Lỗ Hổng ScreenConnect: Tấn Công ViewState Code Injection và Cách Khắc Phục

27/04/2025
3 mins read
Nội dung
Lỗ Hổng Nghiêm Trọng Trong ScreenConnect: Tấn Công ViewState Code Injection Và Hướng Dẫn Khắc Phục
Chi Tiết Kỹ Thuật Về Lỗ Hổng
Hệ Quả Thực Tế Và Nguy Cơ Tiềm Ẩn
Hướng Dẫn Khắc Phục Và Các Biện Pháp Bảo Mật
Kết Luận

Lỗ Hổng Nghiêm Trọng Trong ScreenConnect: Tấn Công ViewState Code Injection Và Hướng Dẫn Khắc Phục

ScreenConnect, một phần mềm remote desktop phổ biến do ConnectWise phát triển, vừa được phát hiện tồn tại một lỗ hổng bảo mật nghiêm trọng liên quan đến tấn công ViewState code injection. Lỗ hổng này ảnh hưởng đến các phiên bản 25.2.3 trở về trước và có thể dẫn đến thực thi mã từ xa (remote code execution – RCE) trên server. Trong bài viết này, chúng ta sẽ phân tích chi tiết về lỗ hổng, mức độ ảnh hưởng, và các biện pháp khắc phục dành cho quản trị viên hệ thống và chuyên gia bảo mật.

Chi Tiết Kỹ Thuật Về Lỗ Hổng

1. Mô Tả Lỗ Hổng:

  • Lỗ hổng xuất hiện ở các phiên bản ScreenConnect 25.2.3 trở về trước, cho phép kẻ tấn công thực hiện tấn công ViewState code injection.
  • ASP.NET Web Forms sử dụng ViewState để lưu trữ trạng thái của trang và các điều khiển (control state). Dữ liệu này được mã hóa dưới dạng Base64 và được bảo vệ bởi các machine key.
  • Nếu machine key bị xâm phạm, kẻ tấn công có thể tạo và gửi các ViewState độc hại, dẫn đến khả năng thực thi mã từ xa trên server.

2. Mức Độ Nghiêm Trọng:

  • Lỗ hổng được đánh giá ở mức độ cao với điểm số CVSS là 8.1 (theo CWE-287: Improper Authentication).
  • Một đánh giá rủi ro khác cho thấy điểm CVSS lên tới 8.8, chỉ thiếu một chút để đạt mức critical.
  • Việc khai thác lỗ hổng có thể dẫn đến việc đánh cắp dữ liệu nhạy cảm hoặc chiếm quyền điều khiển tài nguyên xử lý trên server. Tuy nhiên, kẻ tấn công cần có thêm quyền truy cập hoặc đặc quyền để thực hiện khai thác thành công.

3. Bản Vá Và Cập Nhật:

  • ConnectWise đã khắc phục lỗ hổng trong phiên bản ScreenConnect 25.2.4 trở lên bằng cách vô hiệu hóa ViewState và loại bỏ sự phụ thuộc vào cơ chế này.
  • Bản cập nhật đã được phát hành và có sẵn trên trang tải xuống chính thức của ConnectWise. Các quản trị viên IT cần ưu tiên áp dụng bản cập nhật này do mức độ nghiêm trọng của lỗ hổng.

Hệ Quả Thực Tế Và Nguy Cơ Tiềm Ẩn

1. Khả Năng Thực Thi Mã Từ Xa (RCE):

Nếu kẻ tấn công có được quyền truy cập vào machine key, chúng có thể thực thi mã độc hại trên server, dẫn đến nguy cơ rò rỉ dữ liệu hoặc toàn bộ hệ thống bị xâm phạm.

2. Phát Tán Malware Và Ransomware:

Lịch sử cho thấy các lỗ hổng tương tự đã bị khai thác để phát tán phần mềm độc hại. Cụ thể, vào tháng 2 năm 2024, lỗ hổng này đã được sử dụng để triển khai ransomware, gây ra rủi ro lớn cho các tổ chức.

3. Ảnh Hưởng Đến Hoạt Động Kinh Doanh:

Việc khai thác lỗ hổng có thể làm gián đoạn hoạt động kinh doanh, gây downtime và thiệt hại tài chính. Do đó, việc cập nhật phần mềm kịp thời là điều bắt buộc để đảm bảo tính liên tục của hệ thống.

Hướng Dẫn Khắc Phục Và Các Biện Pháp Bảo Mật

1. Cập Nhật ScreenConnect Lên Phiên Bản Mới Nhất:

Người dùng cần ngay lập tức nâng cấp lên phiên bản ScreenConnect 25.2.4 trở lên để vá lỗ hổng. Các bước thực hiện như sau:

  1. Kiểm Tra Phiên Bản Hiện Tại: Xác minh phiên bản ScreenConnect đang được cài đặt trên hệ thống của bạn. Nếu có lệnh CLI hỗ trợ, sử dụng lệnh sau (nếu áp dụng):
    screenconnect --version
  2. Tải Bản Cập Nhật: Truy cập trang tải xuống chính thức của ConnectWise và tải phiên bản ScreenConnect 25.2.4 trở lên.
  3. Cài Đặt Bản Cập Nhật: Làm theo hướng dẫn cài đặt từ ConnectWise để hoàn tất quá trình nâng cấp.
  4. Xác Minh Lại Phiên Bản: Sau khi cài đặt, kiểm tra lại để đảm bảo hệ thống đã được cập nhật lên phiên bản 25.2.4 hoặc mới hơn.

2. Các Biện Pháp Bảo Mật Bổ Sung:

  • Thực hiện cập nhật bảo mật định kỳ để ngăn chặn việc khai thác các lỗ hổng đã biết.
  • Giám sát các bản ghi hệ thống (system logs) để phát hiện các hoạt động bất thường liên quan đến thao tác ViewState.
  • Quản lý an toàn các machine key, đảm bảo chúng không bị truy cập trái phép.
  • Định kỳ rà soát và cập nhật cấu hình hệ thống để giảm thiểu sự phụ thuộc vào ViewState.

Kết Luận

Lỗ hổng ViewState code injection trong ScreenConnect là một mối đe dọa nghiêm trọng đối với bất kỳ tổ chức nào đang sử dụng các phiên bản 25.2.3 trở về trước. Với khả năng dẫn đến thực thi mã từ xa và phát tán ransomware, việc cập nhật ngay lập tức lên phiên bản 25.2.4 hoặc mới hơn là điều bắt buộc. Bên cạnh đó, các quản trị viên cần áp dụng các biện pháp bảo mật bổ sung nhằm bảo vệ hệ thống trước các nguy cơ tương tự trong tương lai. Hãy hành động kịp thời để giảm thiểu rủi ro và đảm bảo an toàn cho hạ tầng CNTT của tổ chức.