Hai lỗ hổng bảo mật nghiêm trọng đã được xác định trong phần mềm Aviatrix Controller, được gán mã định danh CVE-2025-2171 và CVE-2025-2172. Các lỗ hổng này được phát hiện và báo cáo bởi Mandiant Red Team, nhấn mạnh tầm quan trọng của việc duy trì cập nhật bảo mật cho các hệ thống hạ tầng mạng.
Tổng quan về các Lỗ hổng
Các lỗ hổng này ảnh hưởng đến các phiên bản phần mềm Aviatrix Controller trước 7.1.4208, 7.2.5090, và 8.0.0. Khai thác thành công các lỗ hổng này có thể cho phép kẻ tấn công giành quyền kiểm soát quản trị hoàn toàn trên Controller, dẫn đến các hậu quả nghiêm trọng đối với hệ thống mạng và dữ liệu.
Kỹ thuật MITRE ATT&CK liên quan
- Đối với CVE-2025-2171: Kỹ thuật Bỏ qua xác thực (Authentication Bypass).
- Đối với CVE-2025-2172: Kỹ thuật Chèn lệnh (Command Injection).
Chi tiết kỹ thuật CVE-2025-2171: Bỏ qua xác thực
CVE-2025-2171 là một lỗ hổng bỏ qua xác thực tồn tại trong cơ chế đặt lại mật khẩu của Aviatrix Controller. Lỗ hổng này xuất phát từ việc sử dụng mã PIN đặt lại mật khẩu có độ dài 6 chữ số cùng với các yếu tố thiết kế không an toàn khác, làm suy yếu nghiêm trọng khả năng bảo vệ của quy trình đặt lại mật khẩu:
- Độ phức tạp thấp (Low Entropy): Mã PIN đặt lại mật khẩu được tạo ra và nằm trong dải giới hạn từ 111,111 đến 999,999. Với tổng cộng 888,889 khả năng có thể, không gian tìm kiếm này là quá nhỏ để chống lại các cuộc tấn công vét cạn (brute-force) chuyên nghiệp. Một kẻ tấn công với các công cụ phù hợp có thể lặp lại tất cả các khả năng trong một khoảng thời gian hợp lý và có thể dự đoán được.
- Không có cơ chế khóa tài khoản (No Lockout Mechanism): Đây là một thiếu sót bảo mật nghiêm trọng. Hệ thống không áp dụng bất kỳ cơ chế khóa tài khoản hoặc giới hạn số lần thử nhập mã PIN không chính xác. Điều này cho phép kẻ tấn công thực hiện hàng trăm nghìn hoặc thậm chí hàng triệu lần thử liên tiếp mà không bị phát hiện hoặc chặn. Sự vắng mặt của cơ chế này trực tiếp làm cho cuộc tấn công vét cạn trở nên khả thi và hiệu quả đối với toàn bộ không gian mã PIN.
- Thời gian hiệu lực mã thông báo (Token Validity Window): Mã PIN đặt lại mật khẩu có hiệu lực trong khoảng thời gian 15 phút. Mặc dù có giới hạn về thời gian, việc thiếu cơ chế khóa tài khoản đã nêu trên đồng nghĩa với việc kẻ tấn công có thể thực hiện một cuộc tấn công vét cạn toàn bộ dải mã PIN trong vòng 15 phút này, hoặc lặp đi lặp lại các cuộc tấn công trong các cửa sổ 15 phút khác nhau cho đến khi thành công.
- Không hủy hiệu lực mã thông báo sau khi thử sai: Các mã thông báo đặt lại mật khẩu không bị vô hiệu hóa hoặc làm mới sau các lần thử không thành công. Điều này có nghĩa là một mã PIN đã cấp vẫn có thể được sử dụng với các thử nghiệm khác nhau trong suốt 15 phút hiệu lực, làm tăng đáng kể cơ hội thành công của cuộc tấn công vét cạn mà không cần yêu cầu mã PIN mới.
Do sự kết hợp của những điểm yếu này, kẻ tấn công có thể thực hiện một cuộc tấn công vét cạn mã PIN đặt lại mật khẩu với tỷ lệ thành công cao. Theo phân tích, việc giành được quyền truy cập quản trị thông qua cuộc tấn công vét cạn này chỉ mất khoảng 16 giờ, một khoảng thời gian khả thi đối với nhiều tác nhân đe dọa có đủ tài nguyên tính toán.
Chi tiết kỹ thuật CVE-2025-2172: Chèn lệnh sau xác thực
CVE-2025-2172 là một lỗ hổng chèn lệnh (Command Injection) tồn tại sau khi kẻ tấn công đã xác thực thành công vào Aviatrix Controller. Lỗ hổng này liên quan đến cách thức giao diện PHP front-end xử lý và truyền dữ liệu đầu vào của người dùng cho một chương trình thực thi Python back-end có tên là cloudxd, dẫn đến việc thực thi mã tùy ý với đặc quyền cao nhất.
- Truyền dữ liệu không được kiểm soát: Lỗi cơ bản nằm ở việc giao diện PHP front-end truyền trực tiếp các giá trị đầu vào do người dùng cung cấp tới chương trình Python back-end cloudxd mà không thực hiện việc làm sạch (sanitization) hoặc kiểm tra đầu vào đầy đủ. Khi một ứng dụng chấp nhận đầu vào của người dùng và sử dụng nó để xây dựng một lệnh hệ thống mà không kiểm tra các ký tự đặc biệt có thể phá vỡ cấu trúc lệnh (ví dụ: dấu chấm phẩy
;, pipe|, backtick`), lỗ hổng chèn lệnh sẽ xuất hiện. Điều này cho phép kẻ tấn công đưa các lệnh tùy ý vào luồng thực thi của hệ thống. - Thực thi với quyền root: Chương trình cloudxd được thiết lập để chạy với quyền root thông qua việc sử dụng các lệnh sudo. Điều này là đặc biệt nguy hiểm vì nó có nghĩa là bất kỳ lệnh nào được chèn thành công sẽ được thực thi với đặc quyền cao nhất trên hệ thống. Quyền root cho phép kẻ tấn công thực hiện mọi hành động, bao gồm thay đổi cấu hình hệ thống, cài đặt phần mềm độc hại, truy cập và sửa đổi dữ liệu nhạy cảm, hoặc tạo tài khoản người dùng mới và thiết lập các cửa hậu (backdoor) để duy trì quyền truy cập.
- Đường dẫn tệp thực thi: Tệp thực thi của chương trình Controller server được xác định tại đường dẫn
/etc/cloudx/cloudxd. Đây là thành phần mà kẻ tấn công sẽ nhắm mục tiêu để chèn các lệnh độc hại, lợi dụng cách mà nó xử lý các tham số được truyền từ PHP front-end.
Khi đã có quyền truy cập quản trị vào hệ thống thông qua CVE-2025-2171 hoặc bằng một cách nào đó xác thực được vào hệ thống, kẻ tấn công có thể lợi dụng CVE-2025-2172 để thực thi các lệnh tùy ý trên Controller với quyền root. Điều này mang lại cho kẻ tấn công khả năng kiểm soát hoàn toàn hệ thống, biến Aviatrix Controller thành một điểm pivot (điểm trung gian) để tiếp tục các cuộc tấn công vào hạ tầng mạng đám mây rộng lớn hơn, gây ra rủi ro nghiêm trọng cho toàn bộ môi trường.
Tác động và Khai thác
Sự kết hợp của hai lỗ hổng này tạo ra một kịch bản tấn công nguy hiểm, cho phép kẻ tấn công đạt được quyền kiểm soát quản trị từ xa đối với hệ thống Aviatrix Controller:
- Kẻ tấn công sử dụng CVE-2025-2171 để vượt qua cơ chế xác thực, giành quyền truy cập quản trị vào Aviatrix Controller sau khoảng 16 giờ thực hiện cuộc tấn công vét cạn mã PIN đặt lại mật khẩu.
- Sau khi xác thực thành công vào hệ thống, kẻ tấn công lợi dụng CVE-2025-2172 để thực thi các lệnh tùy ý với quyền root trên hệ thống Controller, do lỗi chèn lệnh thông qua giao diện PHP và chương trình cloudxd xử lý các đầu vào không an toàn.
Việc giành quyền root trên Aviatrix Controller cho phép kẻ tấn công thực hiện bất kỳ hành động nào mà họ muốn, từ việc thu thập thông tin nhạy cảm về cấu hình mạng và tài khoản, phá hoại hệ thống bằng cách xóa hoặc thay đổi dữ liệu quan trọng, cho đến việc thiết lập cơ sở hạ tầng cho các cuộc tấn công tiếp theo trong môi trường đám mây của nạn nhân. Điều này có thể dẫn đến việc rò rỉ dữ liệu, gián đoạn hoạt động, hoặc thậm chí là kiểm soát hoàn toàn hạ tầng đám mây mà Aviatrix Controller đang quản lý.
Biện pháp khắc phục
Để bảo vệ hệ thống Aviatrix Controller khỏi các lỗ hổng nghiêm trọng này, điều quan trọng nhất là phải cập nhật phần mềm lên các phiên bản đã được vá lỗi. Các phiên bản Aviatrix Controller đã khắc phục các lỗ hổng CVE-2025-2171 và CVE-2025-2172 bao gồm:
- Phiên bản 7.1.4208 trở lên.
- Phiên bản 7.2.5090 trở lên.
- Phiên bản 8.0.0 trở lên.
Người dùng và quản trị viên hệ thống được khuyến nghị mạnh mẽ nên kiểm tra phiên bản Aviatrix Controller hiện tại và lập kế hoạch nâng cấp ngay lập tức nếu đang sử dụng các phiên bản dễ bị tấn công. Việc nâng cấp lên các phiên bản an toàn là biện pháp hiệu quả nhất để loại bỏ rủi ro do CVE-2025-2171 và CVE-2025-2172 gây ra, đảm bảo tính toàn vẹn và bảo mật của hệ thống quản lý mạng đám mây.
Thông tin về đường dẫn tệp thực thi của Controller server có liên quan đến CVE-2025-2172:
/etc/cloudx/cloudxd
