nên cập nhật bản vá bảo mật mới nhất ngay lập tức để bảo vệ môi trường của mình.
Ngoài việc cài đặt bản vá, các nhóm bảo mật cần giám sát chặt chẽ các bản ghi xác thực để phát hiện hoạt động SSO bất thường và xem xét lại quyền truy cập trên các tài khoản quan trọng. Tăng cường các biện pháp kiểm soát truy cập và hạn chế việc phơi nhiễm các dịch vụ định danh cũng có thể giúp giảm thiểu rủi ro bị khai thác.
Mã khai thác và chỉ số xâm phạm (IOC)
Hiện tại, thông tin về mã khai thác công khai (exploit code) hoặc các chỉ số xâm phạm (IOC) cụ thể như địa chỉ IP độc hại, tên miền, hoặc hash file liên quan trực tiếp đến CVE-2026-11374 chưa được công bố rộng rãi. Tuy nhiên, bản chất của lỗ hổng cho phép chiếm quyền điều khiển tài khoản, do đó, việc theo dõi các hoạt động đăng nhập và truy cập bất thường là rất quan trọng.
Các nhà nghiên cứu bảo mật và chuyên gia phân tích mối đe dọa mạng cần lưu ý đến các phương thức tấn công giả mạo token SSO. Một cuộc tấn công thành công có thể dẫn đến việc xâm nhập trái phép vào hệ thống, thu thập thông tin nhạy cảm, hoặc thực hiện các hành vi gian lận khác.
Để tìm hiểu thêm về các lỗ hổng và cảnh báo bảo mật, người dùng có thể tham khảo nguồn tin tức uy tín như CISA tại CISA Cybersecurity Advisories. Việc cập nhật thông tin thường xuyên giúp các tổ chức chủ động hơn trong việc đối phó với các mối đe dọa mạng ngày càng phức tạp.
Khuyến nghị phòng ngừa chung
Ngoài việc áp dụng bản vá, các tổ chức nên thực hiện các biện pháp sau để tăng cường an toàn thông tin:
- Thực hiện kiểm tra bảo mật định kỳ cho các hệ thống IAM.
- Áp dụng nguyên tắc đặc quyền tối thiểu (least privilege) cho tất cả các tài khoản người dùng và dịch vụ.
- Triển khai xác thực đa yếu tố (MFA) cho các truy cập quan trọng.
- Giám sát liên tục các hoạt động đăng nhập và thay đổi cấu hình hệ thống.
- Đào tạo nhận thức về an ninh mạng cho người dùng cuối để họ nhận biết các dấu hiệu tấn công lừa đảo hoặc kỹ thuật xã hội.
