Lỗ hổng CVE nghiêm trọng: Nguy cơ RCE từ Net-SNMP khẩn cấp

Một lỗ hổng CVE nghiêm trọng mới đã được công bố, ảnh hưởng đến bộ phần mềm Net-SNMP, đặt ra rủi ro đáng kể cho hạ tầng mạng toàn cầu. Lỗ hổng này được theo dõi dưới mã hiệu CVE-2025-68615, cho phép kẻ tấn công từ xa kích hoạt tràn bộ đệm (buffer overflow), dẫn đến sự cố dịch vụ hoặc tiềm ẩn nguy cơ kiểm soát hệ thống nghiêm trọng hơn.

Net-SNMP là một bộ giao thức được triển khai rộng rãi, dùng để giám sát các thiết bị mạng như bộ định tuyến, bộ chuyển mạch và máy chủ. Với sự phổ biến của phần mềm này trong môi trường doanh nghiệp, phạm vi tác động của mối đe dọa này là rất lớn. Vấn đề xuất phát từ việc xử lý các gói tin đến không đúng cách.

Phân tích Lỗ hổng CVE-2025-68615

Lỗ hổng này cư trú cụ thể trong tiến trình nền (daemon) snmptrapd, có chức năng nhận và xử lý các thông điệp bẫy (SNMP trap messages). Theo các khuyến nghị bảo mật trên GitHub, một tác nhân đe dọa có thể khai thác điểm yếu này bằng cách gửi một gói tin được chế tạo đặc biệt đến một phiên bản snmptrapd dễ bị tổn thương. Khi tiến trình này cố gắng xử lý dữ liệu bị lỗi, nó sẽ kích hoạt lỗi tràn bộ đệm.

Lỗi tràn bộ đệm (buffer overflow) xảy ra khi một chương trình cố gắng ghi dữ liệu vượt quá giới hạn của một vùng bộ nhớ đệm đã được cấp phát. Điều này có thể dẫn đến việc ghi đè lên các vùng bộ nhớ lân cận, làm thay đổi dữ liệu hoặc luồng điều khiển của chương trình. Trong trường hợp của CVE-2025-68615, việc này ban đầu được mô tả là gây ra sự cố cho tiến trình (Denial-of-Service – DoS), nhưng các số liệu nghiêm trọng cho thấy một khả năng nguy hiểm hơn.

Mức độ Nghiêm trọng và Tiềm năng Remote Code Execution (RCE)

Lỗ hổng này đã được gán điểm CVSS 9.8 (Critical). Các số liệu đánh giá mức độ ảnh hưởng “High” đối với tính bảo mật (Confidentiality), tính toàn vẹn (Integrity) và tính khả dụng (Availability) của hệ thống. Trong thuật ngữ an ninh mạng, một lỗi tràn bộ đệm với xếp hạng này thường ngụ ý rằng kẻ tấn công có thể làm được nhiều hơn là chỉ gây sập máy chủ; họ có thể thực thi mã tùy ý từ xa, hay còn gọi là Remote Code Execution (RCE).

Khả năng RCE cho phép kẻ tấn công chiếm quyền kiểm soát hoàn toàn hệ thống bị ảnh hưởng mà không cần mật khẩu hoặc tương tác từ người dùng. Điều này có nghĩa là kẻ tấn công có thể cài đặt mã độc, đánh cắp dữ liệu nhạy cảm hoặc sử dụng hệ thống làm bàn đạp cho các cuộc tấn công tiếp theo. Lỗ hổng CVE-2025-68615 này được phát hiện bởi một nhà nghiên cứu phối hợp với Sáng kiến Zero Day của Trend Micro.

Cập nhật Bản vá Bảo mật và Biện pháp Giảm thiểu

Các nhà bảo trì của Net-SNMP đã phát hành các bản vá để khắc phục lỗ hổng CVE này. Các quản trị viên được khuyến nghị nâng cấp ngay lập tức lên phiên bản 5.9.5 hoặc 5.10.pre2. Việc triển khai các bản vá này là bước quan trọng nhất để bảo vệ hệ thống khỏi các cuộc tấn công khai thác. Bỏ qua việc cập nhật bản vá có thể khiến hệ thống tiếp tục đối mặt với nguy cơ cao về xâm nhập mạng.

Để đảm bảo an toàn thông tin, các tổ chức nên có quy trình quản lý bản vá hiệu quả, bao gồm việc theo dõi các thông báo bảo mật và triển khai các bản vá càng sớm càng tốt sau khi chúng được phát hành. Việc chậm trễ trong việc áp dụng bản vá bảo mật có thể mở ra cánh cửa cho các tác nhân đe dọa khai thác các điểm yếu đã biết.

Biện pháp Giảm thiểu Ngay lập tức cho Hệ thống Chưa thể Cập nhật

Đối với các tổ chức chưa thể áp dụng các bản vá ngay lập tức, khuyến nghị chính là phân đoạn mạng (network segmentation). Theo khuyến nghị được công bố trên GitHub của Net-SNMP (GHSA-4389-rwqf-q9gq), các cổng SNMP không bao giờ được tiếp xúc với internet công cộng. GitHub Advisory nhấn mạnh tầm quan trọng của việc này.

Đảm bảo rằng tường lửa chặn quyền truy cập bên ngoài vào cổng của snmptrapd sẽ giảm thiểu hiệu quả rủi ro khai thác từ xa. Cổng mặc định cho SNMP trap là UDP 162. Quản trị viên nên cấu hình tường lửa để chỉ cho phép các máy chủ quản lý SNMP (NMS) đáng tin cậy truy cập vào cổng này trong mạng nội bộ, và không bao giờ mở nó ra internet.

Ví dụ cấu hình tường lửa cơ bản để chặn truy cập từ bên ngoài:

# Trên Linux (ví dụ: iptables)iptables -A INPUT -p udp --dport 162 -s 0.0.0.0/0 -j DROPiptables -A INPUT -p udp --dport 162 -s [IP_MAY_CHU_NMS_NOI_BO] -j ACCEPT# Hoặc nếu sử dụng UFWufw deny 162/udpufw allow from [IP_MAY_CHU_NMS_NOI_BO] to any port 162 proto udp

Các biện pháp bảo mật như vậy là tối cần thiết để bảo vệ hệ thống khỏi lỗ hổng CVE và các cuộc tấn công tiềm tàng, đặc biệt là khi chờ đợi triển khai bản vá bảo mật chính thức. Việc không thực hiện các biện pháp này có thể dẫn đến nguy cơ chiếm quyền điều khiển hệ thống.