Một cảnh báo bảo mật nghiêm trọng vừa được phát hành, đề cập đến nhiều lỗ hổng CVE được phát hiện trong phần mềm Eaton UPS Companion (EUC). Các lỗ hổng này, nếu bị khai thác, có thể cho phép kẻ tấn công thực thi mã tùy ý trên hệ thống máy chủ, tiềm ẩn khả năng giành quyền kiểm soát hoàn toàn các thiết bị bị ảnh hưởng.
Cảnh báo có mã định danh ETN-VA-2025-1026, nhấn mạnh hai lỗ hổng cụ thể ảnh hưởng đến tất cả các phiên bản của phần mềm Eaton UPS Companion trước phiên bản 3.0. Eaton đã phân loại rủi ro tổng thể ở mức Cao, và khuyến nghị người dùng cần cập nhật phần mềm của mình ngay lập tức.
Phân Tích Chi Tiết Các Lỗ Hổng CVE Nghiêm Trọng
CVE-2025-59887: Tải Thư Viện Không An Toàn và Nguy Cơ Khai Thác Mã Độc
Lỗ hổng nghiêm trọng nhất được theo dõi dưới mã định danh CVE-2025-59887, mang điểm CVSS 8.6 (Cao), cho thấy mức độ nghiêm trọng đáng kể. Lỗ hổng này liên quan đến một cơ chế tải thư viện không an toàn (insecure library loading) trong trình cài đặt phần mềm. Về bản chất, đây là một dạng của kỹ thuật tấn công được gọi là “DLL Hijacking” hoặc “DLL Preloading”.
Các nhà nghiên cứu bảo mật đã phát hiện rằng một kẻ tấn công có quyền truy cập vào gói cài đặt phần mềm hoặc môi trường hệ thống trong quá trình cài đặt có thể khai thác điểm yếu này để thực thi mã tùy ý. Cơ chế khai thác phổ biến khi một ứng dụng không chỉ định rõ ràng đường dẫn tuyệt đối để tải các thư viện liên kết động (DLLs) mà thay vào đó dựa vào các đường dẫn tìm kiếm mặc định của hệ điều hành hoặc các biến môi trường.
Cụ thể, trình cài đặt phần mềm Eaton UPS Companion đã không thực hiện đủ các biện pháp kiểm tra bảo mật khi tải các thành phần thư viện. Điều này mở ra cơ hội cho kẻ tấn công đặt một tệp DLL độc hại với cùng tên của một thư viện hợp pháp vào một vị trí mà hệ thống sẽ tìm kiếm trước. Khi trình cài đặt được kích hoạt, nó sẽ vô tình tải và thực thi DLL độc hại này thay vì DLL chính hãng.
Hậu quả của việc khai thác thành công CVE-2025-59887 là vô cùng nghiêm trọng. Mã độc hại được nhúng trong DLL của kẻ tấn công sẽ được thực thi với các đặc quyền của tiến trình cài đặt, vốn thường chạy với quyền cao nhất, chẳng hạn như quyền Hệ thống (System) trên Windows. Điều này cho phép kẻ tấn công chiếm quyền điều khiển từ xa hoàn toàn đối với hệ thống mục tiêu, thực hiện các hành động như cài đặt phần mềm độc hại vĩnh viễn, đánh cắp dữ liệu nhạy cảm, hoặc thiết lập các cơ chế duy trì truy cập dài hạn.
CVE-2025-59888: Lỗi Trích Dẫn Đường Dẫn và Tiềm Năng Thực Thi Mã
Lỗ hổng thứ hai được xác định là CVE-2025-59888, với điểm CVSS 6.7 (Trung bình đến Cao), cho thấy một rủi ro đáng kể. Lỗ hổng này liên quan đến vấn đề “trích dẫn không chính xác” (improper quotation) trong cách phần mềm xử lý các đường dẫn tìm kiếm.
Vấn đề này phát sinh khi một chương trình thực thi một lệnh hoặc truy cập một tệp với đường dẫn chứa dấu cách nhưng lại thiếu các dấu ngoặc kép cần thiết để bao quanh toàn bộ đường dẫn. Trong môi trường Windows, khi gặp một đường dẫn không được trích dẫn như “C:\Program Files\My Application\tool.exe”, hệ điều hành có thể hiểu nhầm “C:\Program” là một lệnh độc lập. Sau đó, nó sẽ tìm kiếm một tệp thực thi có tên “Program.exe” trong thư mục gốc của ổ đĩa C:\ trước khi tiếp tục phân tích phần còn lại của đường dẫn.
Nếu một kẻ tấn công có quyền truy cập vào hệ thống tệp cục bộ, họ có thể lợi dụng hành vi này bằng cách đặt một tệp thực thi độc hại (ví dụ: “Program.exe”) vào một trong các thư mục mà hệ thống sẽ kiểm tra. Khi phần mềm Eaton UPS Companion khởi chạy hoặc thực hiện một tác vụ gọi đến đường dẫn bị ảnh hưởng, nó có thể vô tình chạy tệp thực thi độc hại của kẻ tấn công thay vì thành phần hợp pháp.
Sự khai thác thành công CVE-2025-59888 cũng có thể dẫn đến thực thi mã tùy ý. Tùy thuộc vào ngữ cảnh mà phần mềm gọi đường dẫn này, kẻ tấn công có thể thực thi mã của mình với các đặc quyền tương đương với tài khoản người dùng đang chạy phần mềm. Trong nhiều trường hợp, điều này có thể bao gồm các đặc quyền cao, đặc biệt nếu phần mềm được cài đặt hoặc chạy bởi một quản trị viên hoặc tài khoản hệ thống.
Ảnh Hưởng và Nguy Cơ Khai Thác Tiềm Ẩn
Các lỗ hổng CVE này đại diện cho một nguy cơ đáng kể đối với tính toàn vẹn và bảo mật của các hệ thống đang chạy phần mềm Eaton UPS Companion. Khả năng thực thi mã tùy ý có thể cho phép kẻ tấn công thực hiện một loạt các hành động độc hại, bao gồm nhưng không giới hạn ở:
- Cài đặt phần mềm độc hại tinh vi, như ransomware để mã hóa dữ liệu đòi tiền chuộc, hoặc phần mềm gián điệp để thu thập thông tin nhạy cảm.
- Thay đổi cấu hình hệ thống, vô hiệu hóa các biện pháp bảo mật hiện có, hoặc tạo ra các cửa hậu (backdoor) để duy trì quyền truy cập lâu dài.
- Truy cập, sửa đổi, hoặc xóa bỏ các dữ liệu nhạy cảm được lưu trữ trên hệ thống bị ảnh hưởng, dẫn đến vi phạm dữ liệu nghiêm trọng.
- Sử dụng hệ thống đã bị xâm nhập làm bàn đạp để phát động các cuộc tấn công tiếp theo vào các hệ thống và tài nguyên khác trong mạng nội bộ của tổ chức.
Do phần mềm UPS Companion thường được cài đặt trên các hệ thống cơ sở hạ tầng quan trọng để giám sát và quản lý nguồn điện, việc khai thác thành công các lỗ hổng này có thể gây ra gián đoạn nghiêm trọng cho hoạt động kinh doanh, mất mát dữ liệu không thể phục hồi và thiệt hại về danh tiếng.
Biện Pháp Khắc Phục và Bản Vá Bảo Mật Quan Trọng
Cập Nhật Phiên Bản 3.0: Bản Vá Bảo Mật Thiết Yếu và Đề Xuất Chính
Để giải quyết dứt điểm các lỗ hổng CVE được mô tả, Eaton đã phát hành phiên bản 3.0 của phần mềm UPS Companion. Đây là một bản vá bảo mật quan trọng và công ty khuyến nghị mạnh mẽ tất cả khách hàng di chuyển sang phiên bản an toàn này ngay lập tức. Việc áp dụng bản cập nhật này là hành động bảo vệ hiệu quả nhất và nên được ưu tiên hàng đầu.
Bản cập nhật 3.0 đã được thiết kế để khắc phục triệt để các vấn đề liên quan đến tải thư viện không an toàn và lỗi trích dẫn đường dẫn. Nó bao gồm các cải tiến về bảo mật để đảm bảo rằng phần mềm chỉ tải các thư viện hợp lệ từ các đường dẫn đáng tin cậy và xử lý đúng cách các đường dẫn tệp chứa dấu cách.
Bản cập nhật có sẵn để tải xuống thông qua các kênh phân phối phần mềm chính thức của Eaton. Để đảm bảo tính xác thực và toàn vẹn của gói cài đặt, người dùng cần tải xuống từ nguồn đáng tin cậy. Để tải xuống bản cập nhật và xem chi tiết cảnh báo, người dùng có thể truy cập trang web chính thức của Eaton hoặc tham khảo tài liệu tư vấn bảo mật chi tiết tại: ETN-VA-2025-1026 tại Eaton.com.
Các Biện Pháp Giảm Thiểu Tức Thời Khi Chưa Thể Áp Dụng Bản Vá Bảo Mật
Đối với những tổ chức hoặc người dùng không thể áp dụng bản vá bảo mật phiên bản 3.0 ngay lập tức do các ràng buộc về vận hành hoặc quy trình, Eaton đã đề xuất một số bước giảm thiểu tạm thời. Mặc dù các biện pháp này không loại bỏ hoàn toàn rủi ro nhưng chúng có thể giúp giảm thiểu đáng kể khả năng khai thác:
- Hạn chế Quyền Truy Cập Hệ Thống: Giới hạn chặt chẽ quyền truy cập cục bộ và từ xa vào các hệ thống máy chủ đang chạy phần mềm Eaton UPS Companion chỉ dành cho nhân viên được ủy quyền và có nhu cầu thiết yếu. Điều này làm giảm bề mặt tấn công và khả năng kẻ tấn công có thể đặt các tệp độc hại hoặc can thiệp vào quá trình cài đặt.
- Triển Khai Tường Lửa và Phân Đoạn Mạng An Toàn: Đảm bảo rằng tất cả các mạng hệ thống điều khiển hoặc các phân đoạn mạng chứa các máy chủ bị ảnh hưởng được đặt phía sau các tường lửa được cấu hình an toàn. Thực hiện phân đoạn mạng để cô lập các hệ thống này, ngăn chặn sự lây lan của các cuộc tấn công nếu một hệ thống bị xâm nhập.
- Thực Hiện Chính Sách Nguồn Phần Mềm Đáng Tin Cậy: Xây dựng và thực thi chính sách chỉ tải xuống và cài đặt phần mềm từ các nguồn chính thức và đã được xác minh. Việc tránh các nguồn không chính thức là rất quan trọng để ngăn chặn việc giả mạo hoặc chèn mã độc vào gói cài đặt phần mềm.
- Giám Sát Hệ Thống Chủ Động: Triển khai các giải pháp giám sát an ninh (IDS/IPS) để phát hiện bất kỳ hoạt động bất thường nào trên các hệ thống đang chạy Eaton UPS Companion, đặc biệt là trong quá trình cài đặt hoặc khởi chạy phần mềm.
Việc kết hợp các biện pháp bảo mật chủ động và tuân thủ chặt chẽ các khuyến nghị về bản vá bảo mật sẽ giúp các tổ chức bảo vệ cơ sở hạ tầng của mình khỏi các lỗ hổng CVE nguy hiểm này và các mối đe dọa mạng khác.
