Lỗ hổng CVE TeamViewer: Nguy hiểm RCE nghiêm trọng cần vá khẩn cấp!

TeamViewer đã công bố và khắc phục nhiều lỗ hổng CVE nghiêm trọng trong dịch vụ Content Distribution (NomadBranch.exe) của TeamViewer DEX Client. Các lỗ hổng này ảnh hưởng đến phiên bản Windows trước 25.11 và một số nhánh cũ hơn, có thể dẫn đến thực thi mã từ xa, tấn công từ chối dịch vụ hoặc rò rỉ dữ liệu nhạy cảm.

Tổng Quan Các Lỗ Hổng Nghiêm Trọng trong TeamViewer DEX Client

Các lỗ hổng này bắt nguồn từ việc xác thực đầu vào không đúng cách (CWE-20) trong NomadBranch.exe, thành phần trước đây của 1E Client. Kẻ tấn công trên mạng cục bộ có thể khai thác các điểm yếu này.

CVE-2025-44016: Bỏ Qua Kiểm Tra Toàn Vẹn Tệp

• Điểm CVSS 3.1: 8.8 (High)
• Mô tả: Đây là lỗ hổng nghiêm trọng nhất, cho phép bỏ qua các kiểm tra toàn vẹn tệp.
• Cơ chế khai thác: Bằng cách tạo một yêu cầu với hàm băm hợp lệ cho mã độc, kẻ tấn công có thể lừa dịch vụ coi mã độc đó là đáng tin cậy.
• Ảnh hưởng: Dẫn đến remote code execution tùy ý trong ngữ cảnh của NomadBranch.

CVE-2025-12687 (Thứ nhất): Tấn Công Từ Chối Dịch Vụ (DoS)

• Điểm CVSS 3.1: 6.5 (Medium)
• Mô tả: Lỗ hổng này kích hoạt sự cố từ chối dịch vụ (DoS).
• Cơ chế khai thác: Gửi một lệnh được chế tạo đặc biệt.
• Ảnh hưởng: Ngừng hoàn toàn dịch vụ NomadBranch, gây gián đoạn hoạt động.

CVE-2025-12687 (Thứ hai): Rò Rỉ Dữ Liệu Nội Bộ

• Điểm CVSS 3.1: 4.3 (Medium)
• Mô tả: Lỗ hổng này buộc dịch vụ gửi dữ liệu đến một địa chỉ IP nội bộ tùy ý.
• Cơ chế khai thác: Kẻ tấn công có thể chỉ định một địa chỉ IP nội bộ để nhận dữ liệu từ NomadBranch.
• Ảnh hưởng: Gây rủi ro phơi nhiễm thông tin nhạy cảm.

Điều Kiện Khai Thác và Các Tình Huống Không Bị Ảnh Hưởng

Tất cả các lỗ hổng CVE này đều yêu cầu quyền truy cập mạng lân cận (AV:A). Điều này có nghĩa là chúng là các mối đe dọa khả thi trong môi trường mạng ngang hàng (peer-to-peer) hoặc mạng LAN dùng chung.

TeamViewer cho biết hiện tại không có bằng chứng nào cho thấy các lỗ hổng này đang bị khai thác trong thực tế (in-the-wild exploitation).

Các cài đặt TeamViewer DEX Client với NomadBranch bị vô hiệu hóa ở trạng thái mặc định sẽ không bị ảnh hưởng. Tương tự, tiện ích bổ sung TeamViewer Remote/Tensor “DEX Essentials” cũng không bị ảnh hưởng bởi những lỗ hổng CVE này.

Khuyến Nghị và Biện Pháp Khắc Phục Bản Vá Bảo Mật

TeamViewer đã phát hành các bản vá bảo mật cho các lỗ hổng này. Cụ thể, các bản vá đã được tích hợp trong phiên bản 25.11.0.29 và các bản vá nóng (hotfix) cho các nhánh cũ hơn. Lỗ hổng CVE-2025-46266 chỉ được khắc phục trong phiên bản 25.11 trở lên.

Tổ chức và người dùng được khuyến nghị ưu tiên cập nhật TeamViewer DEX Client lên phiên bản mới nhất để khắc phục lỗ hổng CVE đã được công bố. Việc này là cần thiết để giảm thiểu rủi ro bảo mật tiềm tàng.

Tham khảo thông tin chi tiết về các bản vá bảo mật từ TeamViewer tại đây: TeamViewer Security Bulletins

Ngoài việc cập nhật, các biện pháp bảo mật sau cũng được khuyến nghị:

• Xác minh trạng thái NomadBranch: Kiểm tra xem dịch vụ NomadBranch có đang hoạt động hay không. Nếu không cần thiết, hãy tắt nó đi.
• Phân đoạn mạng: Thực hiện phân đoạn mạng để hạn chế khả năng tấn công lân cận. Điều này giúp giảm thiểu phạm vi tác động nếu một cuộc tấn công xảy ra.
• Xác thực đầu vào mạnh mẽ: Đảm bảo các dịch vụ phân phối nội dung có cơ chế xác thực đầu vào mạnh mẽ để ngăn chặn các loại lỗ hổng tương tự trong tương lai. Đây là một bài học quan trọng từ những lỗ hổng CVE này.