Các nhà nghiên cứu bảo mật tại LRQA Cyber Labs đã phát hiện một lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng trong Broadcom Symantec Endpoint Management Suite, trước đây được biết đến với tên Altiris. Lỗ hổng này cho phép kẻ tấn công chưa được xác thực (unauthenticated attackers) thực thi mã tùy ý (arbitrary code) trên các hệ thống dễ bị tổn thương, tạo ra nguy cơ kiểm soát hoàn toàn đối với các máy chủ quản lý endpoint trong môi trường doanh nghiệp.
Lỗ hổng này đã được gán mã định danh CVE-2025-5333 và được công bố chi tiết trên Cổng thông tin lỗ hổng quốc gia (NVD) của NIST. Nó ảnh hưởng đến nhiều phiên bản của nền tảng quản lý endpoint này, một giải pháp được sử dụng rộng rãi trong các tổ chức lớn để quản lý và bảo mật hàng ngàn thiết bị đầu cuối. Mức độ nghiêm trọng của lỗ hổng được thể hiện qua điểm CVSS 9.5, xếp vào loại Critical (Nghiêm trọng nhất), cho thấy khả năng khai thác cao và tác động tiềm tàng cực kỳ nghiêm trọng.
Phân tích kỹ thuật chuyên sâu về Lỗ hổng CVE-2025-5333
Nguyên nhân gốc rễ: Điểm cuối .NET Remoting bị lộ diện
Lỗ hổng CVE-2025-5333 bắt nguồn từ sự hiện diện của một điểm cuối .NET Remoting kế thừa (legacy .NET Remoting endpoint) bị lộ diện trong thành phần Symantec Altiris Inventory Rule Management (IRM) của bộ phần mềm. Điểm cuối này có thể được truy cập qua mạng tại địa chỉ tcp://<host>:4011/IRM/HostedService.
.NET Remoting là một công nghệ cũ hơn của Microsoft để liên lạc giữa các tiến trình (interprocess communication) hoặc giữa các ứng dụng trên các máy khác nhau. Việc điểm cuối này bị lộ diện và có thể truy cập qua cổng TCP 4011 mà không yêu cầu xác thực tạo ra một bề mặt tấn công rộng lớn. Kẻ tấn công có thể tương tác trực tiếp với dịch vụ này từ xa, mở đường cho các cuộc tấn công tiếp theo.
Lỗi Deserialization không an toàn
Vấn đề cốt lõi của lỗ hổng nằm ở việc điểm cuối .NET Remoting này cho phép khai thác lỗi deserialization không an toàn của các đối tượng .NET. Khi một đối tượng được deserialization không an toàn, dữ liệu được truyền qua mạng có thể được cấu trúc một cách độc hại để thực thi mã tùy ý trên hệ thống đích.
Trong quá trình phân tích mã nguồn được dịch ngược của thành phần IRM, các nhà nghiên cứu đã xác định rằng ứng dụng sử dụng phương thức RemotingConfiguration.RegisterWellKnownServiceType để đăng ký dịch vụ từ xa. Quan trọng hơn, cấu hình được phát hiện là sử dụng BinaryServerFormatterSinkProvider với thuộc tính TypeFilterLevel được đặt thành Full. Cấu hình này là một dấu hiệu rõ ràng của cấu hình deserialization không an toàn.
Với TypeFilterLevel đặt ở mức Full, hệ thống sẽ thực hiện deserialization mà không có bất kỳ hạn chế nào về loại đối tượng có thể được deserialization. Điều này cho phép kẻ tấn công gửi các chuỗi đối tượng (gadget chains) được xây dựng sẵn mà khi được deserialization, sẽ kích hoạt việc thực thi mã độc hại trên hệ thống. Lớp lỗ hổng này, liên quan đến deserialization không an toàn trong .NET Remoting, đã được James Forshaw khám phá và công bố chi tiết từ năm 2014, và đã trở thành một vector tấn công được tài liệu hóa rõ ràng trong cộng đồng bảo mật.
Quá trình phát hiện và Xác minh Lỗ hổng
Lỗ hổng CVE-2025-5333 được phát hiện trong một cuộc kiểm tra Red Team engagement gần đây do các chuyên gia bảo mật của LRQA thực hiện. Quá trình này bắt đầu khi các nhà nghiên cứu đã giành được quyền truy cập vào một máy trạm được bảo vệ nghiêm ngặt và bắt đầu các hoạt động trinh sát mạng nội bộ (internal network reconnaissance).
Trong giai đoạn trinh sát, khi kiểm tra các tiến trình đang chạy và các dịch vụ mạng, họ đã xác định các dịch vụ liên quan đến Symantec Endpoint Management. Nhận thấy tiềm năng của nền tảng này trong việc quản lý tập trung và kiểm soát quyền truy cập, họ quyết định điều tra cơ sở hạ tầng này như một vector tiềm năng để leo thang đặc quyền (privilege escalation) hoặc di chuyển ngang (lateral movement) trong mạng.
Sử dụng PowerShell để liệt kê các dịch vụ mạng đang lắng nghe trên máy trạm, các nhà nghiên cứu đã phát hiện cổng TCP 4011 đang được lắng nghe bởi một dịch vụ và được liên kết với địa chỉ 0.0.0.0. Việc liên kết với 0.0.0.0 chỉ ra rằng dịch vụ này có thể truy cập từ bất kỳ giao diện mạng nào trên hệ thống, bao gồm cả từ xa, nếu tường lửa cho phép.
Để hiểu rõ hơn về dịch vụ này, các nhà nghiên cứu đã sử dụng DnSpy, một trình gỡ lỗi (debugger) và chỉnh sửa assembly .NET mạnh mẽ. Công cụ này cho phép họ dịch ngược (decompile) các tệp assembly của ứng dụng Symantec Endpoint Management và phân tích mã nguồn. Qua quá trình này, họ đã xác nhận rằng ứng dụng đang sử dụng .NET Remoting và đặc biệt là cấu hình BinaryServerFormatterSinkProvider với TypeFilterLevel được đặt thành Full, như đã mô tả chi tiết ở trên.
Khai thác Lỗ hổng và Tác động
Sau khi xác định được nguyên nhân gốc rễ và cấu hình dễ bị tổn thương, các nhà nghiên cứu đã tiến hành xác minh khả năng khai thác của lỗ hổng. Họ đã sử dụng công cụ ExploitRemotingService do James Forshaw phát triển, một công cụ được thiết kế để khai thác các lỗ hổng deserialization trong .NET Remoting.
Việc sử dụng công cụ này đã cho phép các nhà nghiên cứu thực thi thành công các lệnh tùy ý trên hệ thống mục tiêu từ xa. Để chứng minh tác động, họ đã thực hiện các hành động như lấy danh sách nội dung thư mục từ hệ thống, xác nhận khả năng thực thi mã từ xa hoàn toàn.
Tác động của việc khai thác thành công lỗ hổng CVE-2025-5333 là vô cùng nghiêm trọng. Khả năng thực thi mã từ xa không cần xác thực cho phép kẻ tấn công có thể cài đặt mã độc (malware), tạo tài khoản người dùng độc hại, đánh cắp dữ liệu nhạy cảm, hoặc thậm chí chiếm quyền kiểm soát hoàn toàn máy chủ Symantec Endpoint Management Suite. Với vai trò trung tâm của nền tảng này trong quản lý endpoint, việc bị xâm phạm có thể dẫn đến sự lây lan nhanh chóng của các cuộc tấn công trên toàn bộ mạng doanh nghiệp.
Phản ứng từ Broadcom và Biện pháp giảm thiểu
Theo quy trình công bố phối hợp (coordinated disclosure), LRQA đã báo cáo chi tiết về lỗ hổng CVE-2025-5333 cho Product Security Incident Response Team (PSIRT) của Broadcom. Broadcom đã phản hồi nhanh chóng và chuyên nghiệp, xác nhận vấn đề và cung cấp ngay lập tức các hướng dẫn giảm thiểu để bảo vệ khách hàng của họ.
Các biện pháp giảm thiểu được khuyến nghị
Để giảm thiểu rủi ro từ lỗ hổng này, các tổ chức nên thực hiện ngay lập tức các biện pháp sau:
- Đóng cổng TCP 4011 trên Tường lửa của Notification Server: Biện pháp giảm thiểu chính và quan trọng nhất là đảm bảo rằng cổng TCP 4011 được đóng trên tường lửa của máy chủ Symantec Notification Server. Theo tài liệu chính thức của Broadcom, cổng này không được yêu cầu phải mở để hoạt động bình thường. Việc đóng cổng này sẽ loại bỏ khả năng truy cập từ xa vào điểm cuối .NET Remoting dễ bị tổn thương.
- Cấu hình cài đặt IRM_HostedServiceUrl: Ngoài ra, các quản trị viên có thể cấu hình cài đặt
IRM_HostedServiceUrlđể trống. Khi cài đặt này được để trống, nó sẽ hạn chế quyền truy cập .NET Remoting chỉ đếnlocalhost, nghĩa là chỉ các tiến trình chạy trên cùng một máy chủ mới có thể tương tác với điểm cuối này, loại bỏ khả năng tấn công từ xa.
Broadcom đã thông báo rằng các bản phát hành sản phẩm trong tương lai sẽ tích hợp các biện pháp bảo mật nâng cao hơn để giới hạn và bảo mật việc sử dụng .NET Remoting cho thành phần IRM/HostedService. Mục tiêu là ngăn chặn quyền truy cập từ xa vào điểm cuối này một cách vĩnh viễn và triệt để hơn trong các phiên bản sản phẩm tiếp theo.
Các tổ chức đang sử dụng bất kỳ phiên bản nào của Broadcom Symantec Endpoint Management Suite có nguy cơ bị ảnh hưởng bởi lỗ hổng này cần khẩn trương rà soát lại cấu hình tường lửa và thực hiện ngay lập tức các biện pháp giảm thiểu được khuyến nghị. Việc bỏ qua lỗ hổng RCE nghiêm trọng như CVE-2025-5333 có thể dẫn đến những hậu quả nghiêm trọng và rộng khắp cho an ninh mạng của toàn bộ hệ thống.
