Hai lỗ hổng nghiêm trọng đã được phát hiện trong ScriptCase, một nền tảng tạo ứng dụng web PHP mã nguồn thấp (low-code) phổ biến, đặt hàng ngàn máy chủ vào tình trạng rủi ro bị thực thi mã từ xa và bị xâm nhập hoàn toàn.
Phân tích các lỗ hổng ScriptCase
Các lỗ hổng này được theo dõi với mã định danh CVE-2025-47227 và CVE-2025-47228. Chúng ảnh hưởng đến mô-đun Production Environment (còn được gọi là “prod console”), một thành phần thường được triển khai cùng với các ứng dụng web để quản lý cơ sở dữ liệu và thư mục. Phát hiện này được công bố trong một báo cáo từ Synacktiv, với công trạng thuộc về các nhà nghiên cứu Alexandre Droullé và Alexandre Zanni.
ScriptCase là một công cụ mạnh mẽ cho phép các nhà phát triển xây dựng ứng dụng PHP thông qua giao diện đồ họa trực quan, giúp tăng tốc quá trình phát triển. Trong nhiều trường hợp, giao diện chính của ScriptCase thường được tách biệt khỏi các máy chủ sản xuất. Tuy nhiên, mô-đun Production Environment hay “prod console” lại thường xuyên được cài đặt trực tiếp trên các máy chủ sản xuất để tiện cho việc quản lý hệ thống cơ sở dữ liệu và các cấu hình ứng dụng trong môi trường thực tế. Sự hiện diện phổ biến của mô-đun này trên các máy chủ production chính là yếu tố khiến những lỗ hổng này trở nên đặc biệt nguy hiểm và có khả năng gây ảnh hưởng trên diện rộng.
CVE-2025-47227: Pre-Authenticated Administrator Password Reset
Lỗ hổng CVE-2025-47227 cho phép kẻ tấn công thực hiện việc đặt lại mật khẩu quản trị viên mà không cần xác thực trước (Pre-Authenticated Administrator Password Reset). Điều này có nghĩa là một kẻ tấn công từ xa, không cần sở hữu bất kỳ thông tin đăng nhập hợp lệ nào, có thể khai thác một lỗ hổng logic hoặc cấu hình sai trong mô-đun “prod console” để thay đổi mật khẩu của tài khoản quản trị viên. Sau khi mật khẩu được đặt lại, kẻ tấn công có thể dễ dàng đăng nhập vào console với tư cách quản trị viên, giành quyền kiểm soát hoàn toàn các chức năng quản lý mà console cung cấp. Quyền truy cập quản trị viên này có thể dẫn đến nhiều hành động độc hại khác, bao gồm nhưng không giới hạn ở việc thay đổi cấu hình ứng dụng, truy cập hoặc sửa đổi dữ liệu nhạy cảm, và tạo tiền đề cho các cuộc tấn công phức tạp hơn.
Cơ chế của lỗ hổng này thường liên quan đến việc thao túng các yêu cầu HTTP hoặc các tham số đầu vào được xử lý không an toàn bởi ứng dụng. Kẻ tấn công có thể lợi dụng điều này để bypass các cơ chế xác thực hoặc ủy quyền, buộc hệ thống phải thực hiện thao tác đặt lại mật khẩu cho tài khoản quản trị mà không kiểm tra danh tính của người yêu cầu. Tính chất “pre-authenticated” khiến lỗ hổng này trở nên cực kỳ nghiêm trọng vì nó loại bỏ rào cản đầu tiên của bảo mật – việc xác thực người dùng.
CVE-2025-47228: Remote Command Execution via Shell Injection
Lỗ hổng CVE-2025-47228 cho phép thực thi lệnh từ xa thông qua kỹ thuật Shell Injection. Đây là một lỗ hổng cho phép kẻ tấn công chèn các lệnh hệ điều hành vào các đầu vào của ứng dụng, sau đó các lệnh này sẽ được thực thi bởi máy chủ. Trong ngữ cảnh của “prod console” của ScriptCase, điều này có nghĩa là bất kỳ chức năng nào chấp nhận đầu vào từ người dùng và sử dụng đầu vào đó để xây dựng các lệnh shell (ví dụ: thực thi lệnh hệ thống, truy vấn cơ sở dữ liệu qua CLI) mà không được làm sạch hoặc kiểm tra đúng cách sẽ có thể bị khai thác.
Kẻ tấn công có thể chèn các ký tự đặc biệt hoặc cú pháp lệnh shell vào các trường dữ liệu như tên tệp, đường dẫn, hoặc các tham số cấu hình. Khi ứng dụng xử lý các đầu vào này mà không lọc bỏ các ký tự độc hại, các lệnh được chèn sẽ được thực thi trên máy chủ với quyền hạn của tiến trình chạy ứng dụng. Việc thực thi lệnh từ xa này (Remote Code Execution – RCE) là một trong những loại lỗ hổng nguy hiểm nhất, vì nó cho phép kẻ tấn công thực hiện hầu hết mọi hành động trên máy chủ bị ảnh hưởng, bao gồm tải lên mã độc, đọc hoặc xóa tệp tin, thiết lập các cơ chế duy trì quyền truy cập (persistence), hoặc thậm chí chiếm quyền kiểm soát toàn bộ máy chủ.
Ảnh hưởng kỹ thuật và rủi ro tiềm ẩn
Sự kết hợp của hai lỗ hổng này tạo nên một kịch bản tấn công cực kỳ nguy hiểm. Với CVE-2025-47227, kẻ tấn công có thể giành quyền quản trị ban đầu. Sau đó, với quyền truy cập quản trị, kẻ tấn công có thể dễ dàng khai thác CVE-2025-47228 để thực thi mã tùy ý trên máy chủ. Kết quả cuối cùng là sự xâm nhập hoàn toàn hệ thống. Kẻ tấn công có thể:
- Thực thi mã từ xa (Remote Code Execution – RCE): Điều này cho phép kẻ tấn công chạy bất kỳ lệnh nào trên máy chủ, kiểm soát hoàn toàn hệ thống.
- Truy cập và đánh cắp dữ liệu: Toàn bộ dữ liệu được lưu trữ trên máy chủ, bao gồm dữ liệu ứng dụng, thông tin người dùng, thông tin đăng nhập cơ sở dữ liệu, và các tệp nhạy cảm khác, có thể bị truy cập, sao chép hoặc đánh cắp.
- Thiết lập Backdoor và duy trì quyền truy cập: Kẻ tấn công có thể cài đặt các backdoor, web shell hoặc các công cụ truy cập từ xa khác để duy trì quyền kiểm soát hệ thống ngay cả khi các lỗ hổng ban đầu đã được vá.
- Phá hoại hoặc làm hỏng dữ liệu: Dữ liệu có thể bị mã hóa (ransomware), xóa, hoặc làm hỏng, gây ra sự gián đoạn nghiêm trọng cho hoạt động kinh doanh.
- Khai thác để tấn công các hệ thống khác: Máy chủ bị xâm nhập có thể được sử dụng làm bàn đạp để phát động các cuộc tấn công nội bộ (lateral movement) vào các hệ thống khác trong mạng, hoặc tham gia vào các botnet để thực hiện các hoạt động độc hại khác.
Vì mô-đun “prod console” thường hoạt động trên các máy chủ production, rủi ro đối với tính toàn vẹn và bảo mật của các ứng dụng đang chạy là rất cao. Bất kỳ tổ chức nào sử dụng ScriptCase với mô-đun Production Environment được triển khai trên máy chủ production đều phải đối mặt với nguy cơ bị xâm nhập nghiêm trọng.
Phiên bản bị ảnh hưởng và tình trạng khắc phục
Hiện tại, không có bản vá chính thức nào từ nhà cung cấp ScriptCase để khắc phục triệt để hai lỗ hổng CVE-2025-47227 và CVE-2025-47228. Điều này khiến cho tất cả các phiên bản của ScriptCase có chứa mô-đun Production Environment đang được triển khai mà chưa được bảo vệ bằng các biện pháp khắc phục tạm thời đều có nguy cơ cao bị tấn công. Người dùng và các tổ chức sử dụng ScriptCase được khuyến cáo mạnh mẽ phải thực hiện các hành động bảo vệ ngay lập tức để giảm thiểu rủi ro.
Các biện pháp giảm thiểu và khuyến nghị
Trong khi chờ đợi bản vá chính thức, các tổ chức sử dụng ScriptCase cần ưu tiên thực hiện các biện pháp giảm thiểu sau đây để bảo vệ hệ thống của mình:
Hạn chế quyền truy cập vào “prod console”
- Hạn chế truy cập IP: Chỉ cho phép các địa chỉ IP đáng tin cậy (ví dụ: mạng nội bộ công ty, VPN của quản trị viên) được truy cập vào cổng (port) hoặc đường dẫn (path) của “prod console”. Điều này có thể được cấu hình ở cấp độ tường lửa (firewall) hoặc bộ cân bằng tải (load balancer).
- Sử dụng VPN hoặc mạng nội bộ: Yêu cầu tất cả các kết nối tới “prod console” phải thông qua Mạng riêng ảo (VPN) hoặc chỉ cho phép truy cập từ mạng nội bộ được kiểm soát chặt chẽ.
- Xác thực mạnh mẽ: Nếu có thể, áp dụng các cơ chế xác thực đa yếu tố (Multi-Factor Authentication – MFA) cho “prod console” để tăng cường lớp bảo mật.
Chặn các điểm cuối (endpoints) cụ thể
Dựa trên bản chất của các lỗ hổng, cần chặn hoặc hạn chế quyền truy cập vào các điểm cuối liên quan đến chức năng đặt lại mật khẩu quản trị và các điểm cuối cho phép thực thi lệnh shell. Điều này có thể được thực hiện thông qua:
- Tường lửa ứng dụng web (Web Application Firewall – WAF): Triển khai WAF để phát hiện và chặn các yêu cầu độc hại nhắm vào các điểm cuối có khả năng bị khai thác. WAF có thể được cấu hình để lọc các mẫu tấn công liên quan đến injection hoặc các yêu cầu đặt lại mật khẩu bất thường.
- Cấu hình máy chủ web: Sử dụng các quy tắc trong máy chủ web (ví dụ: Apache .htaccess, Nginx location blocks) để hạn chế quyền truy cập vào các thư mục hoặc tệp nhạy cảm của “prod console”, hoặc chặn các phương thức HTTP không cần thiết.
- Quy tắc tường lửa mạng (Network Firewall Rules): Tạo các quy tắc tường lửa để từ chối các kết nối đến các cổng hoặc giao thức cụ thể của “prod console” từ các nguồn không được phép.
Các khuyến nghị bảo mật chung
- Giám sát chặt chẽ: Triển khai các hệ thống giám sát và ghi nhật ký (logging) mạnh mẽ cho máy chủ và ứng dụng ScriptCase để phát hiện các hoạt động bất thường hoặc nỗ lực khai thác.
- Phân đoạn mạng: Đảm bảo rằng máy chủ chạy ScriptCase và “prod console” được đặt trong một phân đoạn mạng riêng biệt, cách ly với các hệ thống quan trọng khác, để hạn chế sự lây lan của một cuộc tấn công nếu nó xảy ra.
- Kiểm tra bảo mật định kỳ: Thực hiện đánh giá lỗ hổng và kiểm tra thâm nhập định kỳ để xác định và khắc phục các điểm yếu khác trong hệ thống.
- Cập nhật thông tin: Theo dõi chặt chẽ các thông báo từ nhà cung cấp ScriptCase và cộng đồng bảo mật để cập nhật thông tin về bản vá hoặc các biện pháp khắc phục mới nhất.
Các tổ chức sử dụng ScriptCase cần hành động ngay lập tức để giảm thiểu rủi ro, bảo vệ cơ sở hạ tầng và dữ liệu của mình khỏi các mối đe dọa nghiêm trọng do CVE-2025-47227 và CVE-2025-47228 gây ra.
