Lỗ hổng CVE mới được công bố trong Tenable Nessus Agent for Windows có thể cho phép kẻ tấn công thực thi mã độc với quyền hệ thống cao nhất, tạo ra rủi ro bảo mật nghiêm trọng cho các môi trường doanh nghiệp đang sử dụng nền tảng đánh giá lỗ hổng này.
Lỗ hổng CVE trong Nessus Agent for Windows
Vấn đề nằm ở cơ chế xử lý Windows junction, một dạng symbolic link của hệ thống tệp. Nếu bị khai thác, lỗ hổng CVE này cho phép xóa các tệp tùy ý với quyền SYSTEM, từ đó có thể mở rộng sang tình huống remote code execution khi kẻ tấn công kiểm soát được luồng thực thi tiếp theo.
Thông tin công khai cho thấy lỗi ảnh hưởng trực tiếp đến Nessus Agent chạy trên Windows. Cơ chế khai thác dựa trên việc tạo một junction độc hại tại vị trí mà dịch vụ Nessus Agent tương tác, sau đó chuyển hướng thao tác xóa sang mục tiêu nhạy cảm trong hệ thống.
Cơ chế khai thác symlink attack
Lỗ hổng CVE này thuộc nhóm symlink attack hoặc junction abuse. Trên Windows, NTFS junction chuyển hướng thao tác từ một thư mục sang thư mục khác. Khi tiến trình có đặc quyền cao đi theo junction mà không kiểm tra đầy đủ, nó có thể thao tác lên đối tượng ngoài ý muốn.
Trong trường hợp này, nếu Nessus Agent service xử lý lệnh xóa thông qua junction độc hại, kẻ tấn công có thể làm hỏng một file hoặc thư mục quan trọng. Sau đó, một payload độc hại có thể được đặt vào chuỗi thực thi để chạy dưới ngữ cảnh SYSTEM.
Quyền SYSTEM là mức đặc quyền cao nhất trên Windows, vượt cả tài khoản quản trị thông thường. Mã chạy với quyền này có thể thay đổi mọi tệp, cài rootkit, vô hiệu hóa công cụ bảo mật và duy trì bám trụ sau khi khởi động lại.
Ảnh hưởng hệ thống và phạm vi tác động
Lỗ hổng CVE này đặc biệt đáng chú ý vì Nessus Agent thường được triển khai trên máy chủ và máy trạm trong doanh nghiệp để quét lỗ hổng liên tục. Nếu bị khai thác thành công, máy bị ảnh hưởng có thể bị chiếm quyền điều khiển hoàn toàn.
Tác động thực tế phụ thuộc vào vị trí cài đặt agent và mức độ đặc quyền của dịch vụ. Trong môi trường có nhiều endpoint nhạy cảm hoặc hệ thống Windows kết nối internet, nguy cơ bị xâm nhập tăng lên đáng kể.
Đây là loại lỗ hổng zero-day theo nghĩa thông tin được công bố trước khi người dùng kịp cập nhật, do đó yêu cầu ưu tiên vá lỗi ngay lập tức để giảm nguy cơ bảo mật.
Hành động khắc phục
Tenable đã phát hành bản sửa lỗi cho Nessus Agent version 11.1.3. Bản cập nhật hiện có trên Tenable Downloads Portal và được khuyến nghị triển khai ngay để giảm thời gian phơi nhiễm trước lỗ hổng CVE.
Chi tiết tư vấn bảo mật có thể tham khảo tại nguồn chính thức của Tenable: https://www.tenable.com/security/tns-2026-12.
Trong bối cảnh đây là cảnh báo CVE ảnh hưởng đến hệ thống Windows, đội ngũ vận hành nên ưu tiên triển khai update vá lỗi trên các máy chủ và máy trạm có cài Nessus Agent, đặc biệt là các hệ thống có giá trị cao.
Lưu ý cho đội ngũ vận hành an ninh mạng
Vì lỗ hổng CVE liên quan đến thao tác file ở mức đặc quyền cao, cần kiểm tra toàn bộ điểm cài đặt Nessus Agent trong hạ tầng để xác định phiên bản đang sử dụng. Các hệ thống chưa lên version 11.1.3 vẫn nằm trong vùng rủi ro.
Nếu phát hiện hành vi bất thường liên quan đến thao tác xóa file, junction bất thường hoặc tiến trình dịch vụ Windows thực thi ngoài dự kiến, cần xem đây là dấu hiệu cảnh báo để điều tra xâm nhập mạng sớm.
Tổ chức cũng nên duy trì quy trình báo cáo lỗ hổng cho nhà cung cấp khi phát hiện vấn đề mới, nhằm hỗ trợ an toàn thông tin và rút ngắn vòng đời của các lỗ hổng CVE tương tự.
Điểm kỹ thuật chính
- Sản phẩm bị ảnh hưởng: Tenable Nessus Agent for Windows
- Loại lỗi: Privilege escalation qua Windows junction / symlink attack
- Mức đặc quyền khai thác được: SYSTEM
- Hệ quả: Xóa file tùy ý, sau đó có thể dẫn đến remote code execution
- Phiên bản đã vá: Nessus Agent 11.1.3
IOC
- Không có IOC công khai trong nội dung được cung cấp.
Khuyến nghị triển khai bản vá bảo mật
Đối với các môi trường đang dùng lỗ hổng CVE để theo dõi tài sản, cần cập nhật ngay danh sách endpoint có Nessus Agent và lên lịch nâng cấp lên 11.1.3. Đây là biện pháp trực tiếp nhất để loại bỏ rủi ro bảo mật liên quan đến việc xử lý junction không an toàn.
Trong quá trình rà soát, nên ưu tiên các hệ thống Windows chạy dịch vụ với đặc quyền cao. Việc trì hoãn bản vá bảo mật có thể khiến một lỗi local privilege escalation trở thành điểm khởi đầu cho hệ thống bị tấn công.
