Một lỗ hổng bảo mật nghiêm trọng vừa được phát hiện trong SUSE Manager - công cụ quản lý hệ thống phổ biến trong nhiều tổ chức và doanh nghiệp. Lỗ hổng này cho phép tin tặc thực thi lệnh với quyền root từ xa mà không cần xác thực, gây ra nguy cơ mất kiểm soát hoàn toàn máy chủ chỉ trong vài giây.
Được định danh là CVE-2025-46811, lỗ hổng này đã được đánh giá ở mức nguy cấp với điểm CVSS lên tới 9,3. Trong bối cảnh SUSE Manager được triển khai rộng rãi trên môi trường doanh nghiệp, từ hệ thống vật lý đến container và đám mây, lỗ hổng này có thể ảnh hưởng lớn đến hàng nghìn máy chủ trên toàn thế giới.
Lỗ hổng xuất phát từ giao diện WebSocket của SUSE Manager - một thành phần dùng để gửi lệnh từ xa tới các hệ thống con (minion). Cụ thể, endpoint /rhn/websocket/minion/remote-commands không yêu cầu bất kỳ cơ chế xác thực nào. Kẻ tấn công chỉ cần có kết nối mạng tới máy chủ chạy SUSE Manager là có thể gửi lệnh với quyền root.
Điều này tương đương với việc một cánh cửa quản trị hệ thống được mở toang không khóa, cho phép hacker truy cập sâu vào toàn bộ hệ thống.
Lỗ hổng ảnh hưởng đến nhiều phiên bản SUSE Manager, bao gồm:
Với quyền root, tin tặc có thể:
Việc một điểm truy cập nhạy cảm như vậy thiếu kiểm soát xác thực là sai sót nghiêm trọng trong thiết kế bảo mật của hệ thống.
Các chuyên gia khuyến cáo:
Được định danh là CVE-2025-46811, lỗ hổng này đã được đánh giá ở mức nguy cấp với điểm CVSS lên tới 9,3. Trong bối cảnh SUSE Manager được triển khai rộng rãi trên môi trường doanh nghiệp, từ hệ thống vật lý đến container và đám mây, lỗ hổng này có thể ảnh hưởng lớn đến hàng nghìn máy chủ trên toàn thế giới.
Lỗ hổng xuất phát từ giao diện WebSocket của SUSE Manager - một thành phần dùng để gửi lệnh từ xa tới các hệ thống con (minion). Cụ thể, endpoint /rhn/websocket/minion/remote-commands không yêu cầu bất kỳ cơ chế xác thực nào. Kẻ tấn công chỉ cần có kết nối mạng tới máy chủ chạy SUSE Manager là có thể gửi lệnh với quyền root.
Lỗ hổng ảnh hưởng đến nhiều phiên bản SUSE Manager, bao gồm:
- SUSE Manager Container phiên bản 5.0.5.7.30.1
- Các bản hệ điều hành SLES15-SP4-Manager-Server
- SUSE Manager Server Module 4.3
- Các bản triển khai trên Azure, AWS EC2, Google Cloud Engine
Với quyền root, tin tặc có thể:
- Cài mã độc hoặc cửa hậu (backdoor) để truy cập lâu dài
- Xóa, thay đổi hoặc đánh cắp dữ liệu
- Sử dụng máy chủ bị xâm nhập làm bàn đạp để tấn công lan rộng (lateral movement)
- Vô hiệu hóa hệ thống bảo mật, làm gián đoạn dịch vụ
- Vì lỗ hổng không yêu cầu đặc quyền hay tương tác người dùng, nó được xếp vào nhóm dễ khai thác nhưng cực kỳ nguy hiểm, tương tự như các lỗ hổng từng gây ra sự cố quy mô lớn như Log4Shell hay Heartbleed.
Việc một điểm truy cập nhạy cảm như vậy thiếu kiểm soát xác thực là sai sót nghiêm trọng trong thiết kế bảo mật của hệ thống.
Các chuyên gia khuyến cáo:
- Kiểm tra toàn bộ hệ thống có cài SUSE Manager (cả bản vật lý, container và cloud).
- Cập nhật ngay bản vá mới nhất do SUSE vừa phát hành để khắc phục CVE-2025-46811.
- Tạm thời chặn hoặc hạn chế truy cập tới endpoint /rhn/websocket/minion/remote-commands bằng tường lửa hoặc phân đoạn mạng.
- Giám sát hệ thống và nhật ký để phát hiện hoạt động bất thường liên quan đến thực thi lệnh root từ xa
- Rà soát toàn bộ các endpoint và API nhạy cảm, đảm bảo được xác thực đầy đủ.
- Thiết lập Zero Trust Architecture: Không tin cậy bất kỳ truy cập nào trừ khi được xác thực rõ ràng.
- Thường xuyên cập nhật phần mềm quản trị
WhiteHat
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
