CISA Cập Nhật Danh Mục KEV: Ba Lỗ Hổng Bảo Mật Mới Cần Chú Ý

18/04/2025
4 mins read
Nội dung
Danh Mục Lỗ Hổng Được Khai Thác (KEV) Của CISA Được Cập Nhật: Ba Lỗ Hổng Mới Đáng Chú Ý
1. CVE-2021-20035: Lỗ Hổng OS Command Injection Trên SonicWall SMA100 Appliances
2. CVE-2025-31161: Lỗ Hổng Authentication Bypass Trên CrushFTP
3. CVE-2025-22457: Lỗ Hổng Stack Buffer Overflow Trên Ivanti Connect Secure
Tác Động Thực Tiễn Và Khuyến Nghị Hành Động
Kết Luận

Danh Mục Lỗ Hổng Được Khai Thác (KEV) Của CISA Được Cập Nhật: Ba Lỗ Hổng Mới Đáng Chú Ý

Cơ quan An ninh mạng và Hạ tầng (CISA) của Hoa Kỳ vừa bổ sung ba lỗ hổng bảo mật mới vào danh mục Known Exploited Vulnerabilities (KEV), một nguồn tài nguyên quan trọng giúp các chuyên gia an ninh mạng quản lý và giảm thiểu các mối đe dọa đang hoạt động. Trong bài viết này, chúng ta sẽ phân tích chi tiết về các lỗ hổng mới được thêm vào và đưa ra khuyến nghị dành cho các tổ chức, đặc biệt là các chuyên viên bảo mật, quản trị hệ thống và lập trình viên.

1. CVE-2021-20035: Lỗ Hổng OS Command Injection Trên SonicWall SMA100 Appliances

Lỗ hổng CVE-2021-20035 ảnh hưởng đến các thiết bị SonicWall SMA100, cho phép kẻ tấn công thực hiện tiêm lệnh hệ điều hành (OS command injection), có thể dẫn đến thực thi mã từ xa (remote code execution) và chiếm quyền kiểm soát toàn bộ hệ thống.

  • Tác động: Lỗ hổng này tạo ra rủi ro nghiêm trọng cho các tổ chức thuộc khu vực công và tư nhân, khi kẻ tấn công có thể khai thác để truy cập trái phép và thực thi lệnh tùy ý trên hệ thống bị ảnh hưởng.
  • Giải pháp khắc phục: CISA kêu gọi tất cả các tổ chức nhanh chóng áp dụng các bản vá (patches) cần thiết. Đặc biệt, các cơ quan thuộc Chi nhánh Hành pháp Dân sự Liên bang (FCEB) được yêu cầu khắc phục lỗ hổng này trước thời hạn quy định để bảo vệ mạng lưới khỏi các mối đe dọa đang hoạt động.

2. CVE-2025-31161: Lỗ Hổng Authentication Bypass Trên CrushFTP

Lỗ hổng CVE-2025-31161 trên CrushFTP cho phép kẻ tấn công không xác thực (unauthenticated) bỏ qua cơ chế xác thực thông qua lỗ hổng trong header ủy quyền HTTP (HTTP authorization header). Điều này giúp kẻ tấn công có thể đăng nhập vào bất kỳ tài khoản người dùng nào nếu biết hoặc đoán được thông tin tài khoản.

  • Tác động: Lỗ hổng đã bị khai thác ngoài thực tế (in-the-wild) kể từ ngày 3 tháng 4 năm 2025. Các báo cáo cho thấy kẻ tấn công sử dụng lỗ hổng này để cài phần mềm điều khiển từ xa hợp pháp (legitimate remote desktop software) và thu thập thông tin xác thực (credential harvesting). Các vụ xâm nhập có thể đã xảy ra sớm nhất vào ngày 30 tháng 3 năm 2025.
  • Giải pháp khắc phục: CISA đã đưa lỗ hổng này vào danh mục KEV và yêu cầu các cơ quan FCEB áp dụng bản vá trước ngày 28 tháng 4 năm 2025. Các tổ chức ngoài khu vực liên bang cũng được khuyến nghị ưu tiên khắc phục kịp thời để giảm thiểu nguy cơ bị tấn công mạng.

3. CVE-2025-22457: Lỗ Hổng Stack Buffer Overflow Trên Ivanti Connect Secure

Lỗ hổng CVE-2025-22457 ảnh hưởng đến nhiều sản phẩm của Ivanti, bao gồm Ivanti Connect Secure, Pulse Connect Secure, Ivanti Policy Secure và ZTA Gateway. Đây là lỗ hổng tràn bộ đệm ngăn xếp (stack-based buffer overflow), có thể bị khai thác để thực thi mã từ xa.

  • Tác động: Ban đầu, lỗ hổng này bị đánh giá sai là một lỗi sản phẩm mức độ thấp, nhưng sau đó đã được xác nhận là có khả năng bị khai thác. Một nhóm đe dọa nghi ngờ thuộc nhà nước Trung Quốc (UNC5221) đã sử dụng lỗ hổng này trong chiến dịch gián điệp mạng (cyber espionage campaign) kể từ giữa tháng 3 năm 2025.
  • Giải pháp khắc phục: Ivanti đã phát hành bản vá cho lỗ hổng này. CISA khuyến nghị các khách hàng đang sử dụng phiên bản bị ảnh hưởng nâng cấp lên phiên bản phần mềm mới nhất và thực hiện khôi phục cài đặt gốc (factory reset) trên thiết bị. Ngoài ra, cần kiểm tra (audit) tất cả tài khoản có quyền truy cập đặc quyền (privileged access) để đảm bảo an toàn ở mức cao nhất.

Tác Động Thực Tiễn Và Khuyến Nghị Hành Động

Việc bổ sung ba lỗ hổng trên vào danh mục KEV của CISA nhấn mạnh tầm quan trọng của việc quản lý lỗ hổng (vulnerability management) và phản ứng kịp thời trước các mối đe dọa đang hoạt động. Dưới đây là một số khuyến nghị dành cho các tổ chức và chuyên gia IT:

  • Ưu tiên khắc phục: Các tổ chức, đặc biệt là trong khu vực công, cần ưu tiên áp dụng bản vá và thực hiện các thay đổi cấu hình nhằm giảm thiểu nguy cơ bị khai thác.
  • Giám sát hoạt động của kẻ tấn công: Các lỗ hổng trong danh mục KEV cho thấy sự gia tăng hoạt động của các nhóm đe dọa tinh vi, bao gồm các nhóm được nhà nước hậu thuẫn. Việc giám sát liên tục và xây dựng chiến lược phòng thủ chủ động (proactive defense) là điều cần thiết.
  • Theo dõi thông báo từ nhà cung cấp: Các tổ chức cần cập nhật thường xuyên thông báo bảo mật từ các nhà cung cấp như SonicWall và Ivanti để đảm bảo áp dụng các biện pháp sửa lỗi kịp thời.
  • Quản lý rủi ro: Thực hiện quét lỗ hổng định kỳ (regular vulnerability scanning) và triển khai các biện pháp giảm thiểu tác động của các lỗ hổng đã biết.
  • Đào tạo và nâng cao nhận thức: Các chuyên gia an ninh mạng cần được cập nhật thông tin tình báo về mối đe dọa (threat intelligence) và tham gia các chương trình đào tạo thường xuyên để nhận diện và xử lý các lỗ hổng một cách hiệu quả.

Kết Luận

Các bổ sung mới vào danh mục Known Exploited Vulnerabilities của CISA phản ánh bản chất không ngừng thay đổi của các mối đe dọa an ninh mạng. Việc hiểu rõ chi tiết kỹ thuật và tác động thực tiễn của những lỗ hổng này giúp các chuyên gia IT chuẩn bị tốt hơn để giảm thiểu rủi ro cho tổ chức của mình. Giám sát liên tục, khắc phục kịp thời và triển khai chiến lược phòng thủ chủ động là chìa khóa để bảo vệ hệ thống khỏi các lỗ hổng đã được xác nhận khai thác.