Duy Linh
Writer
Bản tin tư vấn bảo mật số 064 cảnh báo về một chuỗi lỗ hổng nghiêm trọng trong UniFi OS Server có thể bị khai thác để thực thi mã từ xa (RCE) mà không cần xác thực, từ đó giúp tin tặc giành toàn quyền kiểm soát hệ thống.
Chuỗi tấn công này được hình thành từ nhiều điểm yếu kết hợp với nhau, gồm cơ chế vượt qua lớp xác thực, lỗi xử lý đường dẫn không nhất quán và lỗ hổng chèn lệnh trong dịch vụ cập nhật gói phần mềm.
Khi các lỗ hổng được kết hợp, kẻ tấn công chỉ cần gửi một yêu cầu HTTP được thiết kế đặc biệt tới giao diện quản trị để tạo ra một shell đảo ngược chạy với quyền root mà không cần bất kỳ thông tin đăng nhập nào.
Ở các phiên bản bị ảnh hưởng, sự khác biệt trong cách xử lý URI tạo ra một lỗ hổng bảo mật. Một đường dẫn ở dạng mã hóa phần trăm có thể được xem là công khai, không yêu cầu xác thực, nhưng sau khi chuẩn hóa lại bị chuyển tới một điểm cuối nội bộ vốn chỉ dành cho người dùng đã đăng nhập.
Hai lỗ hổng CVE-2026-34908 và CVE-2026-34909 cho phép truy cập trái phép vào các dịch vụ phụ trợ lẽ ra phải được bảo vệ bằng cơ chế xác thực.
Một trong những thành phần bị ảnh hưởng là điểm cuối package-update. Thành phần này tiếp nhận tên gói phần mềm và trong một số trường hợp sẽ gọi chương trình hỗ trợ cục bộ bằng chuỗi lệnh được tạo từ dữ liệu đầu vào do người dùng cung cấp.
Phương pháp bỏ qua cổng xác thực (Nguồn: Ubiquiti).
Theo Ubiquiti, các phiên bản dễ bị tấn công không kiểm tra hoặc làm sạch đầy đủ tên gói trước khi truyền cho shell xử lý. Điều này dẫn tới lỗ hổng chèn lệnh điển hình, liên quan đến CVE-2026-34910 và CVE-2026-33000 đã được xác thực.
Sau khi vượt qua lớp xác thực, kẻ tấn công có thể truy cập trực tiếp điểm cuối này mà không cần mã thông báo đăng nhập.
Mặc dù lệnh độc hại ban đầu chỉ được thực thi dưới quyền tài khoản dịch vụ, tài khoản này lại được cấp quyền sudo quá rộng mà không yêu cầu mật khẩu đối với các tiện ích như dpkg và systemctl.
Kẻ tấn công có thể lợi dụng sudo dpkg để cài đặt một gói độc hại, trong đó các tập lệnh bảo trì được thực thi với quyền root. Ngoài ra, các đường dẫn sudo được cho phép khác cũng có thể bị lợi dụng để leo thang đặc quyền trực tiếp.
Bishop Fox đã tái hiện thành công toàn bộ chuỗi tấn công trên UniFi OS Server 5.0.6, giành được shell đảo ngược và xác nhận rằng phiên bản 5.0.8 đã ngăn chặn được phương thức khai thác này.
Nếu giành được quyền root trên máy chủ điều khiển, kẻ tấn công có thể truy cập nhiều dữ liệu nhạy cảm như khóa ký JWT, khóa riêng TLS, mã thông báo đám mây, cơ sở dữ liệu người dùng, thông tin xác thực RADIUS, thông tin Wi-Fi và cả dữ liệu sinh trắc học. Với khóa ký JWT, chúng có thể tạo ra các phiên quản trị viên tồn tại trong thời gian dài và tiếp tục hoạt động ngay cả khi hệ thống đã được vá lỗi.
Sau khi có quyền quản trị, tin tặc có thể thay đổi cấu hình thiết bị mạng, chỉnh sửa quy tắc tường lửa, đăng ký hoặc sao chép thông tin xác thực của hệ thống kiểm soát cửa ra vào, truy cập hoặc xóa dữ liệu camera giám sát, chuyển hướng người dùng tới các trang liên kết đám mây hoặc phá hủy cấu hình và các bản sao lưu hiện có.
Để giảm thiểu rủi ro, người dùng được khuyến nghị nâng cấp UniFi OS Server lên phiên bản 5.0.8 hoặc các bản vá tương ứng với thiết bị đang sử dụng. Trong trường hợp chưa thể cập nhật ngay, cần chặn truy cập từ Internet tới giao diện quản trị UniFi, thường sử dụng cổng TCP 11443, và chỉ cho phép kết nối từ mạng quản trị nội bộ.
Các hệ thống từng có thể truy cập từ bên ngoài trước thời điểm vá lỗi cần được xem là có nguy cơ đã bị xâm phạm. Do đó, quản trị viên nên thay đổi toàn bộ khóa bí mật, đặc biệt là khóa ký JWT, buộc đăng xuất tất cả các phiên đang hoạt động và cân nhắc xây dựng lại hệ thống thay vì chỉ áp dụng bản vá.
Bishop Fox cùng các cộng sự cũng đã công bố một công cụ phát hiện an toàn có khả năng kiểm tra lỗ hổng mà không thực thi lệnh. Công cụ này nên được sử dụng để đánh giá mức độ phơi nhiễm của các máy chủ UniFi OS có thể truy cập từ bên ngoài.
Trong phiên bản 5.0.8, Ubiquiti đã khắc phục lỗi chuẩn hóa URI trong Nginx, bổ sung cơ chế kiểm tra nghiêm ngặt đối với tên gói phần mềm, loại bỏ việc thực thi shell khỏi quy trình cập nhật và thu hẹp phạm vi quyền sudo của dịch vụ cập nhật.
Tuy nhiên, dù chuỗi khai thác đã được vô hiệu hóa, các hậu quả có thể đã phát sinh trước thời điểm vá lỗi vẫn cần được xử lý. Vì vậy, việc cài đặt bản vá phải đi kèm với quy trình ứng phó sự cố đầy đủ và thay thế các thông tin bí mật nếu có dấu hiệu hệ thống từng bị xâm nhập.
Chuỗi tấn công này được hình thành từ nhiều điểm yếu kết hợp với nhau, gồm cơ chế vượt qua lớp xác thực, lỗi xử lý đường dẫn không nhất quán và lỗ hổng chèn lệnh trong dịch vụ cập nhật gói phần mềm.
Khi các lỗ hổng được kết hợp, kẻ tấn công chỉ cần gửi một yêu cầu HTTP được thiết kế đặc biệt tới giao diện quản trị để tạo ra một shell đảo ngược chạy với quyền root mà không cần bất kỳ thông tin đăng nhập nào.
Cơ chế khai thác chuỗi lỗ hổng
UniFi OS Server vận hành nhiều dịch vụ quản lý phía sau máy chủ Nginx, nơi chịu trách nhiệm xử lý TLS và chuyển tiếp yêu cầu tới các dịch vụ nội bộ. Trong quá trình này, proxy sử dụng URI chuẩn hóa của Nginx ($uri) để xác định máy chủ đích, trong khi URI gốc (x-original-uri) lại được dùng để đánh giá liệu yêu cầu có thuộc nhóm truy cập công khai hay không.Ở các phiên bản bị ảnh hưởng, sự khác biệt trong cách xử lý URI tạo ra một lỗ hổng bảo mật. Một đường dẫn ở dạng mã hóa phần trăm có thể được xem là công khai, không yêu cầu xác thực, nhưng sau khi chuẩn hóa lại bị chuyển tới một điểm cuối nội bộ vốn chỉ dành cho người dùng đã đăng nhập.
Hai lỗ hổng CVE-2026-34908 và CVE-2026-34909 cho phép truy cập trái phép vào các dịch vụ phụ trợ lẽ ra phải được bảo vệ bằng cơ chế xác thực.
Một trong những thành phần bị ảnh hưởng là điểm cuối package-update. Thành phần này tiếp nhận tên gói phần mềm và trong một số trường hợp sẽ gọi chương trình hỗ trợ cục bộ bằng chuỗi lệnh được tạo từ dữ liệu đầu vào do người dùng cung cấp.
Phương pháp bỏ qua cổng xác thực (Nguồn: Ubiquiti).
Theo Ubiquiti, các phiên bản dễ bị tấn công không kiểm tra hoặc làm sạch đầy đủ tên gói trước khi truyền cho shell xử lý. Điều này dẫn tới lỗ hổng chèn lệnh điển hình, liên quan đến CVE-2026-34910 và CVE-2026-33000 đã được xác thực.
Sau khi vượt qua lớp xác thực, kẻ tấn công có thể truy cập trực tiếp điểm cuối này mà không cần mã thông báo đăng nhập.
Mặc dù lệnh độc hại ban đầu chỉ được thực thi dưới quyền tài khoản dịch vụ, tài khoản này lại được cấp quyền sudo quá rộng mà không yêu cầu mật khẩu đối với các tiện ích như dpkg và systemctl.
Kẻ tấn công có thể lợi dụng sudo dpkg để cài đặt một gói độc hại, trong đó các tập lệnh bảo trì được thực thi với quyền root. Ngoài ra, các đường dẫn sudo được cho phép khác cũng có thể bị lợi dụng để leo thang đặc quyền trực tiếp.
Bishop Fox đã tái hiện thành công toàn bộ chuỗi tấn công trên UniFi OS Server 5.0.6, giành được shell đảo ngược và xác nhận rằng phiên bản 5.0.8 đã ngăn chặn được phương thức khai thác này.
Tác động và các biện pháp cần triển khai
Mức độ rủi ro của lỗ hổng đặc biệt đáng lo ngại vì UniFi OS Server thường đóng vai trò trung tâm quản lý hạ tầng mạng và trong nhiều trường hợp còn được sử dụng để quản lý các hệ thống an ninh vật lý.Nếu giành được quyền root trên máy chủ điều khiển, kẻ tấn công có thể truy cập nhiều dữ liệu nhạy cảm như khóa ký JWT, khóa riêng TLS, mã thông báo đám mây, cơ sở dữ liệu người dùng, thông tin xác thực RADIUS, thông tin Wi-Fi và cả dữ liệu sinh trắc học. Với khóa ký JWT, chúng có thể tạo ra các phiên quản trị viên tồn tại trong thời gian dài và tiếp tục hoạt động ngay cả khi hệ thống đã được vá lỗi.
Sau khi có quyền quản trị, tin tặc có thể thay đổi cấu hình thiết bị mạng, chỉnh sửa quy tắc tường lửa, đăng ký hoặc sao chép thông tin xác thực của hệ thống kiểm soát cửa ra vào, truy cập hoặc xóa dữ liệu camera giám sát, chuyển hướng người dùng tới các trang liên kết đám mây hoặc phá hủy cấu hình và các bản sao lưu hiện có.
Để giảm thiểu rủi ro, người dùng được khuyến nghị nâng cấp UniFi OS Server lên phiên bản 5.0.8 hoặc các bản vá tương ứng với thiết bị đang sử dụng. Trong trường hợp chưa thể cập nhật ngay, cần chặn truy cập từ Internet tới giao diện quản trị UniFi, thường sử dụng cổng TCP 11443, và chỉ cho phép kết nối từ mạng quản trị nội bộ.
Các hệ thống từng có thể truy cập từ bên ngoài trước thời điểm vá lỗi cần được xem là có nguy cơ đã bị xâm phạm. Do đó, quản trị viên nên thay đổi toàn bộ khóa bí mật, đặc biệt là khóa ký JWT, buộc đăng xuất tất cả các phiên đang hoạt động và cân nhắc xây dựng lại hệ thống thay vì chỉ áp dụng bản vá.
Bishop Fox cùng các cộng sự cũng đã công bố một công cụ phát hiện an toàn có khả năng kiểm tra lỗ hổng mà không thực thi lệnh. Công cụ này nên được sử dụng để đánh giá mức độ phơi nhiễm của các máy chủ UniFi OS có thể truy cập từ bên ngoài.
Trong phiên bản 5.0.8, Ubiquiti đã khắc phục lỗi chuẩn hóa URI trong Nginx, bổ sung cơ chế kiểm tra nghiêm ngặt đối với tên gói phần mềm, loại bỏ việc thực thi shell khỏi quy trình cập nhật và thu hẹp phạm vi quyền sudo của dịch vụ cập nhật.
Tuy nhiên, dù chuỗi khai thác đã được vô hiệu hóa, các hậu quả có thể đã phát sinh trước thời điểm vá lỗi vẫn cần được xử lý. Vì vậy, việc cài đặt bản vá phải đi kèm với quy trình ứng phó sự cố đầy đủ và thay thế các thông tin bí mật nếu có dấu hiệu hệ thống từng bị xâm nhập.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
