Metasploit Cập Nhật: 3 Lỗ Hổng CVE Nghiêm Trọng Đe Dọa An Ninh Mạng

Bản cập nhật Metasploit Framework mới nhất, phát hành vào ngày 27 tháng 2 năm 2026, mang đến những khả năng đáng kể cho các chuyên gia bảo mật và kiểm thử thâm nhập. Đây là một cập nhật an ninh mạng quan trọng, bổ sung nhiều công cụ mạnh mẽ để đánh giá và khai thác các lỗ hổng trong hệ thống doanh nghiệp và hạ tầng trí tuệ nhân tạo.

Tổng Quan Về Bản Cập Nhật Metasploit Framework

Bản phát hành này giới thiệu bảy module mới, chín cải tiến tính năng và các bản sửa lỗi quan trọng, nâng cao đáng kể hiệu quả hoạt động của Metasploit. Các bổ sung nổi bật bao gồm các module khai thác thực thi mã từ xa (remote code execution – RCE) không cần xác thực cho các nền tảng phổ biến như Ollama, BeyondTrust và các thiết bị Grandstream VoIP.

Bên cạnh đó, Metasploit cũng tích hợp các kỹ thuật né tránh nâng cao đặc biệt dành cho môi trường Linux, giúp các chuyên gia bảo mật có thể mô phỏng các cuộc tấn công phức tạp hơn. Bản cập nhật này tập trung vào việc cung cấp các chuỗi khai thác mạnh mẽ nhắm vào các lỗ hổng CVE có mức độ nghiêm trọng cao trên nhiều hạ tầng kỹ thuật số.

Việc tích hợp các module mới này không chỉ giúp phát hiện mà còn cho phép khai thác chi tiết các điểm yếu, từ đó củng cố khả năng phòng thủ tổng thể. Đây là một bước tiến quan trọng trong việc tăng cường năng lực kiểm thử bảo mật.

Phân Tích Chuyên Sâu Các Lỗ Hổng Khai Thác Nghiêm Trọng

CVE-2024-37032: Lỗ Hổng Path Traversal trong Ollama Model Registry

Với điểm CVSS là 8.8, lỗ hổng CVE-2024-37032 này cho phép kẻ tấn công khai thác cơ chế “pull” mô hình của Ollama bằng cách sử dụng các chuỗi path traversal. Kẻ tấn công có thể tải lên một registry OCI độc hại để ghi các tệp đối tượng chia sẻ (shared object files) vào các vị trí nhạy cảm trên hệ thống mục tiêu.

Thông qua việc buộc Ollama khởi tạo một tiến trình mới, thư viện độc hại đã được ghi sẽ được tải vào bộ nhớ. Điều này dẫn đến khả năng thực thi mã từ xa (RCE) ở cấp độ root mà không yêu cầu bất kỳ xác thực nào. Đây là một lỗ hổng CVE đặc biệt nguy hiểm do khả năng chiếm quyền kiểm soát hệ thống một cách toàn diện.

Hiểu rõ cách thức khai thác lỗ hổng CVE này giúp các quản trị viên hệ thống có biện pháp bảo vệ phù hợp. Để biết thêm thông tin chi tiết về lỗ hổng CVE-2024-37032, bạn có thể tham khảo tại Strobes.co, một nguồn đáng tin cậy về thông tin lỗ hổng.

CVE-2026-1731: Lỗ Hổng Command Injection trong BeyondTrust PRA và RS

Đây là một lỗ hổng CVE nghiêm trọng khác với điểm CVSS lên tới 9.9, ảnh hưởng đến các sản phẩm BeyondTrust Privileged Remote Access (PRA) và Remote Support (RS). Lỗ hổng này cho phép thực thi lệnh từ xa (command injection) không cần xác thực trên các thiết bị bị ảnh hưởng.

Khả năng khai thác mà không cần bất kỳ thông tin đăng nhập nào khiến lỗ hổng CVE-2026-1731 trở thành mối đe dọa cực kỳ nghiêm trọng đối với các tổ chức. Kẻ tấn công có thể chiếm quyền điều khiển hệ thống, thực thi các lệnh tùy ý, và truy cập vào các tài nguyên hoặc dữ liệu nhạy cảm được quản lý bởi BeyondTrust.

Bản cập nhật Metasploit cũng giới thiệu một thư viện trợ giúp BeyondTrust mới, được thiết kế để hợp lý hóa quá trình phát triển các module tương lai nhắm vào các sản phẩm của BeyondTrust. Các tổ chức sử dụng BeyondTrust PRA và RS cần khẩn cấp kiểm tra và áp dụng các bản vá bảo mật liên quan để giảm thiểu rủi ro từ lỗ hổng CVE này.

Thông tin về việc BeyondTrust đã phát hành các bản vá cho lỗ hổng CVE-2026-1731 có thể tìm thấy tại ACA Global.

CVE-2026-2329: Lỗ Hổng Stack Overflow trong Grandstream GXP1600

Nhắm mục tiêu vào các thiết bị VoIP phổ biến, lỗ hổng CVE-2026-2329 là một flaw nghiêm trọng với điểm CVSS là 9.3. Lỗ hổng này cho phép kẻ tấn công giành được phiên root trên thiết bị Grandstream GXP1600, từ đó kiểm soát hoàn toàn chức năng của thiết bị.

Bản phát hành của Rapid7 này bao gồm một module khai thác và hai module hậu khai thác được thiết kế để tận dụng quyền truy cập root này. Các module này có khả năng đánh cắp thông tin đăng nhập và thiết lập proxy lưu lượng SIP để bắt gói tin, gây ra nguy cơ lộ lọt dữ liệu liên lạc nhạy cảm.

Chi tiết về bản cập nhật Metasploit, bao gồm các module liên quan đến lỗ hổng CVE này, có thể được xem tại blog chính thức của Rapid7, đơn vị duy trì Metasploit Framework. Đây là một nguồn thông tin đáng tin cậy và không thể thiếu cho mọi cập nhật an ninh mạng liên quan đến Metasploit.

Kỹ Thuật Né Tránh và Duy Trì Quyền Truy Cập Nâng Cao

Module Né Tránh Mới Cho Kiến Trúc ARM64 (Linux RC4 Packer)

Một điểm nhấn quan trọng của bản cập nhật là sự ra đời của module né tránh Linux đầu tiên dành cho kiến trúc ARM64. Module này, được gọi là Linux RC4 Packer, sử dụng mã hóa RC4 để che giấu và bảo vệ tải trọng độc hại khỏi bị phát hiện. Khả năng né tránh các cơ chế bảo mật truyền thống trở nên hiệu quả hơn.

Module này có khả năng thực thi các tệp nhị phân ELF trực tiếp trong bộ nhớ, một kỹ thuật giúp giảm thiểu dấu vết trên đĩa và khó bị phát hiện bởi các giải pháp an ninh. Ngoài ra, kỹ thuật né tránh ngủ (sleep evasion) cũng được áp dụng để qua mặt các công cụ bảo mật dựa trên phân tích thời gian.

Module Duy Trì Quyền Truy Cập (Persistence Modules)

Các module duy trì quyền truy cập mới cũng được bổ sung cho cả môi trường Windows và Windows Subsystem for Linux (WSL), giúp kẻ tấn công duy trì sự hiện diện trên hệ thống mục tiêu.

• Module WSL được thiết kế để ghi các tải trọng độc hại vào thư mục khởi động của người dùng. Điều này đảm bảo rằng payload sẽ được thực thi mỗi khi người dùng đăng nhập vào hệ thống WSL, thiết lập một điểm khởi đầu bền vững.
• Module Windows Registry Active Setup khởi chạy các tải trọng bằng cách sử dụng các tính năng gốc của hệ điều hành Windows. Tuy nhiên, một đặc điểm cần lưu ý là module này sẽ tự động hạ cấp quyền xuống mức người dùng và chỉ thực thi một lần cho mỗi hồ sơ người dùng, điều này yêu cầu phân tích kỹ lưỡng trong quá trình ứng phó sự cố.

Cải Thiện Chất Lượng và Sửa Lỗi Các Module Hiện Có

Các module khai thác kinh điển như Unreal IRCd và vsftpd đã nhận được những cải tiến đáng kể về chất lượng và độ tin cậy. Chúng hiện có phương pháp kiểm tra tốt hơn, hỗ trợ tải trọng Meterpreter gốc và cung cấp đầu ra khắc phục sự cố chi tiết hơn, giúp các nhà nghiên cứu dễ dàng hơn trong việc đánh giá.

Module khai thác SolarWinds đã được cải tiến để tự động chọn giá trị SRVHOST chính xác, tăng cường khả năng tự động hóa và độ chính xác của cuộc tấn công mô phỏng. Đồng thời, một phương pháp kiểm tra đã được thêm vào trình quét MS17-010 để cải thiện siêu dữ liệu tự động hóa và giảm thiểu lỗi.

Ngoài ra, tệp thực thi của Metasploit đã được tách ra để cung cấp một cách tiếp cận chi tiết hơn trong việc xử lý các nền tảng và kiến trúc khác nhau, từ đó tối ưu hóa hiệu suất. Cuối cùng, các bản sửa lỗi quan trọng đã được áp dụng cho trình quét LDAP ESC và GraphQL Introspection, giúp loại bỏ các sự cố gây treo và giảm đáng kể lỗi dương tính giả.

Những cải thiện này không chỉ tăng độ tin cậy và hiệu quả của các module mà còn giúp các nhà nghiên cứu bảo mật làm việc hiệu quả hơn trong việc phát hiện, phân tích và xử lý các lỗ hổng CVE, góp phần vào một an ninh mạng mạnh mẽ hơn.