Khẩn cấp: Lỗ hổng CVE Zoom Rooms – Nguy cơ chiếm quyền

Nền tảng truyền thông hợp tác Zoom gần đây đã công bố hai lỗ hổng CVE bảo mật nghiêm trọng ảnh hưởng đến phần mềm Zoom Rooms dành cho cả môi trường Windows và macOS. Các lỗ hổng này, khi bị khai thác, có thể cho phép kẻ tấn công với quyền truy cập cục bộ thực hiện leo thang đặc quyền trái phép hoặc tiết lộ các thông tin nhạy cảm. Đây là một cảnh báo quan trọng đối với các tổ chức dựa vào Zoom Rooms cho các thiết lập hội nghị và cộng tác.

Phân tích Các Lỗ hổng CVE Nguy hiểm trong Zoom Rooms

Hai lỗ hổng được xác định và theo dõi dưới các mã định danh nội bộ của Zoom là ZSB-25050 và ZSB-25051. Chúng ảnh hưởng đến tất cả các phiên bản Zoom Rooms trước 6.6.0. Mức độ nghiêm trọng của các lỗ hổng này được đánh giá từ cao đến trung bình dựa trên hệ thống điểm CVSS, phản ánh rủi ro đáng kể trong các môi trường được chia sẻ như phòng họp, phòng hội nghị và không gian làm việc cộng tác.

ZSB-25050: Lỗ hổng Leo thang Đặc quyền trên Zoom Rooms for Windows

Lỗ hổng ZSB-25050 ảnh hưởng đến các phiên bản Zoom Rooms for Windows trước 6.6.0. Điểm yếu này bắt nguồn từ sự cố trong cơ chế bảo vệ phần mềm (a protection mechanism failure). Cụ thể, nó cho phép một người dùng cục bộ không được xác thực có khả năng leo thang đặc quyền trên hệ thống bị ảnh hưởng.

Trong môi trường kỹ thuật, một "protection mechanism failure" có thể liên quan đến việc bỏ qua các kiểm tra tính toàn vẹn của tệp, thực thi mã không an toàn hoặc quản lý phiên bản phần mềm bị lỗi. Điều này cho phép kẻ tấn công, chỉ với quyền truy cập cục bộ cơ bản, thực thi mã tùy ý với quyền hạn cao hơn, thậm chí đạt được quyền điều khiển cấp hệ thống (system-level control).

Hậu quả của việc chiếm quyền điều khiển này rất nghiêm trọng. Kẻ tấn công có thể cài đặt phần mềm độc hại, thay đổi cấu hình hệ thống, truy cập hoặc sửa đổi dữ liệu nhạy cảm, hoặc thiết lập các cửa hậu (backdoors) để duy trì quyền truy cập lâu dài. Đây là một lỗ hổng CVE có mức độ nghiêm trọng cao, tiềm ẩn rủi ro lớn cho tính toàn vẹn và bảo mật của hệ thống.

Chi tiết kỹ thuật về ZSB-25050 có thể được tìm thấy trong bản tin bảo mật của Zoom: Security Bulletin ZSB-25050.

ZSB-25051: Lỗ hổng Tiết lộ Thông tin trên Zoom Rooms for macOS

Lỗ hổng thứ hai, ZSB-25051, tác động đến các phiên bản Zoom Rooms for macOS trước 6.6.0. Vấn đề này xuất phát từ việc kiểm soát không đúng đắn tên tệp hoặc đường dẫn bên ngoài (improper external control of file names or paths). Một người dùng đã được xác thực có thể khai thác điểm yếu này để tiết lộ thông tin nhạy cảm.

"Improper external control of file names or paths" xảy ra khi một ứng dụng xử lý dữ liệu đầu vào do người dùng cung cấp cho các hoạt động liên quan đến tệp mà không có sự xác thực hoặc vệ sinh đầy đủ. Kẻ tấn công có thể tạo ra một đường dẫn tệp độc hại, ví dụ sử dụng kỹ thuật "path traversal" (../) hoặc liên kết tượng trưng (symlink), để truy cập và đọc các tệp tin bên ngoài thư mục dự định.

Mặc dù lỗ hổng này yêu cầu người dùng phải được xác thực và có sự tương tác nhất định, nó vẫn có thể dẫn đến việc rò rỉ các dữ liệu mật. Các loại thông tin có thể bị lộ bao gồm nhật ký hệ thống, tập tin cấu hình chứa thông tin đăng nhập, hoặc tài liệu nhạy cảm khác, ảnh hưởng đến quyền riêng tư và an toàn thông tin của tổ chức.

Mức độ rủi ro của ZSB-25051 được phân loại là trung bình, nhưng không nên bị đánh giá thấp trong các môi trường doanh nghiệp nơi việc bảo mật dữ liệu là tối quan trọng.

Thông tin bổ sung về ZSB-25051 được cung cấp trong bản tin bảo mật của Zoom: Security Bulletin ZSB-25051.

Phân tích Vector Tấn công và Rủi ro An ninh Mạng

Cả hai lỗ hổng CVE này đều yêu cầu quyền truy cập cục bộ để có thể khai thác thành công. Điều này có nghĩa là kẻ tấn công cần phải có quyền truy cập vật lý trực tiếp vào thiết bị Zoom Rooms hoặc đã thiết lập một chỗ đứng (foothold) trong mạng nội bộ để tiếp cận thiết bị từ xa.

Tuy nhiên, yêu cầu truy cập cục bộ không làm giảm nhẹ mức độ nghiêm trọng của các mối đe dọa này. Trong môi trường doanh nghiệp, các thiết bị Zoom Rooms thường được đặt ở những vị trí dễ tiếp cận như phòng họp, sảnh chờ, hoặc các không gian làm việc chung. Điều này tạo điều kiện thuận lợi cho nhiều kịch bản tấn công, bao gồm:

• Threat Nội bộ (Insider Threats): Một nhân viên có quyền truy cập vật lý vào thiết bị Zoom Rooms có thể lợi dụng lỗ hổng để leo thang đặc quyền hoặc truy cập dữ liệu nhạy cảm.
• Điểm cuối bị xâm nhập: Nếu một thiết bị khác trong mạng nội bộ đã bị xâm nhập, kẻ tấn công có thể sử dụng nó làm bàn đạp để tiếp cận và khai thác lỗ hổng trên Zoom Rooms.
• Môi trường chia sẻ: Trong các không gian hội họp công cộng hoặc bán công cộng, khả năng tiếp cận vật lý của bên thứ ba có thể là một nguy cơ đáng kể.

Khả năng chiếm quyền điều khiển hệ thống trên Windows và rò rỉ thông tin nhạy cảm trên macOS đặt ra những mối đe dọa nghiêm trọng đối với an ninh mạng tổng thể của mọi tổ chức. Những lỗ hổng này có thể là cửa ngõ cho các cuộc tấn công phức tạp hơn, dẫn đến xâm nhập mạng sâu rộng hoặc vi phạm dữ liệu quy mô lớn.

Biện pháp Khắc phục Khẩn cấp và Khuyến nghị Bảo mật Toàn diện

Zoom đã phản ứng nhanh chóng bằng cách phát hành các bản cập nhật phần mềm để giải quyết triệt để hai lỗ hổng CVE này. Khuyến nghị bảo mật cấp bách nhất là tất cả các tổ chức đang sử dụng Zoom Rooms phải tiến hành cập nhật bản vá cho tất cả các triển khai lên phiên bản 6.6.0 hoặc mới hơn ngay lập tức.

Quy trình cập nhật nên được thực hiện thông qua trang tải xuống chính thức của Zoom (zoom.us/download) để đảm bảo tính xác thực và toàn vẹn của phần mềm. Việc trì hoãn cập nhật sẽ duy trì rủi ro tiềm tàng và có thể khiến hệ thống trở thành mục tiêu dễ dàng hơn cho các cuộc tấn công.

Ngoài việc áp dụng bản vá bảo mật, các tổ chức nên tích hợp các biện pháp bảo mật bổ sung để củng cố khả năng phòng thủ và giảm thiểu bề mặt tấn công:

• Kiểm tra Bảo mật Định kỳ: Thường xuyên kiểm tra và đánh giá các thiết bị Zoom Rooms để đảm bảo rằng chúng đang chạy phiên bản phần mềm mới nhất và tuân thủ các chính sách bảo mật nội bộ.
• Thực thi Nguyên tắc Đặc quyền Tối thiểu (Least Privilege Access): Đảm bảo rằng tất cả các tài khoản người dùng và dịch vụ được sử dụng bởi Zoom Rooms chỉ được cấp các quyền hạn tối thiểu cần thiết để thực hiện chức năng của chúng. Điều này hạn chế phạm vi thiệt hại nếu một tài khoản bị xâm nhập.
• Phân đoạn Mạng và Tường lửa: Cách ly các thiết bị Zoom Rooms trong các phân đoạn mạng riêng biệt với các chính sách tường lửa nghiêm ngặt. Điều này giúp ngăn chặn sự lây lan của một cuộc tấn công từ thiết bị Zoom Rooms sang các phần khác của mạng.
• Giám sát và Phát hiện Đe dọa: Triển khai các giải pháp giám sát an ninh (SIEM) và phát hiện xâm nhập (IDS/IPS) để theo dõi các hoạt động bất thường trên hoặc xung quanh các thiết bị Zoom Rooms. Đặc biệt chú ý đến các nỗ lực hạ cấp phần mềm, truy cập tệp tin bất thường hoặc các dấu hiệu của leo thang đặc quyền.
• Chính sách Cập nhật Tập trung: Thiết lập một quy trình quản lý vá lỗi và cập nhật phần mềm tự động, tập trung để đảm bảo tất cả các thiết bị Zoom Rooms và các phần mềm liên quan được giữ ở phiên bản mới nhất.

Mặc dù hiện tại chưa có báo cáo về việc các lỗ hổng này đang bị khai thác tích cực, bản chất của chúng (truy cập cục bộ) rất phù hợp cho các mối đe dọa nội bộ hoặc các điểm cuối đã bị xâm nhập. Các lỗ hổng này sẽ sớm được liệt kê trong các cơ sở dữ liệu công khai như NVD (National Vulnerability Database) và được CISA theo dõi, cung cấp khả năng hiển thị rộng rãi hơn cho cộng đồng bảo mật.

Việc duy trì một tư thế bảo mật chủ động và linh hoạt là điều cần thiết để bảo vệ cơ sở hạ tầng công nghệ thông tin khỏi các mối đe dọa mạng liên tục phát triển. Các tổ chức nên coi việc cập nhật và quản lý bảo mật Zoom Rooms là một ưu tiên hàng đầu.