Lỗ Hổng Mattermost RCE (CVE-2025-4981): Nguy Cơ Từ Path Traversal

22/06/2025
5 mins read
Nội dung
Vulnerability Analysis: Mattermost Remote Code Execution (RCE) via Path Traversal
Chi tiết Lỗ hổng CVE-2025-4981
Phân tích Kỹ thuật
Điều kiện Khai thác và Tác động
Khuyến nghị Giảm thiểu Rủi ro
Các Lỗ hổng Mattermost Liên quan
Thông tin Kỹ thuật Cốt lõi cho Hoạt động An ninh (SOC) và Nền tảng Tình báo Đe dọa (TIP)

Vulnerability Analysis: Mattermost Remote Code Execution (RCE) via Path Traversal

Một lỗ hổng nghiêm trọng được xác định là CVE-2025-4981 đã ảnh hưởng đến Mattermost, một nền tảng cộng tác mã nguồn mở được sử dụng rộng rãi. Lỗ hổng này cho phép người dùng đã xác thực thực thi mã từ xa trên các hệ thống bị ảnh hưởng bằng cách khai thác việc không làm sạch tên tệp một cách thích hợp trong quá trình giải nén tệp lưu trữ khi tải lên.

Với điểm CVSS9.9 (Critical), CVE-2025-4981 đại diện cho một rủi ro đáng kể đối với tính toàn vẹn và bảo mật của các triển khai Mattermost. Mức độ nghiêm trọng này nhấn mạnh khả năng khai thác dễ dàng và tác động tàn khốc mà nó có thể gây ra, bao gồm việc kiểm soát hoàn toàn hệ thống bị ảnh hưởng.

Chi tiết Lỗ hổng CVE-2025-4981

  • Mã định danh CVE: CVE-2025-4981
  • Điểm CVSS: 9.9 (Critical)
  • Các phiên bản bị ảnh hưởng:
    • Mattermost 10.5.x10.5.5
    • Mattermost 9.11.x9.11.15
    • Mattermost 10.8.x10.8.0
    • Mattermost 10.7.x10.7.2
    • Mattermost 10.6.x10.6.5

Phân tích Kỹ thuật

Lỗ hổng phát sinh từ việc không làm sạch các tên tệp trong các tệp lưu trữ được tải lên, sau đó được máy chủ giải nén. Điều này đặc biệt xảy ra khi cả hai cấu hình sau được bật:

FileSettings.EnableFileAttachments = true
FileSettings.ExtractContent = true

Điều đáng chú ý là các cài đặt này được bật theo mặc định trong các phiên bản Mattermost dễ bị tổn thương, làm tăng nguy cơ khai thác.

Kẻ tấn công, với quyền xác thực tối thiểu, có thể tải lên các tệp lưu trữ được tạo đặc biệt, chẳng hạn như tệp ZIP hoặc TAR, chứa các chuỗi Path Traversal (ví dụ: ../) trong tên tệp bên trong. Khi máy chủ giải nén tệp lưu trữ này, việc thiếu kiểm tra đường dẫn thích hợp cho phép các tệp được ghi ra ngoài cấu trúc thư mục dự kiến, cho phép ghi tệp tùy ý trên hệ thống tệp của máy chủ.

Khả năng ghi tệp tùy ý này là chìa khóa để đạt được Remote Code Execution (RCE). Bằng cách ghi một tệp độc hại (ví dụ: một web shell hoặc một tệp cấu hình được sửa đổi) vào một vị trí có thể truy cập hoặc thực thi trên máy chủ, kẻ tấn công có thể khiến máy chủ thực thi mã độc với các quyền của tiến trình ứng dụng Mattermost. Điều này có thể dẫn đến việc thực thi các lệnh tùy ý, thao túng dữ liệu, hoặc cài đặt các cửa hậu (backdoor), từ đó kiểm soát hoàn toàn hệ thống.

Điều kiện Khai thác và Tác động

Để khai thác thành công CVE-2025-4981, các điều kiện sau phải được đáp ứng:

  • Yêu cầu một tài khoản người dùng đã được xác thực trên nền tảng Mattermost.
  • Chức năng tải tệp lên (file upload) và tìm kiếm nội dung tài liệu (document content search) phải được bật. Như đã đề cập, các cài đặt này thường được bật theo mặc định.

Tác động của việc khai thác thành công là vô cùng nghiêm trọng. Khả năng ghi tệp bất kỳ đâu trên hệ thống tệp của máy chủ có thể dẫn đến việc:

  • Thực thi mã từ xa, cho phép kẻ tấn công chạy các lệnh hệ thống tùy ý.
  • Cài đặt các công cụ độc hại, malware hoặc ransomware.
  • Truy cập và đánh cắp dữ liệu nhạy cảm từ máy chủ.
  • Đạt được quyền kiểm soát hệ thống hoàn toàn, ảnh hưởng đến tính toàn vẹn, bảo mật và tính sẵn sàng của môi trường Mattermost.

Khuyến nghị Giảm thiểu Rủi ro

Để bảo vệ các phiên bản Mattermost khỏi CVE-2025-4981 và các lỗ hổng tương tự, người dùng được khuyến nghị thực hiện các biện pháp sau:

  • Nâng cấp phần mềm: Biện pháp quan trọng nhất là nâng cấp ngay lập tức các phiên bản Mattermost bị ảnh hưởng lên các bản vá đã được phát hành bởi nhà cung cấp. Các phiên bản đã vá sẽ khắc phục triệt để lỗ hổng này.
  • Xem xét và hạn chế quyền tải tệp: Nếu có thể, hãy xem xét lại và hạn chế các quyền tải tệp lên đối với người dùng hoặc nhóm người dùng không cần thiết. Áp dụng nguyên tắc đặc quyền tối thiểu.
  • Vô hiệu hóa hoặc cấu hình cẩn thận các cài đặt: Nếu chức năng đính kèm tệp và trích xuất nội dung không cần thiết cho hoạt động kinh doanh, hãy cân nhắc vô hiệu hóa hoặc cấu hình chúng một cách cẩn thận:
    FileSettings.EnableFileAttachments = false
FileSettings.ExtractContent = false

    Việc vô hiệu hóa FileSettings.ExtractContent sẽ ngăn máy chủ giải nén các tệp lưu trữ, từ đó loại bỏ vector tấn công này.

  • Giám sát chặt chẽ: Triển khai giám sát hệ thống để phát hiện các hoạt động tải lên tệp lưu trữ đáng ngờ hoặc các thay đổi bất thường trên hệ thống tệp liên quan đến các tiến trình của Mattermost.

Các Lỗ hổng Mattermost Liên quan

Ngoài CVE-2025-4981, một số lỗ hổng khác cũng được ghi nhận ảnh hưởng đến Mattermost trong cùng khoảng thời gian:

  • CVE-2025-5171: Đây là một lỗ hổng thực thi mã tùy ý khác cũng ảnh hưởng đến một số phiên bản của Mattermost trong phạm vi phiên bản ~10.x. Thông tin chi tiết hơn về lỗ hổng này đã được báo cáo vào khoảng tháng 5-6 nhưng ít rõ ràng hơn.
  • CVE-2025-3230: Lỗ hổng này liên quan đến việc không vô hiệu hóa các mã thông báo truy cập cá nhân (Personal Access Tokens) khi người dùng bị hủy kích hoạt. Điều này có nghĩa là người dùng bị hủy kích hoạt vẫn có thể duy trì quyền truy cập hệ thống thông qua các mã thông báo cũ. Các phiên bản bị ảnh hưởng bao gồm Mattermostv10.0 và ≤ v9.12.

Thông tin Kỹ thuật Cốt lõi cho Hoạt động An ninh (SOC) và Nền tảng Tình báo Đe dọa (TIP)

Để hỗ trợ các hoạt động của Trung tâm Điều hành An ninh (SOC) và tích hợp vào Nền tảng Tình báo Đe dọa (TIP), dưới đây là tổng hợp các thông tin kỹ thuật chính liên quan đến lỗ hổng Mattermost RCE:

  • Mã định danh CVE: CVE-2025-4981
  • Loại Lỗ hổng: Path Traversal dẫn đến Remote Code Execution (RCE) thông qua quá trình giải nén tệp lưu trữ trong khi tải tệp lên.
  • Phần mềm bị ảnh hưởng: Các phiên bản Mattermost đã được liệt kê chi tiết ở trên.
  • Điều kiện tiên quyết cấu hình: Cả FileSettings.EnableFileAttachments = trueFileSettings.ExtractContent = true phải được bật. Đây là các cài đặt mặc định trong các phiên bản bị ảnh hưởng.
  • Vector tấn công: Một người dùng đã xác thực tải lên một tệp lưu trữ độc hại chứa các chuỗi Path Traversal trong tên tệp. Điều này dẫn đến việc ghi tệp tùy ý vào hệ thống tệp của máy chủ, tạo điều kiện cho việc thực thi mã từ xa.
  • Biện pháp giảm thiểu:
    • Nâng cấp phần mềm lên các bản phát hành đã được vá lỗi.
    • Hạn chế hoặc vô hiệu hóa các cài đặt EnableFileAttachmentsExtractContent nếu không cần thiết.
    • Giám sát chặt chẽ các hoạt động tải lên tệp lưu trữ đáng ngờ hoặc các thay đổi bất thường trên hệ thống tệp liên quan đến tiến trình Mattermost.

Dựa trên hành vi khai thác lỗ hổng này, các kỹ thuật MITRE ATT&CK có thể được liên kết bao gồm:

  • T1204 – User Execution: Kỹ thuật này áp dụng vì kẻ tấn công yêu cầu sự tương tác của người dùng (tải lên tệp) để khởi tạo cuộc tấn công. Trong trường hợp này, “người dùng” là tài khoản đã được xác thực của kẻ tấn công, thực hiện hành động tải tệp.
  • T1106 – Execution through API / Command-Line Interface: Sau khi lỗ hổng ghi tệp tùy ý được khai thác để đạt được RCE, kẻ tấn công có thể thực thi các lệnh thông qua các giao diện lập trình ứng dụng (API) hoặc giao diện dòng lệnh (CLI) của hệ thống cơ bản.

Hiện tại, không có thông tin cụ thể về các họ mã độc, nhóm tấn công nâng cao dai dẳng (APT)/nhóm tội phạm, chiến thuật đầu độc SEO, ví dụ dòng lệnh khai thác, hoặc chi tiết hạ tầng như URL hoặc hash được cung cấp rõ ràng liên quan đến lỗ hổng này.