Lỗ Hổng Zero-Day CVE-2025-0994 Trong Cityworks: Phân Tích và Khuyến Nghị Bảo Mật

Lỗ Hổng Zero-Day CVE-2025-0994 Trong Cityworks Bị Khai Thác Bởi Nhóm UAT-6382: Phân Tích Chi Tiết Và Khuyến Nghị

Một lỗ hổng zero-day nghiêm trọng, được gán mã CVE-2025-0994, trong phần mềm Cityworks – hệ thống quản lý tài sản được sử dụng rộng rãi – đã bị khai thác tích cực bởi nhóm tin tặc UAT-6382 kể từ tháng 1 năm 2025. Đây là một mối đe dọa nghiêm trọng đối với các hệ thống quản lý tiện ích công cộng và cơ sở hạ tầng quan trọng, đặc biệt tại các cơ quan chính quyền địa phương ở Hoa Kỳ. Bài viết này sẽ phân tích chi tiết về lỗ hổng, chuỗi tấn công, và các khuyến nghị kỹ thuật dành cho chuyên gia bảo mật và quản trị hệ thống.

Tổng Quan Về Lỗ Hổng CVE-2025-0994

CVE-2025-0994 là một lỗ hổng thực thi mã từ xa (Remote Code Execution – RCE) zero-day trong Cityworks. Lỗ hổng này cho phép kẻ tấn công thực thi mã tùy ý trên máy chủ bị xâm nhập mà không cần sự tương tác từ phía người dùng. Điều này đặc biệt nguy hiểm khi Cityworks thường được triển khai trong các môi trường quản lý cơ sở hạ tầng quan trọng, nơi hậu quả của một cuộc tấn công có thể gây gián đoạn nghiêm trọng.

Thông Tin Về Nhóm Tin Tặc UAT-6382

Nhóm UAT-6382, được đánh giá với độ tin cậy cao là các tác nhân đe dọa nói tiếng Trung, đã sử dụng các chiến thuật, kỹ thuật và quy trình (Tactics, Techniques, and Procedures – TTPs) tinh vi để khai thác lỗ hổng này. Chúng nhắm đến các máy chủ web Internet Information Services (IIS), triển khai web shell và malware tùy chỉnh nhằm duy trì quyền truy cập lâu dài vào các hệ thống bị xâm nhập.

Chuỗi Tấn Công (Attack Chain)

Chuỗi tấn công của UAT-6382 được thực hiện qua các giai đoạn sau:

• 1. Khai Thác Ban Đầu: Kẻ tấn công lợi dụng lỗ hổng CVE-2025-0994 để xâm nhập vào mạng của các cơ quan chính phủ, cho phép thực thi mã tùy ý trên máy chủ Cityworks.
• 2. Do Thám (Reconnaissance): Sau khi xâm nhập, chúng thực hiện các lệnh cơ bản để thu thập thông tin về hệ thống bị xâm nhập, bao gồm:
  • ipconfig
  • dir
  • tasklist
• 3. Triển Khai Web Shell: Các web shell như AntSword, chinatso/Chopper và Behinder được triển khai nhằm duy trì quyền truy cập từ xa. Nhiều web shell chứa thông điệp bằng tiếng Trung, củng cố giả thuyết về nguồn gốc của nhóm tấn công.
• 4. Triển Khai Malware Tùy Chỉnh: Kẻ tấn công sử dụng framework xây dựng malware có tên MaLoader, với giao diện người dùng được viết hoàn toàn bằng tiếng Trung Giản Thể, để tạo và triển khai các phần mềm độc hại tùy chỉnh.

Indicators of Compromise (IOCs)

Trimble, nhà cung cấp phần mềm Cityworks, đã công bố các Indicators of Compromise (IOCs) cụ thể liên quan đến các cuộc xâm nhập này. Các IOC này tương đồng với kết quả nghiên cứu từ Cisco Talos, cho thấy mức độ nghiêm trọng và sự chồng lấp của các cuộc tấn công. (Lưu ý: Do nội dung gốc không cung cấp danh sách IOC chi tiết, các chuyên gia cần tham khảo trực tiếp các báo cáo từ Trimble hoặc Cisco Talos để có thông tin đầy đủ).

Tác Động Và Hệ Quả Thực Tiễn

• Hệ Thống Mục Tiêu: Các cuộc tấn công tập trung vào các hệ thống liên quan đến quản lý tiện ích công cộng, điều này đặt ra nguy cơ gián đoạn đối với cơ sở hạ tầng quan trọng.
• Quyền Truy Cập Bền Vững: Nhóm UAT-6382 chủ yếu nhắm vào các cơ quan chính quyền địa phương tại Hoa Kỳ, nhanh chóng chuyển hướng đến các hệ thống chứa dữ liệu cơ sở hạ tầng nhạy cảm. Chúng duy trì quyền truy cập bền vững thông qua web shell và malware tùy chỉnh.

Khuyến Nghị Và Biện Pháp Giảm Thiểu

Để bảo vệ hệ thống khỏi lỗ hổng CVE-2025-0994 và các mối đe dọa tương tự, các tổ chức cần thực hiện các biện pháp sau:

• Tham Khảo Khuyến Cáo Nhà Cung Cấp: Cơ quan An ninh Mạng và Cơ sở Hạ tầng (CISA) cùng Trimble đã ban hành các cảnh báo về lỗ hổng này. Quản trị viên cần theo dõi các cập nhật từ hai tổ chức này.
• Quản Lý Bản Vá (Patch Management): Đảm bảo tất cả các cài đặt Cityworks được cập nhật phiên bản mới nhất để vá lỗ hổng. Việc trì hoãn cập nhật có thể tạo cơ hội cho kẻ tấn công khai thác.
• Giám Sát Và Phát Hiện (Monitoring & Detection): Triển khai các cơ chế giám sát mạnh mẽ để phát hiện các hoạt động bất thường, chẳng hạn như lưu lượng mạng bất thường hoặc dấu hiệu triển khai web shell. Sử dụng các công cụ SIEM (Security Information and Event Management) để theo dõi nhật ký hệ thống có thể hỗ trợ phát hiện sớm các mối đe dọa.

Kết Luận

Lỗ hổng zero-day CVE-2025-0994 trong Cityworks là một lời cảnh báo về tầm quan trọng của việc bảo mật phần mềm quản lý cơ sở hạ tầng. Với sự khai thác tích cực từ nhóm UAT-6382, các tổ chức, đặc biệt là các cơ quan chính phủ, cần hành động khẩn cấp để cập nhật hệ thống và tăng cường khả năng phòng thủ. Việc giám sát liên tục và cập nhật thông tin từ các nguồn đáng tin cậy như CISA và Trimble sẽ giúp giảm thiểu nguy cơ bị tấn công và bảo vệ dữ liệu nhạy cảm.