Các lỗ hổng nghiêm trọng đã được công bố trong nền tảng điều phối SD-WAN của Versa Networks, mang tên Versa Director. Những lỗ hổng này cho phép kẻ tấn công đã được xác thực tải lên các tệp độc hại và thực thi các lệnh tùy ý trên các hệ thống bị ảnh hưởng. Sự cố này đặt ra một rủi ro đáng kể đối với tính toàn vẹn và bảo mật của cơ sở hạ tầng mạng sử dụng giải pháp này.
Phân tích lỗ hổng trong Versa Director
Versa Director đóng vai trò là một thành phần trung tâm trong việc quản lý và điều phối các mạng SD-WAN, cung cấp khả năng hiển thị và kiểm soát tập trung. Do đó, bất kỳ lỗ hổng nào trong nền tảng này đều có thể dẫn đến việc xâm nhập toàn bộ mạng, ảnh hưởng đến hoạt động và dữ liệu nhạy cảm.
CVE-2025-23171: Lỗ hổng Tải lên Tệp (File Upload Vulnerability)
Mức độ nghiêm trọng: Cao (CVSS 7.2)
Các phiên bản bị ảnh hưởng:
- Phiên bản 22.1.4 (trước ngày 8 tháng 2 năm 2025)
- Phiên bản 22.1.3 / 22.1.2 / 21.2.3 (trước ngày 10 tháng 6 năm 2025)
- Ngoài ra còn bao gồm các phiên bản: 22.1.1 và 21.2.2
Chi tiết kỹ thuật: Lỗ hổng này cho phép người dùng đã xác thực tải lên các tệp tùy ý, bao gồm các loại tệp nguy hiểm như webshell, thông qua tính năng tải lên hình ảnh UCPE (Universal Customer Premise Equipment) của Versa Director. Mặc dù giao diện người dùng (UI) cố gắng chặn các tệp tải lên này bằng cách xác thực loại MIME (Multipurpose Internet Mail Extensions), nhưng các kiểm tra phía backend lại không đủ chặt chẽ và có thể bị bỏ qua.
Kẻ tấn công có thể bỏ qua quá trình kiểm tra bằng cách thêm các đối số bổ sung vào tên tệp (kỹ thuật argument injection). Ví dụ, thay vì tải lên một tệp có tên shell.php, kẻ tấn công có thể đổi tên nó thành shell.php;.jpg. Điều này đánh lừa hệ thống phía frontend nghĩ rằng đó là một tệp hình ảnh hợp lệ, nhưng phía backend lại xử lý nó như một tệp PHP hoặc bất kỳ loại tệp nào được chỉ định bởi phần mở rộng thực sự. Sự thiếu sót trong việc kiểm tra chặt chẽ ở backend này mở ra cánh cửa cho việc tải lên bất kỳ loại tệp nào.
Một yếu tố quan trọng khác là nền tảng tiết lộ tên tệp tạm thời được tải lên đầy đủ, bao gồm một tiền tố UUID (Universally Unique Identifier). Thông tin này cung cấp cho kẻ tấn công đường dẫn chính xác cần thiết để kích hoạt các tải trọng độc hại từ xa. Sau khi một webshell được tải lên và truy cập thành công, kẻ tấn công có thể đạt được khả năng thực thi mã từ xa (RCE – Remote Code Execution) trên hệ thống bị ảnh hưởng. Điều này có nghĩa là kẻ tấn công có thể thực hiện bất kỳ lệnh nào trên máy chủ, dẫn đến việc kiểm soát hoàn toàn hệ thống, truy cập dữ liệu nhạy cảm, hoặc triển khai các phần mềm độc hại khác.
Các báo cáo công khai hiện tại cho thấy chưa có bằng chứng về việc khai thác tích cực các lỗ hổng này trong thực tế. Tuy nhiên, các bằng chứng khái niệm (Proof-of-Concept – PoC) về khai thác đã tồn tại cho CVE-2025-23171, chứng minh khả năng bỏ qua cơ chế tải tệp và dẫn đến RCE. Điều này nhấn mạnh tính cấp bách của việc áp dụng các bản vá lỗi.
CVE-2025-23172: Lạm dụng Chức năng Webhook (Webhook Abuse)
Mức độ nghiêm trọng: Cao (điểm CVSS xấp xỉ ~7.x)
Chi tiết kỹ thuật: Lỗ hổng này liên quan đến việc lạm dụng chức năng webhook của Versa Director. Ban đầu, webhook được thiết kế để gửi cảnh báo ra bên ngoài, tích hợp với các hệ thống giám sát hoặc công cụ SIEM (Security Information and Event Management) khác. Tuy nhiên, chức năng này có thể bị thao túng thông qua các tính năng “Add Webhook” và “Test Webhook” để gửi các yêu cầu HTTP được tạo thủ công (crafted HTTP requests) nhắm mục tiêu vào các điểm cuối của hệ thống cục bộ (local system endpoints).
Việc lạm dụng này có thể cho phép kẻ tấn công thực hiện các cuộc tấn công kiểu Server-Side Request Forgery (SSRF), trong đó máy chủ bị buộc phải thực hiện các yêu cầu HTTP đến các tài nguyên nội bộ hoặc bên ngoài dưới sự kiểm soát của kẻ tấn công. Trong trường hợp này, nó có thể tạo điều kiện thuận lợi cho việc thực thi lệnh hoặc các hành động trái phép khác trên các dịch vụ cục bộ đang chạy trên máy chủ Versa Director. Ví dụ, kẻ tấn công có thể gửi yêu cầu đến các cổng dịch vụ nội bộ không được tiếp xúc công khai, lợi dụng các lỗ hổng trên các dịch vụ đó hoặc thu thập thông tin nhạy cảm từ chúng.
Khuyến nghị và biện pháp khắc phục cho Versa Director
Không có giải pháp thay thế thông qua giao diện đồ họa người dùng (GUI workarounds) cho các lỗ hổng này. Biện pháp khắc phục duy nhất và được khuyến nghị là nâng cấp phần mềm Versa Director lên các phiên bản đã được vá lỗi ngay lập tức. Đây là hành động quan trọng nhất để bảo vệ hệ thống khỏi các mối đe dọa này.
Các phiên bản đã được vá lỗi có thể được tìm thấy trong các ghi chú phát hành chính thức của Versa Networks:
| Phiên bản | URL Ghi chú Phát hành |
|---|---|
| 22.1.4 | https://support.versa-networks.com/support/solutions/articles/23000026708-release-22-1-4 |
| 22.1.3 | https://support.versa-networks.com/support/solutions/articles/23000026033-release-22-13 |
| Các bản phát hành liên quan khác | Tham khảo các bài viết hỗ trợ chính thức của Versa Networks. |
Tóm tắt các lỗ hổng chính trong Versa Director:
| Lỗ hổng | Mô tả | Mức độ nghiêm trọng | Các phiên bản bị ảnh hưởng |
|---|---|---|---|
| CVE-2025–23171 | Tải lên tệp đã được xác thực dẫn đến RCE thông qua webshell qua tính năng tải lên hình ảnh UCPE với xác thực backend không đủ. | Cao (7.2) | Nhiều phiên bản trước bản vá được liệt kê ở trên. |
| CVE–2025–23172 | Lạm dụng tính năng webhook cho phép gửi các yêu cầu HTTP được tạo thủ công đến các tài nguyên cục bộ. | Cao | Tương tự như trên. |
Kỹ thuật MITRE ATT&CK có thể liên quan
Dựa trên các vectơ tấn công điển hình liên quan đến việc tải lên tệp dẫn đến thực thi mã từ xa, các kỹ thuật MITRE ATT&CK sau đây có thể liên quan đến việc khai thác các lỗ hổng trong Versa Director:
- T1208 – Exploitation for Client Execution: Liên quan đến việc tải lên các tải trọng độc hại hoặc webshell để thực thi mã trên hệ thống.
- T1190 – Exploit Public-Facing Application: Khai thác các lỗ hổng trong các ứng dụng hướng ra ngoài internet, trong trường hợp này là nền tảng quản lý SD-WAN.
- T1059 – Command-Line Interface Execution: Việc thực thi lệnh trực tiếp trên hệ thống thông qua một webshell hoặc các phương tiện khác sau khi đã xâm nhập.
- T1573 – Encrypted Channel: Có thể được sử dụng trong giai đoạn hậu khai thác để duy trì kênh liên lạc được mã hóa, làm phức tạp việc phát hiện và phân tích từ phía phòng thủ.
Các chỉ báo xâm nhập (IOCs) & Artefacts kỹ thuật
Theo nội dung hiện có, không có các hash cụ thể hoặc URL liên quan trực tiếp đến các mẫu phần mềm độc hại nào được cung cấp. Tuy nhiên, một chi tiết kỹ thuật quan trọng được tiết lộ là định dạng tên tệp tạm thời được tải lên, bao gồm một tiền tố UUID. Chi tiết này giúp kẻ tấn công xác định chính xác đường dẫn đến tệp đã tải lên để kích hoạt nó.
Định dạng tên tệp tạm thời được tải lên:
<UUID>-<original_filename>
Ví dụ, nếu một tệp tên shell.php được tải lên, tên tệp tạm thời có thể là e1b2c3d4-a5b6-c7d8-e9f0-1234567890ab-shell.php. Kẻ tấn công có thể sử dụng đường dẫn này để truy cập trực tiếp vào webshell đã tải lên.
Không có ví dụ về lệnh CLI (Command-Line Interface) hoặc đoạn mã cấu hình cụ thể nào được bao gồm trong thông tin này liên quan đến các lỗ hổng của Versa Director.
Các lỗ hổng nghiêm trọng liên quan trong nền tảng Versa Concerto
Ngoài các lỗ hổng trong Versa Director, ba lỗ hổng nghiêm trọng khác đã được xác định trong Versa Concerto, một nền tảng quản lý tập trung liên quan nhưng khác biệt so với Versa Director. Những lỗ hổng này cũng cần được đặc biệt chú ý do mức độ nghiêm trọng và tác động tiềm tàng của chúng.
CVE–2025–34027
Điểm nghiêm trọng: Tối đa — 10/10 (CVSS)
Mô tả: Lỗ hổng này liên quan đến sự không nhất quán trong việc giải mã URL (URL decoding inconsistency). Khi kết hợp với một điều kiện tranh chấp (race condition), nó cho phép kẻ tấn công vượt qua xác thực (authentication bypass) và ghi các tệp độc hại bằng cách sử dụng kỹ thuật ld.so.preload. Kỹ thuật ld.so.preload cho phép một chương trình tải một thư viện động tùy ý trước khi các thư viện hệ thống tiêu chuẩn được tải. Nếu kẻ tấn công có thể chèn một tệp thư viện động độc hại vào đường dẫn ld.so.preload, họ có thể thực thi mã tùy ý với quyền hạn cao nhất trên hệ thống, dẫn đến thực thi mã từ xa (RCE) với khả năng tạo reverse shell (kết nối ngược lại từ máy chủ bị xâm nhập đến máy của kẻ tấn công).
CVE–2025–34026
Điểm nghiêm trọng: 9.2 (CVSS)
Mô tả: Lỗ hổng này phát sinh từ việc dựa vào không đúng cách vào tiêu đề X-Real-IP. Tiêu đề X-Real-IP thường được sử dụng trong các môi trường proxy ngược hoặc cân bằng tải để truyền địa chỉ IP thực của client đến ứng dụng backend. Việc tin tưởng không đúng cách vào tiêu đề này cho phép kẻ tấn công bỏ qua kiểm soát truy cập đối với các điểm cuối Spring Boot Actuator nhạy cảm. Các điểm cuối Actuator trong ứng dụng Spring Boot cung cấp các thông tin chi tiết về hoạt động của ứng dụng, như tình trạng, thông số đo lường, cấu hình, và các tính năng quản lý khác. Việc truy cập trái phép vào các điểm cuối này có thể tiết lộ thông tin nhạy cảm hoặc cho phép kẻ tấn công thao túng hoạt động của ứng dụng.
CVE–2025–34025
Điểm nghiêm trọng: 8.6 (CVSS)
Mô tả: Lỗ hổng này liên quan đến cấu hình Docker sai. Cụ thể, cấu hình này có thể khiến các tệp nhị phân của máy chủ (host binaries) bị phơi bày và có thể ghi được bởi các container Docker đang chạy. Trong một môi trường Docker được cấu hình đúng, các container sẽ được cô lập khỏi hệ thống máy chủ để ngăn chặn các cuộc tấn công thoát container (container breakout). Tuy nhiên, nếu các tệp nhị phân quan trọng của máy chủ bị gắn kết (mounted) vào container với quyền ghi, kẻ tấn công có thể sửa đổi chúng từ bên trong container. Điều này tiềm ẩn nguy cơ dẫn đến việc chiếm đoạt toàn bộ máy chủ (full host compromise), cho phép kẻ tấn công kiểm soát hoàn toàn hệ thống vật lý hoặc máy ảo đang chạy các container.
Các lỗ hổng trong Versa Concerto vẫn chưa được vá tại thời điểm báo cáo và đặt ra rủi ro đáng kể. Đặc biệt, với điểm số nghiêm trọng cao và các vectơ tác động tiềm tàng bao gồm bỏ qua xác thực và tấn công thoát container, chúng đòi hỏi sự chú ý khẩn cấp từ các tổ chức sử dụng nền tảng này.
Khuyến nghị giảm thiểu tổng thể
Để bảo vệ hệ thống khỏi các lỗ hổng đã nêu trong cả Versa Director và Versa Concerto, các tổ chức cần thực hiện các hành động sau một cách khẩn cấp:
- Nâng cấp ngay lập tức: Áp dụng tất cả các bản vá lỗi chính thức được phát hành bởi Versa Networks cho các sản phẩm bị ảnh hưởng. Việc này là ưu tiên hàng đầu và không có giải pháp thay thế nào khác hiệu quả.
- Giám sát liên tục: Triển khai giám sát chặt chẽ các hoạt động mạng và nhật ký hệ thống để phát hiện bất kỳ dấu hiệu khai thác hoặc hành vi đáng ngờ nào. Các hệ thống SIEM và IDS/IPS (Intrusion Detection/Prevention Systems) có thể đóng vai trò quan trọng trong việc này.
- Kiểm soát truy cập: Đảm bảo rằng chỉ những người dùng có đặc quyền tối thiểu cần thiết mới có quyền truy cập vào các tính năng quản trị của Versa Director và Versa Concerto.
- Đánh giá bảo mật: Thực hiện các đánh giá bảo mật định kỳ và kiểm tra thâm nhập (penetration testing) trên các nền tảng quản lý mạng để xác định và khắc phục các lỗ hổng tiềm ẩn trước khi chúng bị khai thác bởi kẻ tấn công.
Báo cáo này cung cấp một cái nhìn chi tiết về các lỗ hổng nghiêm trọng ảnh hưởng đến cơ sở hạ tầng điều phối SD-WAN của Versa Networks. Việc hiểu rõ bản chất kỹ thuật của những lỗ hổng này và thực hiện các biện pháp khắc phục kịp thời là vô cùng quan trọng đối với các chuyên viên bảo mật, lập trình viên, quản trị hệ thống và những người làm việc trong các trung tâm vận hành an ninh (SOC) để duy trì tính bảo mật của môi trường mạng doanh nghiệp.
