Blog, Tin Tức

CVE-2025-34028 Lỗ Hổng Nghiêm Trọng Trong Commvault 2025

Posted on by WAF CSP

Khám phá lỗ hổng bảo mật nghiêm trọng CVE-2025-34028 trong Commvault Command Center, cho phép tin tặc chiếm quyền kiểm soát từ xa mà không cần xác thực. Tìm hiểu nguyên nhân, tác động, và cách bảo vệ hệ thống của bạn trước mối đe dọa an ninh mạng năm 2025. Đọc ngay để cập nhật giải pháp!

1. Giới Thiệu

Trong bối cảnh an ninh mạng ngày càng trở nên phức tạp, một lỗ hổng bảo mật nghiêm trọng trong phần mềm Commvault Command Center đã được các nhà nghiên cứu phát hiện vào ngày 29/04/2025. Định danh lỗ hổng này là CVE-2025-34028, ảnh hưởng đến các phiên bản từ 11.38.0 đến 11.38.19 trên cả hệ điều hành Windows và Linux. Với mức độ nghiêm trọng đạt 9.0 trên thang điểm CVSS, lỗ hổng này cho phép tin tặc thực thi mã tùy ý từ xa mà không cần xác thực, đặt ra nguy cơ chiếm quyền kiểm soát toàn bộ hệ thống cho các tổ chức sử dụng Commvault.

CVE-2025-34028
CVE-2025-34028

Là một chuyên gia bảo mật, tôi sẽ phân tích chi tiết nguồn gốc của lỗ hổng, tác động tiềm tàng, và các biện pháp khắc phục cần thiết để bảo vệ hệ thống trước mối đe dọa này trong năm 2025. Với hơn 100.000 khách hàng toàn cầu, bao gồm các tập đoàn lớn như 3M, Deloitte, Sony, và Astra Zeneca, việc giải quyết lỗ hổng này là ưu tiên hàng đầu để đảm bảo an toàn dữ liệu.

2. Commvault Command Center: Vai Trò Và Tầm Quan Trọng

Commvault là một trong những nhà cung cấp hàng đầu về các giải pháp sao lưu, phục hồi, và lưu trữ đám mây, phục vụ hơn 100.000 khách hàng trên toàn thế giới. Commvault Command Center, giao diện web trung tâm của công ty, cho phép quản lý các tác vụ bảo vệ dữ liệu, sao lưu, và phục hồi cho khối lượng công việc và dữ liệu doanh nghiệp. Đây là công cụ quan trọng đối với các tổ chức, đặc biệt trong các ngành tài chính, y tế, và công nghệ, nơi dữ liệu nhạy cảm cần được bảo vệ chặt chẽ.

Tuy nhiên, lỗ hổng CVE-2025-34028 đã biến Commvault Command Center thành một điểm yếu tiềm tàng. Với khả năng cho phép tin tặc xâm nhập từ xa mà không cần xác thực, lỗ hổng này có thể dẫn đến mất dữ liệu, gián đoạn hoạt động, và thiệt hại tài chính nghiêm trọng.

3. Phân Tích Nguồn Gốc Và Cơ Chế Tấn Công

3.1. Nguyên Nhân Gốc Rễ Của Lỗ Hổng

Theo các nhà nghiên cứu từ Arctic Wolf, lỗ hổng xuất phát từ điểm cuối deployWebpackage.do trong Commvault Command Center. Vấn đề nằm ở việc thiếu kiểm tra lọc máy chủ đầy đủ, dẫn đến một cuộc tấn công SSRF (Server-Side Request Forgery) trước khi xác thực. SSRF là một kỹ thuật cho phép tin tặc buộc máy chủ thực hiện các yêu cầu không mong muốn, bao gồm truy cập vào các tài nguyên nội bộ hoặc gửi dữ liệu nhạy cảm ra bên ngoài.

3.2. Cơ Chế Khai Thác Lỗ Hổng

Tin tặc có thể khai thác lỗ hổng này bằng cách sử dụng một tệp ZIP độc hại chứa tệp .JSP. Các bước tấn công bao gồm:

  • Gửi tệp ZIP độc hại đến giao diện Command Center thông qua điểm cuối deployWebpackage.do.

  • Tận dụng SSRF để vượt qua lớp bảo vệ xác thực.

  • Thực thi mã tùy ý trên hệ thống mục tiêu, cho phép tin tặc chiếm quyền kiểm soát hoàn toàn.

Với mức độ nghiêm trọng 9.0 trên thang CVSS, lỗ hổng này không chỉ nguy hiểm do khả năng khai thác từ xa mà còn bởi nó không yêu cầu tin tặc phải có quyền truy cập ban đầu vào hệ thống.

3.3. Phạm Vi Ảnh Hưởng

Lỗ hổng ảnh hưởng đến các phiên bản Commvault Command Center từ 11.38.0 đến 11.38.19, bao gồm cả Windows và Linux. Các tổ chức sử dụng các phiên bản này, đặc biệt là những đơn vị chưa cập nhật, đang đối mặt với rủi ro cao. Với danh sách khách hàng lớn như 3M, Sony, và Astra Zeneca, tác động có thể lan rộng trên toàn cầu nếu lỗ hổng bị khai thác.

4. Tác Động Của Lỗ Hổng CVE-2025-34028

4.1. Nguy Cơ Chiếm Quyền Kiểm Soát

Với khả năng thực thi mã tùy ý, tin tặc có thể:

  • Cài đặt phần mềm độc hại như ransomware để mã hóa dữ liệu và đòi tiền chuộc.

  • Truy cập vào cơ sở dữ liệu sao lưu, dẫn đến mất dữ liệu vĩnh viễn.

  • Điều khiển hệ thống để phát động các cuộc tấn công mạng khác, chẳng hạn như DDoS hoặc khai thác chuỗi cung ứng.

4.2. Rủi Ro Đối Với Các Ngành Ngành Quan Trọng

Các ngành như tài chính, y tế, và công nghệ – nơi Commvault được sử dụng rộng rãi – đặc biệt dễ bị tổn thương. Ví dụ:

  • Trong ngành y tế, mất dữ liệu bệnh nhân có thể vi phạm quy định bảo mật như GDPR hoặc HIPAA.

  • Trong ngành tài chính, tin tặc có thể đánh cắp thông tin khách hàng hoặc gây gián đoạn giao dịch.

4.3. Nguy Cơ Từ Mã Khai Thác Mẫu (PoC)

Dù chưa có báo cáo về việc lỗ hổng bị khai thác trong thực tế, việc mã khai thác mẫu (Proof of Concept – PoC) đã được công khai làm tăng nguy cơ bị tấn công trong tương lai. Các nhóm ransomware, vốn nhắm vào các hệ thống sao lưu và phục hồi dữ liệu, có thể nhanh chóng tận dụng lỗ hổng này.

5. Giải Pháp Khắc Phục Từ Commvault

5.1. Bản Vá Từ Commvault

Commvault đã phát hành các bản vá cho lỗ hổng này trong các phiên bản:

  • 11.38.20: Bản vá ban đầu khắc phục lỗ hổng SSRF.

  • 11.38.25: Phiên bản cập nhật bổ sung, đảm bảo bảo vệ toàn diện hơn.

5.2. Khuyến Cáo Từ Chuyên Gia Bảo Mật

Là một chuyên gia bảo mật, tôi đồng tình với các khuyến nghị từ Commvault và các chuyên gia như Heath Renfrow (Giám đốc An ninh Thông tin tại Fenix24):

  • Cập nhật ngay lập tức: Nâng cấp hệ thống lên phiên bản 11.38.20 hoặc 11.38.25. Kiểm tra xem cơ chế cập nhật tự động không bị chặn bởi tường lửa hoặc cấu hình mạng.

  • Hạn chế truy cập Internet: Tạm thời chặn quyền truy cập từ Internet vào giao diện Command Center thông qua quy tắc tường lửa hoặc kiểm soát truy cập cho đến khi bản vá được áp dụng.

  • Xác minh bản vá: Sau khi cập nhật, kiểm tra hệ thống để đảm bảo lỗ hổng đã được khắc phục.

  • Theo dõi mối đe dọa: Theo dõi các nguồn tin cậy như Arctic Wolf, Fortinet, hoặc Microsoft để cập nhật thông tin về lỗ hổng mới.

5.3. Giải Pháp Bảo Mật Toàn Diện

  • Triển khai WAF: Sử dụng tường lửa ứng dụng web (WAF) để lọc các yêu cầu độc hại trước khi đến Command Center.

  • Giám sát hệ thống: Cài đặt hệ thống phát hiện xâm nhập (IDS) để phát hiện các hoạt động bất thường.

  • Sao lưu ngoại tuyến: Đảm bảo sao lưu dữ liệu ngoại tuyến để khôi phục trong trường hợp bị tấn công ransomware.

6. Các Lỗ Hổng Khác Đáng Chú Ý

6.1. Làn Sóng Tấn Công Từ Lỗ Hổng Chrome

Cùng thời điểm, các lỗ hổng bảo mật nghiêm trọng trên Google Chrome cũng được báo cáo. Một lỗ hổng tồn tại hơn 20 năm đã được khắc phục, nhưng làn sóng tấn công mới nhắm vào trình duyệt này đang gia tăng, đe dọa hàng triệu người dùng.

6.2. Cảnh Báo Bảo Mật Cho Chrome

Google đã phát hành bản vá cho các lỗ hổng nghiêm trọng trên Chrome, nhấn mạnh tầm quan trọng của việc cập nhật phần mềm kịp thời – bài học tương tự áp dụng cho Commvault.

7. Phân Tích Chuyên Sâu: Tại Sao Lỗ Hổng Này Nguy Hiểm?

7.1. Tính Khai Thác Dễ Dàng

Việc không cần xác thực và sự xuất hiện của mã PoC làm tăng khả năng khai thác bởi cả tin tặc nghiệp dư và chuyên nghiệp. Điều này đặc biệt nguy hiểm trong bối cảnh các nhóm ransomware đang tìm kiếm mục tiêu dễ tổn thương.

7.2. Tác Động Lâu Dài

Nếu không được vá kịp thời, lỗ hổng có thể dẫn đến mất dữ liệu vĩnh viễn hoặc gián đoạn hoạt động trong nhiều ngày, gây thiệt hại hàng triệu đô la cho các tổ chức lớn.

7.3. Thiếu Nhận Thức Về Cập Nhật

Nhiều tổ chức không ưu tiên cập nhật phần mềm, tạo điều kiện cho tin tặc khai thác các lỗ hổng đã biết.

8. Kết Luận

Lỗ hổng CVE-2025-34028 trong Commvault Command Center là một lời cảnh báo nghiêm trọng về sự tinh vi của các cuộc tấn công mạng năm 2025. Với khả năng cho phép tin tặc chiếm quyền kiểm soát từ xa, các tổ chức cần hành động ngay bằng cách cập nhật lên phiên bản 11.38.25, hạn chế truy cập Internet, và áp dụng các giải pháp bảo mật toàn diện. Là chuyên gia bảo mật, tôi khuyến nghị doanh nghiệp ưu tiên bảo vệ dữ liệu sao lưu và hợp tác với các nhà cung cấp để theo dõi mối đe dọa. Hãy bảo vệ hệ thống của bạn trước khi quá muộn!

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *