Phát hiện lỗ hổng nghiêm trọng trong Webmin cho phép chiếm quyền điều khiển từ xa

16:11 | 08/05/2025

Một lỗ hổng bảo mật nguy hiểm vừa được phát hiện trong Webmin – công cụ quản trị hệ thống từ xa phổ biến trên các máy chủ Linux/Unix cho phép kẻ tấn công có thể leo thang đặc quyền và thực thi mã từ xa nếu khai thác thành công. Lỗ hổng này được đánh giá có mức độ nghiêm trọng cao với điểm CVSS 8.8 và đã được gán mã định danh là CVE-2025-2774.

Lỗ hổng xuất phát từ việc xử lý không đúng các chuỗi ký tự điều khiển CRLF (Carriage Return Line Feed) trong các yêu cầu CGI của Webmin. Khi một người dùng đã xác thực gửi yêu cầu đặc biệt, họ có thể chèn mã độc để thao túng phản hồi của máy chủ Webmin, từ đó thực thi các lệnh tùy ý với đặc quyền root.

Điều đáng lo ngại là việc khai thác lỗ hổng không yêu cầu bất kỳ đặc quyền đặc biệt nào ngoài quyền đăng nhập bình thường vào Webmin, điều mà nhiều quản trị viên thường cho phép trong mạng nội bộ. Webmin, với hơn 1 triệu lượt cài đặt hàng năm, là mục tiêu có giá trị cao đối với những kẻ tấn công muốn xâm nhập vào mạng doanh nghiệp, thông qua việc khai tác lỗ hổng này có thể dẫn đến các mối nguy hiểm tiềm tàng sau:

- Toàn quyền kiểm soát hệ thống máy chủ.

- Cài đặt phần mềm độc hại hoặc cửa hậu (backdoor).

- Đánh cắp dữ liệu nhạy cảm.

- Làm gián đoạn hoặc tê liệt hệ thống, ảnh hưởng đến các dịch vụ đang vận hành.

Các chuyên gia cảnh báo rằng lỗ hổng này có thể trở thành mục tiêu tấn công quy mô lớn trong thời gian tới khi thông tin khai thác được phổ biến rộng rãi. Các chuyên gia cũng cho biết răng, lỗ hổng này sẽ ảnh hưởng đến tất cả các bản cài đặt Webmin trước phiên bản 2.302 được phát hành vào ngày 10/3/2025. Người dùng được khuyến cáo cập nhật ngay để đảm bảo an toàn cho hệ thống.

Webmin trước đây đã từng gặp phải các vấn đề bảo mật nghiêm trọng, bao gồm lỗ hổng nâng cấp đặc quyền vào năm 2024 (CVE-2024-12828) và sự cố backdoor vào năm 2021. Các nhà nghiên cứu bảo mật nhấn mạnh rằng các lỗ hổng CRLF injection thường xuất phát từ việc xác thực đầu vào không đầy đủ, điều này cho thấy sự cần thiết của việc kiểm tra mã nghiêm ngặt trong các công cụ hạ tầng quan trọng.

Tính đến ngày 05/5/2025, chưa có báo cáo về việc khai thác lỗ hổng này trên diện rộng, nhưng thời gian công bố công khai (từ ngày 28/2/2025 - 01/5/2025) cho thấy kẻ tấn công có thể sớm tận dụng điểm yếu này.

Lỗ hổng CVE-2025-2774 trong Webmin là một mối đe dọa nghiêm trọng đối với an toàn hệ thống. Việc khai thác lỗ hổng này có thể dẫn đến hậu quả nghiêm trọng. Do đó, các quản trị viên hệ thống cần hành động kịp thời để cập nhật phần mềm và áp dụng các biện pháp bảo mật cần thiết nhằm bảo vệ hệ thống khỏi các cuộc tấn công tiềm ẩn. Nếu cần hỗ trợ thêm về việc kiểm tra hệ thống hoặc triển khai các biện pháp bảo mật, hãy liên hệ với bộ phận an ninh mạng của các tổ chức hoặc chuyên gia bảo mật để được tư vấn chi tiết.