Lỗ hổng CVE-2026-27174 trong MajorDoMo gây ra rủi ro bảo mật nghiêm trọng cho các máy chủ có giao diện quản trị công khai. Lỗi này cho phép unauthenticated remote code execution thông qua luồng xác thực bị lỗi và việc đánh giá PHP động không an toàn.
Lỗ hổng CVE-2026-27174 Trong MajorDoMo
CVE-2026-27174 xuất phát từ luồng xử lý yêu cầu /admin.php. Khi xảy ra truy cập trái phép, ứng dụng vẫn tiếp tục thực thi sau lệnh chuyển hướng, làm vô hiệu hóa kiểm soát truy cập ở mức logic.
Điều này tạo ra một lỗ hổng CVE nghiêm trọng vì thành phần AJAX console nội bộ nhận đầu vào từ kẻ tấn công rồi chuyển trực tiếp vào hàm eval() của PHP. Chỉ với một yêu cầu HTTP được tạo đặc biệt, kẻ tấn công có thể đạt được thực thi mã phía máy chủ.
Theo NVD, đây là một remote code execution ảnh hưởng đến các phiên bản MajorDoMo có giao diện quản trị tiếp xúc trực tiếp với Internet.
Cơ Chế Khai Thác Lỗ Hổng CVE
Để khai thác lỗ hổng CVE-2026-27174, tác nhân chỉ cần gửi một yêu cầu HTTP GET duy nhất đến giao diện quản trị bị lộ. Yêu cầu này phải kích hoạt biến định tuyến nội bộ, chọn thao tác console và đưa payload độc hại qua tham số command.
Mặc dù máy chủ trả về phản hồi redirect cho client, bộ thông dịch phía backend vẫn tiếp tục xử lý payload đã chèn. Kết quả là mã PHP tùy ý được thực thi trên máy chủ MajorDoMo.
Kiểu lỗi này khiến lỗ hổng zero-day có tiềm năng bị khai thác nhanh nếu hệ thống chưa được vá hoặc vẫn để cổng quản trị mở công khai.
Tác Động Hệ Thống
Khi khai thác thành công, kẻ tấn công có thể:
- Thực thi lệnh ở mức hệ thống trên máy chủ ứng dụng.
- Đọc các tệp cấu hình nhạy cảm.
- Tạo web shell để duy trì truy cập lâu dài.
- Chuyển từ xâm nhập web sang kiểm soát rộng hơn trong mạng nội bộ.
Vì MajorDoMo thường đóng vai trò điều phối camera, cảm biến, tự động hóa và các dịch vụ IoT nội bộ, lỗ hổng CVE này có thể mở rộng tác động từ ứng dụng web sang toàn bộ môi trường smart-home và hạ tầng kết nối phía sau.
Trong bối cảnh đó, một hệ thống bị xâm nhập có thể trở thành điểm bám để tiếp cận các phân đoạn mạng được bảo vệ tốt hơn, thu thập cấu hình dịch vụ và gián đoạn vận hành.
IOC Và Dấu Hiệu Phát Hiện Xâm Nhập
Nội dung gốc không cung cấp IOC cụ thể như địa chỉ IP, hash hay domain độc hại. Tuy nhiên, các dấu hiệu cần lưu ý trong phát hiện xâm nhập gồm:
- Yêu cầu bất thường tới /admin.php.
- Hoạt động console nội bộ không mong đợi.
- Tham số command có nội dung lạ hoặc được mã hóa.
- Tệp web shell mới xuất hiện trong thư mục ứng dụng.
- Log hệ thống ghi nhận lệnh CLI hoặc truy cập tệp cấu hình bất thường.
Do các IOC chưa được công bố đầy đủ, việc đối chiếu log ứng dụng và log reverse proxy là bước cần thiết để phát hiện tấn công sớm.
Điểm Kỹ Thuật Trong Khai Thác
Lỗ hổng CVE-2026-27174 xuất phát từ sự kết hợp giữa luồng xác thực bị lỗi và đánh giá mã động không an toàn. Chỉ một thao tác điều hướng không được chặn đúng cách đã cho phép phần xử lý phía sau tiếp tục chạy.
Đây là vấn đề điển hình của các ứng dụng PHP dùng cơ chế định tuyến tùy biến nhưng không kiểm soát chặt dữ liệu đầu vào trước khi gọi eval(). Khi điểm vào bị lộ ra Internet, nguy cơ bảo mật tăng mạnh.
Phát hiện này cũng đã được ghi nhận trong template phát hiện của ProjectDiscovery Nuclei, cho thấy lỗ hổng CVE có thể bị tự động hóa khai thác trên diện rộng nếu hệ thống chưa được bảo vệ đúng cách.
Biện Pháp Giảm Thiểu Và Cập Nhật Bản Vá
Quản trị viên cần ưu tiên cập nhật bản vá từ nhà cung cấp ngay khi có sẵn. Đồng thời, cần hạn chế truy cập vào giao diện quản trị chỉ từ các địa chỉ IP nội bộ đáng tin cậy.
Một số biện pháp cần áp dụng để giảm rủi ro bảo mật của lỗ hổng CVE này:
- Đặt bảng điều khiển quản trị sau VPN hoặc reverse proxy xác thực mạnh.
- Chặn truy cập trực tiếp từ Internet vào /admin.php.
- Rà soát log để tìm các thao tác console bất thường.
- Gỡ bỏ hoặc vô hiệu hóa các đường dẫn thực thi mã động không cần thiết.
- Kiểm tra sự tồn tại của web shell và tệp cấu hình bị sửa đổi.
Trong môi trường vận hành thực tế, việc kết hợp bản vá bảo mật với kiểm soát truy cập mạng là cách giảm thiểu hiệu quả nhất. Nếu hệ thống đã bị khai thác, cần cô lập máy chủ, điều tra log và thay đổi toàn bộ thông tin xác thực liên quan.
Khuyến Nghị Kiểm Tra Hệ Thống
Đối với các triển khai MajorDoMo có giao diện quản trị công khai, cần rà soát ngay các phiên bản đang chạy và xác minh đã nhận đủ cập nhật bản vá. Việc trì hoãn xử lý lỗ hổng CVE có thể dẫn đến thực thi mã từ xa, đánh cắp thông tin cấu hình và mở rộng xâm nhập mạng.
Do đây là một lỗ hổng CVE cho phép remote code execution, các hệ thống giám sát cần đặt cảnh báo cho mọi yêu cầu bất thường tới thành phần quản trị và mọi thay đổi file không giải thích được trên máy chủ ứng dụng.
Người vận hành cũng nên sử dụng các nền tảng kiểm tra mối đe dọa và SIEM để đối chiếu log, vì các yêu cầu khai thác thường có cấu trúc HTTP đặc thù và dễ bị phát hiện nếu đã xây dựng quy tắc giám sát phù hợp.
