Một lỗ hổng mới được công bố trong tiện ích trích xuất dữ liệu dựa trên Python, vốn được sử dụng bởi nhóm ransomware khét tiếng Cl0p, đã khiến chính hoạt động của nhóm tội phạm mạng này đứng trước nguy cơ bị tấn công ngược.
Tổng quan lỗ hổng GCVE-1-2025-0002
Bối cảnh và Phát hiện
Lỗ hổng này, được định danh là GCVE-1-2025-0002, đã được nhà nghiên cứu bảo mật người Ý Lorenzo N xác định và được Trung tâm Phản ứng Sự cố Máy tính Luxembourg (CIRCL) công bố vào ngày 01 tháng 7 năm 2025. Sự phát hiện này làm nổi bật một khía cạnh đáng chú ý trong thế giới an ninh mạng: ngay cả các công cụ được thiết kế để thực hiện các cuộc tấn công mạng cũng có thể chứa các điểm yếu có thể bị khai thác.
Phân tích kỹ thuật: Lỗi xác thực đầu vào không đúng (CWE-20)
Lỗ hổng GCVE-1-2025-0002 được xếp loại 8.9 (High) trên thang điểm CVSS 4.0 và được phân loại là một trường hợp điển hình của lỗi xác thực đầu vào không đúng (CWE-20). Cụ thể, tiện ích trích xuất dữ liệu bị ảnh hưởng, vốn được triển khai rộng rãi trong các chiến dịch MOVEit đình đám của Cl0p vào năm 2023–2024, xây dựng các lệnh hệ điều hành bằng cách trực tiếp ghép nối các chuỗi do kẻ tấn công cung cấp mà không có bất kỳ quá trình làm sạch hoặc xác thực đầu vào nào. Điều này tạo ra một kẽ hở nghiêm trọng trong quá trình xử lý dữ liệu.
Chi tiết hơn, một endpoint đã được xác thực trên máy chủ staging hoặc thu thập dữ liệu của các nhà điều hành Cl0p sẽ chuyển các tên tệp hoặc thư mục nhận được từ các máy tính bị xâm nhập trực tiếp vào một chuỗi thoát shell (shell-escape sequence). Thiết kế lỗi này tạo ra một rủi ro thực thi lệnh từ xa (RCE). Nếu một tên thư mục hoặc tên tệp được chế tạo một cách độc hại được xử lý bởi công cụ trích xuất dữ liệu, các lệnh tùy ý có thể được thực thi trên chính cơ sở hạ tầng của Cl0p. CIRCL đã tóm tắt tình hình này bằng cách nhấn mạnh: “Một endpoint đã được xác thực trên máy chủ staging/thu thập của các nhà điều hành Cl0p chuyển tên tệp hoặc thư mục nhận được từ các máy bị xâm nhập trực tiếp vào một chuỗi thoát shell.”
Tác động và Nguy cơ khai thác ngược
Kịch bản khai thác ngược
Trớ trêu thay, lỗ hổng này có thể bị các đối thủ của Cl0p hoặc các tác nhân tấn công khác khai thác để phá vỡ hoạt động của nhóm hoặc đánh cắp dữ liệu của họ. Điều đáng nói là việc khai thác này sẽ được thực hiện bằng chính công cụ mà Cl0p đã thiết kế để lấy thông tin từ các nạn nhân. Khả năng này mở ra một tiền lệ hiếm có, nơi một công cụ được tạo ra cho mục đích phạm tội lại trở thành điểm yếu của chính những kẻ tạo ra nó.
Các chuyên gia bảo mật lưu ý rằng không có bản vá chính thức hoặc sự hợp tác nào từ các tác giả phần mềm độc hại được mong đợi. Điều này khiến cơ sở hạ tầng của nhóm Cl0p tiếp tục bị lộ trước các cuộc phản công tiềm năng. Alexandre Dulaunoy, người đứng đầu CIRCL, đã bình luận rằng nhóm Cl0p khó có thể giải quyết lỗi này. Điều này đặt hoạt động ransomware-as-a-service (RaaS) của họ vào tình trạng dễ bị khai thác bởi các tác nhân đe dọa có thể muốn phá hoại hoặc xâm nhập vào hệ thống backend của Cl0p.
Đánh giá mức độ nghiêm trọng trên CVSS 4.0
Điểm số 8.9 (High) trên thang điểm CVSS 4.0 cho thấy mức độ nghiêm trọng cao của lỗ hổng. Hệ số này phản ánh khả năng lỗ hổng có thể bị khai thác từ xa với độ phức tạp thấp, tác động đáng kể đến tính bảo mật, tính toàn vẹn và tính sẵn sàng của hệ thống bị ảnh hưởng. Trong trường hợp này, việc thiếu xác thực đầu vào cho phép kẻ tấn công thực thi các lệnh tùy ý trên máy chủ của Cl0p, điều này có thể dẫn đến việc kiểm soát hoàn toàn hệ thống, đánh cắp dữ liệu nhạy cảm của chính nhóm, hoặc thậm chí là phá hủy cơ sở hạ tầng của chúng. Sự thiếu vắng một bản vá từ nhóm phát triển Cl0p càng làm tăng thêm rủi ro này, biến nó thành một lỗ hổng vĩnh viễn không được khắc phục.
Bối cảnh hoạt động của nhóm Cl0p (TA505)
Chiến dịch MOVEit Transfer và Lịch sử
Cl0p, còn được biết đến với biệt danh TA505, đã xây dựng danh tiếng là một trong những nhóm ransomware gây thiệt hại lớn nhất. Nhóm này thường xuyên tận dụng các lỗ hổng zero-day để thực hiện các vụ trộm dữ liệu hàng loạt. Trong các cuộc tấn công MOVEit Transfer vào năm 2023–2024, Cl0p đã khai thác một lỗ hổng tiêm nhiễm SQL (SQL injection) chưa xác định để xâm phạm hàng trăm tổ chức, trích xuất dữ liệu nhạy cảm trước khi đòi tiền chuộc.
Mặc dù chi tiết cụ thể về chuỗi tấn công điển hình của Cl0p không được cung cấp trong thông tin này, nhóm này nổi tiếng với việc sử dụng các chiến thuật tinh vi và khả năng thích ứng cao, thường xuyên tìm kiếm và khai thác các điểm yếu mới trong phần mềm phổ biến để thực hiện các cuộc tấn công quy mô lớn. Việc nhóm này bị ảnh hưởng bởi chính công cụ của mình là một ví dụ hiếm hoi về việc một công cụ của tội phạm mạng lại khiến các nhà điều hành của nó phải đối mặt với cùng rủi ro mà chúng gây ra cho nạn nhân.
Ý nghĩa và Tầm quan trọng
Với việc không có kỳ vọng về một bản sửa lỗi từ các nhà phát triển của Cl0p, lỗ hổng GCVE-1-2025-0002 vẫn là một ví dụ hiếm hoi về việc một công cụ của tội phạm mạng tự làm lộ ra các nhà điều hành của mình trước những rủi ro tương tự mà họ áp đặt lên các nạn nhân. Các chuyên gia bảo mật cho rằng lỗ hổng này có thể trở thành một vector mới để phá vỡ các hoạt động ransomware ngay từ bên trong hệ sinh thái tội phạm.
Tình huống này nhấn mạnh tầm quan trọng của việc xác thực đầu vào nghiêm ngặt trong mọi ứng dụng phần mềm, bất kể mục đích sử dụng của chúng. Ngay cả các công cụ được thiết kế bởi các nhóm tội phạm mạng cũng không miễn nhiễm với các lỗi lập trình cơ bản có thể dẫn đến hậu quả nghiêm trọng.
