Một lỗ hổng nghiêm trọng đã được phát hiện trong IBM WebSphere Application Server, định danh là CVE-2025-36038. Lỗ hổng này tiềm ẩn nguy cơ cho phép kẻ tấn công từ xa thực thi mã tùy ý (Remote Code Execution – RCE) trên hệ thống, đe dọa nghiêm trọng đến tính bảo mật và toàn vẹn của các ứng dụng chạy trên nền tảng này.
Phân tích CVE-2025-36038: RCE qua Deserialization của Dữ liệu Không đáng tin cậy
Lỗ hổng CVE-2025-36038 nằm ở khả năng IBM WebSphere Application Server xử lý một chuỗi đối tượng được serialize một cách đặc biệt, nhưng độc hại. Khi hệ thống tiến hành “khử serialize” (deserialization) dữ liệu không đáng tin cậy, kẻ tấn công có thể chèn các đối tượng độc hại vào luồng dữ liệu, dẫn đến việc thực thi mã tùy ý trên máy chủ.
Đây là một dạng tấn công phổ biến được phân loại dưới CWE-502: Deserialization of Untrusted Data. Lỗ hổng này khai thác cách thức các ứng dụng Java xử lý các đối tượng đã được chuyển đổi thành chuỗi byte (serialized) và sau đó được chuyển đổi ngược lại (deserialized). Nếu không có cơ chế kiểm tra và xác thực mạnh mẽ, kẻ tấn công có thể thao túng dữ liệu serialized để kích hoạt việc gọi các hàm hoặc lớp không mong muốn trong quá trình deserialization, từ đó thực thi mã tùy ý trên máy chủ.
Tác động của lỗ hổng này là cực kỳ nghiêm trọng, vì một kẻ tấn công từ xa có thể đạt được quyền kiểm soát hoàn toàn hệ thống mà không cần xác thực hoặc tương tác với người dùng. Điều này tạo ra một vectơ tấn công trực tiếp và hiệu quả để xâm nhập vào môi trường máy chủ, tiềm ẩn nguy cơ về mất dữ liệu, thay đổi dữ liệu hoặc gián đoạn dịch vụ nghiêm trọng.
Đánh giá Mức độ Nghiêm trọng theo CVSSv3.1
CVE-2025-36038 đã được gán điểm CVSS Base Score 9.0 trên thang điểm 10, xếp vào mức độ nghiêm trọng Critical (Nghiêm trọng). Điểm số này phản ánh mức độ rủi ro cực cao mà lỗ hổng này gây ra cho các hệ thống bị ảnh hưởng.
Phân tích chi tiết vector CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H như sau:
- AV:N (Attack Vector: Network): Lỗ hổng có thể bị khai thác từ xa qua mạng, không yêu cầu kẻ tấn công phải có quyền truy cập vật lý hoặc cục bộ vào hệ thống mục tiêu. Điều này làm tăng phạm vi của các cuộc tấn công tiềm năng.
- AC:H (Attack Complexity: High): Mặc dù độ phức tạp tấn công được đánh giá là cao, điều này thường liên quan đến việc xây dựng chuỗi payload deserialization độc hại. Việc tạo ra một chuỗi gadget (chuỗi các lời gọi hàm để thực thi mã) phù hợp có thể đòi hỏi kiến thức chuyên sâu và sự tỉ mỉ. Tuy nhiên, một khi payload được tạo thành công, việc khai thác trở nên khả thi và không đòi hỏi điều kiện phức tạp nào khác từ phía nạn nhân.
- PR:N (Privileges Required: None): Kẻ tấn công không cần bất kỳ đặc quyền nào để khởi động cuộc tấn công. Đây là một yếu tố làm tăng đáng kể mức độ nghiêm trọng, vì bất kỳ ai có thể tiếp cận máy chủ qua mạng đều có thể cố gắng khai thác.
- UI:N (User Interaction: None): Cuộc tấn công không yêu cầu bất kỳ tương tác nào từ phía người dùng bị ảnh hưởng. Điều này cho phép kẻ tấn công thực hiện cuộc tấn công một cách lặng lẽ và tự động.
- S:C (Scope: Changed): Tác động của lỗ hổng vượt ra ngoài phạm vi thành phần dễ bị tổn thương. Điều này có nghĩa là kẻ tấn công có thể không chỉ ảnh hưởng đến WebSphere Application Server mà còn có thể ảnh hưởng đến các tài nguyên, ứng dụng hoặc hệ thống khác trong cùng môi trường mạng.
- C:H (Confidentiality Impact: High): Lỗ hổng có thể dẫn đến việc tiết lộ toàn bộ thông tin nhạy cảm được lưu trữ hoặc xử lý bởi máy chủ ứng dụng.
- I:H (Integrity Impact: High): Kẻ tấn công có thể sửa đổi hoặc xóa bất kỳ dữ liệu nào trên hệ thống bị ảnh hưởng, bao gồm cả dữ liệu ứng dụng và hệ thống cấu hình.
- A:H (Availability Impact: High): Kẻ tấn công có thể gây ra việc từ chối dịch vụ hoàn toàn hoặc làm cho hệ thống không khả dụng, dẫn đến gián đoạn hoạt động kinh doanh nghiêm trọng.
Tổng hợp các yếu tố trên, lỗ hổng này cho phép kẻ tấn công từ xa đạt được khả năng thực thi mã tùy ý với tác động toàn diện đến tính bảo mật, toàn vẹn và khả dụng của hệ thống, đặt ra rủi ro đáng kể cho các tổ chức sử dụng IBM WebSphere Application Server.
Các Phiên bản IBM WebSphere Application Server Bị Ảnh hưởng
Lỗ hổng CVE-2025-36038 ảnh hưởng đến các phiên bản sau của IBM WebSphere Application Server:
- IBM WebSphere Application Server phiên bản 9.0: Tất cả các phiên bản từ 9.0.0.0 đến 9.0.5.24 đều dễ bị tổn thương.
- IBM WebSphere Application Server phiên bản 8.5: Tất cả các phiên bản từ 8.5.0.0 đến 8.5.5.27 đều dễ bị tổn thương.
Các tổ chức đang sử dụng bất kỳ phiên bản nào trong phạm vi này được khuyến nghị đặc biệt chú ý và thực hiện các biện pháp khắc phục ngay lập tức để bảo vệ hạ tầng của mình.
Biện pháp Khắc phục và Cập nhật Khẩn cấp
Để giảm thiểu rủi ro từ CVE-2025-36038, IBM đã cung cấp các bản vá và khuyến nghị cụ thể. Việc áp dụng các bản vá này là cực kỳ quan trọng để bảo vệ hệ thống của bạn trước các cuộc tấn công tiềm tàng:
Đối với IBM WebSphere Application Server phiên bản 9.0:
- Áp dụng Fix Pack 9.0.5.25 hoặc phiên bản mới hơn (dự kiến phát hành vào Quý 3 năm 2025).
- Hoặc sử dụng bản sửa lỗi tạm thời (interim fix) tương ứng với APAR PH66674. Bản sửa lỗi tạm thời này sẽ cung cấp khả năng bảo vệ ngay lập tức trước khi Fix Pack chính thức được phát hành.
Đối với IBM WebSphere Application Server phiên bản 8.5:
- Áp dụng Fix Pack 8.5.5.28 hoặc phiên bản mới hơn (dự kiến phát hành vào Quý 3 năm 2025).
- Hoặc sử dụng bản sửa lỗi tạm thời (interim fix) tương ứng với APAR PH66674. Tương tự như phiên bản 9.0, đây là giải pháp nhanh chóng để bảo vệ hệ thống.
Do thời điểm phát hành chính thức của các Fix Pack toàn diện được dự kiến vào Quý 3 năm 2025, các quản trị viên hệ thống được khuyến nghị ưu tiên áp dụng các bản sửa lỗi tạm thời (interim fixes) cho APAR PH66674 ngay khi chúng có sẵn. Việc này sẽ giúp bảo vệ hệ thống của bạn trong khi chờ đợi các bản Fix Pack toàn diện hơn, giảm thiểu thời gian phơi nhiễm trước lỗ hổng.
Để đảm bảo rằng bạn đang nhận được thông tin mới nhất và chính xác nhất về các bản vá, hãy thường xuyên kiểm tra các thông báo bảo mật và khuyến nghị từ IBM Security Bulletins và kênh hỗ trợ chính thức của IBM.
Hiểu sâu hơn về Lỗ hổng Deserialization (CWE-502)
Lỗ hổng Deserialization of Untrusted Data (CWE-502) là một trong những loại lỗ hổng nghiêm trọng nhất, thường xuyên xuất hiện trong các ứng dụng Java và .NET. Bản chất của vấn đề nằm ở việc ứng dụng chấp nhận và xử lý dữ liệu serialized mà không kiểm tra đầy đủ tính hợp lệ hoặc nguồn gốc của chúng.
Khi một đối tượng Java được “serialize”, trạng thái của nó được chuyển đổi thành một chuỗi byte để có thể lưu trữ hoặc truyền qua mạng. Quá trình “deserialize” là việc khôi phục đối tượng từ chuỗi byte đó. Vấn đề nảy sinh khi kẻ tấn công có thể chèn các chuỗi byte được tạo đặc biệt, chứa mã độc hoặc tham chiếu đến các lớp độc hại, vào luồng dữ liệu.
Trong quá trình deserialization, các hàm constructor hoặc phương thức của các đối tượng này có thể tự động được gọi mà không có sự kiểm soát, dẫn đến việc thực thi mã tùy ý (arbitrary code execution). Các thư viện phổ biến như Apache Commons Collections, Jackson, Spring, và trong một số trường hợp, ngay cả các lớp Java tiêu chuẩn, có thể bị lợi dụng như “gadget chains” để xây dựng các payload tấn công phức tạp, cho phép kẻ tấn công vượt qua các biện pháp bảo mật hiện có.
Đối với WebSphere Application Server, việc khai thác lỗ hổng deserialization thường liên quan đến việc gửi các yêu cầu HTTP chứa dữ liệu serialized độc hại đến một endpoint cụ thể mà máy chủ đang lắng nghe. Điều này có thể được thực hiện mà không cần bất kỳ đặc quyền nào trên máy chủ, biến nó thành một vectơ tấn công hiệu quả cho các kẻ xâm nhập từ xa.
Các biện pháp phòng ngừa và Thực tiễn tốt nhất
Ngoài việc áp dụng các bản vá khẩn cấp, các tổ chức nên xem xét các biện pháp bảo mật tổng thể để giảm thiểu rủi ro từ các lỗ hổng deserialization và các loại tấn công tương tự, củng cố tư thế bảo mật chung của hệ thống:
- Giới hạn Deserialization: Tránh deserialize dữ liệu từ các nguồn không đáng tin cậy. Nếu bắt buộc phải deserialize, hãy chỉ cho phép deserialize các lớp đã biết và đáng tin cậy (whitelisting). Sử dụng các kỹ thuật “look-ahead” hoặc các cơ chế kiểm soát loại lớp để đảm bảo chỉ các lớp đã được phê duyệt mới được deserialize.
- Xác thực và Làm sạch Dữ liệu Đầu vào: Thực hiện xác thực đầu vào nghiêm ngặt trên tất cả dữ liệu nhận được từ bên ngoài, ngay cả khi dữ liệu đó được mong đợi là đã serialized. Bất kỳ dữ liệu không xác định hoặc không phù hợp nào cũng cần bị từ chối hoặc được xử lý một cách an toàn.
- Cập nhật Thường xuyên: Luôn giữ cho tất cả các phần mềm, bao gồm hệ điều hành, máy chủ ứng dụng (như WebSphere), thư viện và framework, ở phiên bản mới nhất. Các bản cập nhật thường xuyên chứa các bản vá cho các lỗ hổng đã biết và cải thiện các cơ chế bảo mật.
- Giám sát An ninh Nâng cao: Triển khai các hệ thống giám sát an ninh (SIEM, IDS/IPS) để phát hiện các mẫu lưu lượng truy cập bất thường, các yêu cầu HTTP đáng ngờ hoặc các hoạt động deserialization không mong muốn. Mặc dù khó phát hiện các payload deserialization tinh vi, nhưng các hành vi hậu khai thác (post-exploitation) hoặc các dấu hiệu ban đầu của cuộc tấn công có thể bị phát hiện thông qua giám sát log và phân tích hành vi.
- Phân đoạn Mạng và Nguyên tắc Đặc quyền Tối thiểu: Triển khai các chính sách phân đoạn mạng để giới hạn khả năng tiếp cận của các máy chủ ứng dụng từ Internet công cộng. Đảm bảo rằng WebSphere Application Server chỉ có quyền truy cập vào các tài nguyên và dịch vụ cần thiết (nguyên tắc đặc quyền tối thiểu).
- Sử dụng Web Application Firewall (WAF): Mặc dù WAF không thể ngăn chặn tất cả các cuộc tấn công deserialization tinh vi, chúng có thể cung cấp một lớp bảo vệ bổ sung bằng cách lọc một số mẫu payload hoặc hạn chế các yêu cầu đáng ngờ dựa trên các quy tắc đã biết.
- Kiểm tra Bảo mật Mã Nguồn và Penetration Testing Định kỳ: Thường xuyên thực hiện kiểm tra bảo mật mã nguồn (SAST – Static Application Security Testing, DAST – Dynamic Application Security Testing) và kiểm thử xâm nhập (penetration testing) để xác định và khắc phục các lỗ hổng trước khi chúng bị khai thác bởi các tác nhân độc hại.
