Nhiều lỗ hổng CVE bảo mật nghiêm trọng đã được phát hiện trong các ứng dụng Partner Software và Partner Web. Đây là những phần mềm được các cơ quan chính phủ và nhà thầu sử dụng rộng rãi.
Các lỗ hổng này tiềm ẩn nguy cơ cao, có thể khiến các hệ thống nhạy cảm bị tấn công thực thi mã từ xa (RCE) và dẫn đến rò rỉ dữ liệu.
Phân tích chi tiết các lỗ hổng CVE nghiêm trọng
Các lỗ hổng được theo dõi với mã định danh CVE-2025-6076, CVE-2025-6077 và CVE-2025-6078. Chúng đã được tiết lộ trong ghi chú lỗ hổng của CERT vào ngày 2 tháng 8 năm 2025.
Sự tồn tại của chúng cho thấy những lỗ hổng bảo mật đáng kể, có thể cho phép kẻ tấn công chiếm quyền điều khiển toàn bộ hệ thống. Partner Software, một công ty con của N. Harris Computer Corporation, phát triển phần mềm ứng dụng hiện trường được các thành phố, chính quyền tiểu bang và nhà thầu tư nhân sử dụng rộng rãi cho công việc liên quan đến GIS, xem bản đồ và hỗ trợ hoạt động thực địa.
Các lỗ hổng này (CERT VU#317469) bắt nguồn từ việc thiếu chuẩn hóa đầu vào không đầy đủ trong các tính năng tải tệp và ghi chú của ứng dụng, tạo ra nhiều vector tấn công cho các tác nhân độc hại.
CVE-2025-6076: Thực thi mã từ xa (RCE) qua tính năng tải tệp
Lỗ hổng nghiêm trọng nhất, CVE-2025-6076, cho phép những kẻ tấn công đã xác thực tải lên các tệp độc hại thông qua tab Báo cáo.
Lỗi này xảy ra do thiếu các hạn chế loại tệp phù hợp và không có quá trình xác thực nội dung. Kẻ tấn công có thể lưu trữ mã thực thi trực tiếp trên máy chủ nạn nhân, dẫn đến nguy cơ chiếm quyền điều khiển toàn bộ hệ thống.
Lỗ hổng này ảnh hưởng đến cơ chế xử lý tệp cốt lõi, làm cho nó đặc biệt nguy hiểm đối với các tổ chức xử lý dữ liệu chính phủ nhạy cảm.
CVE-2025-6077: Thông tin đăng nhập quản trị viên mặc định
CVE-2025-6077 tiết lộ một lỗ hổng bảo mật quan trọng khác. Các ứng dụng Partner Web được phân phối với thông tin đăng nhập quản trị viên mặc định giống hệt nhau trên tất cả các cài đặt.
Điểm yếu cấu hình này cung cấp cho kẻ tấn công một con đường thẳng để giành quyền truy cập quản trị. Điều này đặc biệt nguy hiểm khi kết hợp với lỗ hổng tải tệp đã được đề cập.
Kẻ tấn công có thể dễ dàng sử dụng thông tin xác thực chung để vượt qua lớp bảo vệ ban đầu, sau đó tận dụng các lỗ hổng khác để leo thang đặc quyền hoặc thực hiện các cuộc tấn công phức tạp hơn.
CVE-2025-6078: Cross-Site Scripting (XSS) được lưu trữ trong tính năng Ghi chú
Lỗ hổng thứ ba, CVE-2025-6078, ảnh hưởng đến tính năng Ghi chú trong chế độ xem công việc. Tại đây, việc chuẩn hóa đầu vào không đủ cho phép người dùng đã xác thực chèn mã HTML và JavaScript.
Lỗ hổng Cross-Site Scripting (XSS) được lưu trữ này có thể bị khai thác để đánh cắp thông tin đăng nhập của người dùng, thao túng dữ liệu hiển thị hoặc thực thi các tập lệnh độc hại trong trình duyệt của người dùng khác.
Một cuộc tấn công XSS thành công có thể dẫn đến việc đánh cắp session cookie, keylogger, hoặc chuyển hướng người dùng đến các trang web lừa đảo, gây nguy hiểm nghiêm trọng cho tính toàn vẹn và bảo mật của dữ liệu.
Tác động và rủi ro bảo mật đối với các tổ chức chính phủ
Với việc Partner Software được sử dụng rộng rãi trong các cơ quan chính phủ và nhà thầu, những lỗ hổng CVE này gây ra rủi ro đáng kể cho an ninh mạng khu vực công.
Khai thác thành công có thể dẫn đến truy cập trái phép vào dữ liệu chính phủ nhạy cảm, thao túng các báo cáo hiện trường và khả năng gián đoạn các dịch vụ thành phố quan trọng.
Sự kết hợp giữa khả năng thực thi mã từ xa và các lỗ hổng thông tin đăng nhập mặc định tạo ra các kịch bản rủi ro đặc biệt nghiêm trọng.
Các cuộc tấn công có thể bắt đầu bằng việc kẻ tấn công sử dụng thông tin đăng nhập mặc định để có được quyền truy cập ban đầu, sau đó khai thác lỗ hổng tải tệp để đạt được chiếm quyền điều khiển hoàn toàn hệ thống. Điều này có thể dẫn đến việc cài đặt mã độc, thay đổi cấu hình hệ thống, hoặc đánh cắp một lượng lớn rò rỉ dữ liệu.
Khả năng khai thác từ xa các điểm yếu này khiến chúng trở thành mục tiêu hấp dẫn cho các tác nhân đe dọa tiên tiến, bao gồm cả các nhóm APT muốn truy cập vào cơ sở hạ tầng quan trọng hoặc thông tin độc quyền của chính phủ.
Biện pháp khắc phục và bản vá bảo mật
Partner Software đã phát hành phiên bản 4.32.2 để giải quyết các vấn đề bảo mật này. Đây là một bản vá bảo mật quan trọng mà tất cả người dùng nên áp dụng ngay lập tức.
Bản vá này thực hiện nhiều cải tiến bảo mật:
- Loại bỏ các tài khoản người dùng Admin và Edit mặc định, ngăn chặn việc khai thác lỗ hổng thông tin đăng nhập mặc định.
- Thực hiện chuẩn hóa đầu vào phù hợp cho phần Ghi chú, khắc phục lỗ hổng XSS được lưu trữ.
- Hạn chế tải tệp lên các định dạng an toàn, bao gồm CSV, JPG, PNG, TXT, DOC và PDF. Điều này làm giảm đáng kể rủi ro từ lỗ hổng tải tệp độc hại.
- Phiên bản cập nhật cũng ngăn chặn việc thực thi tệp, giới hạn chức năng tải lên chỉ để hiển thị.
Các tổ chức đang chạy Partner Web phiên bản 4.32 và các phiên bản cũ hơn cần phải áp dụng ngay lập tức bản vá bảo mật có sẵn. Việc trì hoãn có thể khiến hệ thống của họ tiếp tục dễ bị tấn công và có nguy cơ cao xảy ra các sự cố an ninh mạng nghiêm trọng.
Việc không cập nhật kịp thời không chỉ làm tăng nguy cơ rò rỉ dữ liệu mà còn có thể làm gián đoạn các dịch vụ thiết yếu, gây ra thiệt hại đáng kể về tài chính và danh tiếng.
Quy trình tiết lộ lỗ hổng và vai trò của CISA
Các lỗ hổng này đã được tiết lộ một cách có trách nhiệm bởi Ryan Pohlner từ Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng (CISA).
Hành động này nhấn mạnh cam kết của chính phủ liên bang trong việc bảo mật phần mềm cơ sở hạ tầng quan trọng. Vai trò của CISA trong việc điều phối tiết lộ và khuyến nghị vá lỗi là rất quan trọng để đảm bảo an ninh cho các hệ thống công cộng và tư nhân.
Quá trình tiết lộ có trách nhiệm cho phép nhà cung cấp phần mềm có đủ thời gian để phát triển và phát hành các bản vá trước khi thông tin chi tiết về lỗ hổng được công khai. Điều này giúp giảm thiểu rủi ro bị khai thác trong “thời gian chạy đua” giữa việc công bố và áp dụng bản vá.
Sự hợp tác giữa các nhà nghiên cứu bảo mật và cơ quan chính phủ như CISA là nền tảng để tăng cường khả năng phục hồi của không gian mạng quốc gia.
