Theo tin tức bảo mật mới nhất, TP-Link đã công bố các lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến hai mẫu đầu ghi hình mạng VIGI của họ. Các lỗ hổng này có khả năng cho phép kẻ tấn công thực thi các lệnh tùy ý trên hệ điều hành cơ bản của thiết bị, tạo ra một mối đe dọa an ninh mạng đáng kể cho các tổ chức sử dụng những hệ thống giám sát video này.
Các Lỗ Hổng CVE Nguy Hiểm trên TP-Link VIGI NVR
Các lỗ hổng này được định danh là CVE-2025-7723 và CVE-2025-7724. Chúng ảnh hưởng đến các mẫu thiết bị đầu ghi hình mạng (Network Video Recorder – NVR) của TP-Link VIGI là VIGI NVR1104H-4P V1 và VIGI NVR2016H-16MP V2. Cả hai lỗ hổng đều nhận được điểm CVSS (Common Vulnerability Scoring System) rất cao, lần lượt là 8.5 và 8.7, phản ánh mức độ nghiêm trọng và tiềm năng tác động của chúng.
Bản chất Lỗ hổng OS Command Injection
Cốt lõi của các lỗ hổng bảo mật này nằm ở khả năng thực hiện tấn công OS Command Injection (tiêm lệnh hệ điều hành). Điều này có nghĩa là kẻ tấn công có thể chèn và thực thi các lệnh hệ điều hành độc hại thông qua các điểm đầu vào không được kiểm soát hoặc xử lý không đúng cách trên thiết bị. Các lỗ hổng này tồn tại cả trong kịch bản yêu cầu xác thực và không yêu cầu xác thực, tạo thành một rủi ro bảo mật hệ thống đáng kể.
- CVE-2025-7723: Lỗ hổng này được phân loại là một lỗ hổng tiêm lệnh hệ điều hành yêu cầu xác thực (authenticated OS command injection). Nó có điểm CVSS v4.0 là 8.5. Điều này có nghĩa là để khai thác lỗ hổng này, kẻ tấn công cần phải có thông tin đăng nhập hợp lệ cho thiết bị.
- CVE-2025-7724: Ngược lại, lỗ hổng này là một điểm truy cập không xác thực (unauthenticated access point) cho tấn công tiêm lệnh hệ điều hành, với điểm CVSS v4.0 thậm chí cao hơn là 8.7. Bản chất không xác thực của CVE-2025-7724 đặc biệt đáng lo ngại, vì kẻ tấn công có thể khai thác lỗ hổng này mà không cần có bất kỳ thông tin đăng nhập hợp lệ nào, làm tăng đáng kể phạm vi và khả năng bị tấn công.
Đặc điểm Kỹ thuật và Tác Động theo CVSS
Cả hai lỗ hổng đều chia sẻ các đặc điểm kỹ thuật quan trọng ảnh hưởng đến mức độ CVSS của chúng:
- Yêu cầu truy cập mạng (Attack Vector): Adjacent Network (AV:A). Điều này chỉ ra rằng kẻ tấn công cần phải ở trong cùng phân đoạn mạng (ví dụ: mạng nội bộ) với thiết bị VIGI NVR bị ảnh hưởng để thực hiện cuộc tấn công. Mặc dù không phải là từ xa qua Internet, yêu cầu này vẫn cho thấy rủi ro đáng kể trong các môi trường mạng cục bộ.
- Độ phức tạp tấn công (Attack Complexity): Low (AC:L). Điều này có nghĩa là cuộc tấn công không đòi hỏi các điều kiện phức tạp hoặc kỹ năng đặc biệt cao từ phía kẻ tấn công, làm cho việc khai thác trở nên dễ dàng hơn.
- Tác động tiềm tàng (Impact): Các lỗ hổng này có tiềm năng gây ra tác động cao (High) đối với ba yếu tố cốt lõi của bảo mật thông tin:
- Tính bảo mật (Confidentiality – C:H): Dữ liệu nhạy cảm có thể bị truy cập trái phép.
- Tính toàn vẹn (Integrity – I:H): Dữ liệu hoặc cấu hình hệ thống có thể bị sửa đổi trái phép.
- Tính sẵn sàng (Availability – A:H): Hệ thống có thể bị gián đoạn hoặc vô hiệu hóa.
Tổng hợp các yếu tố trên, các vector tấn công cho thấy rằng các đối tượng độc hại hiện diện trong cùng phân đoạn mạng có thể lợi dụng những lỗ hổng này để giành quyền kiểm soát hoàn toàn trái phép đối với các thiết bị bị ảnh hưởng.
Ảnh Hưởng và Rủi Ro An Ninh Mạng Đối Với Doanh Nghiệp
Khả năng thực thi các lệnh tùy ý trên các đầu ghi hình mạng TP-Link VIGI đặt ra những rủi ro bảo mật hệ thống đặc biệt nghiêm trọng, nhất là trong môi trường doanh nghiệp. Các thiết bị NVR thường được sử dụng để quản lý và lưu trữ dữ liệu giám sát nhạy cảm, bao gồm hình ảnh và video từ camera an ninh. Việc chiếm quyền kiểm soát các thiết bị này có thể dẫn đến nhiều hậu quả tai hại:
- Truy cập trái phép vào dữ liệu giám sát: Kẻ tấn công có thể xem, sao chép hoặc xóa đoạn phim đã ghi, ảnh hưởng đến quyền riêng tư và khả năng thu thập bằng chứng.
- Thao túng thiết bị: Bao gồm việc thay đổi cấu hình, vô hiệu hóa các tính năng bảo mật, hoặc thậm chí làm hỏng thiết bị từ xa.
- Điểm tựa cho tấn công sâu hơn (Pivot Point): Các thiết bị NVR bị xâm nhập có thể được sử dụng làm điểm khởi đầu hoặc điểm trung gian để thực hiện các cuộc tấn công di chuyển ngang trong mạng (lateral network movement), tiếp cận các hệ thống quan trọng khác trong cùng mạng nội bộ. Điều này có thể dẫn đến việc kiểm soát toàn bộ hạ tầng mạng của tổ chức.
Do đó, việc xử lý kịp thời các lỗ hổng này là vô cùng quan trọng để bảo vệ dữ liệu, duy trì hoạt động và ngăn chặn các cuộc tấn công lan rộng trong hệ thống.
Khuyến Nghị Khắc Phục và Biện Pháp Bảo Mật Cần Thiết
Để giảm thiểu rủi ro bảo mật hệ thống từ các lỗ hổng này, TP-Link đã kịp thời phát hành các bản cập nhật firmware nhằm khắc phục cả CVE-2025-7723 và CVE-2025-7724. Công ty đặc biệt khuyến nghị người dùng và các tổ chức triển khai các bản vá này ngay lập tức.
Hướng dẫn Cập nhật Firmware Cụ thể
Người dùng đang sử dụng các thiết bị VIGI NVR1104H-4P V1 phải cập nhật firmware lên phiên bản 1.1.5 Build 250518. Đối với các thiết bị VIGI NVR2016H-16MP V2, cần nâng cấp lên phiên bản 1.3.1 Build 250407.
Quá trình cập nhật firmware là bước then chốt để loại bỏ các lỗ hổng. Sau khi cập nhật, các tổ chức đang vận hành hệ thống TP-Link VIGI NVR bị ảnh hưởng nên ưu tiên tiến hành đánh giá bảo mật kỹ lưỡng (security assessments) để đảm bảo rằng quá trình vá lỗi đã thành công và không có dấu hiệu xâm nhập nào còn sót lại.
TP-Link đã nhấn mạnh rằng việc không thực hiện các biện pháp bảo mật được khuyến nghị, cụ thể là cập nhật firmware, có thể dẫn đến việc tiếp tục phơi nhiễm với lỗ hổng. Công ty cũng tuyên bố từ chối trách nhiệm đối với những hậu quả phát sinh từ việc phản ứng không đầy đủ hoặc chậm trễ đối với khuyến cáo bảo mật này.
Sự việc này một lần nữa khẳng định tầm quan trọng liên tục của việc duy trì các phiên bản firmware hiện tại và triển khai các biện pháp bảo mật mạng mạnh mẽ, đặc biệt đối với các thiết bị IoT (Internet of Things) và thiết bị giám sát. Việc chủ động trong quản lý lỗ hổng và áp dụng các bản vá là yếu tố then chốt để bảo vệ hạ tầng công nghệ thông tin khỏi các lỗ hổng CVE nguy hiểm và các cuộc tấn công mạng.
