Nghiêm trọng: Lỗ hổng CVE M-Files Server gây rò rỉ dữ liệu
Một **lỗ hổng CVE** nghiêm trọng đã được phát hiện trong các phiên bản **M-Files Server**, cho phép kẻ tấn công đã xác thực chiếm đoạt và tái sử dụng các token phiên (session tokens) từ người dùng đang hoạt động. Sự cố **rò rỉ dữ liệu** này có khả năng dẫn đến việc truy cập trái phép vào các hệ thống quản lý tài liệu nhạy cảm.
Chi tiết Lỗ hổng CVE-2025-13008
Lỗ hổng này được định danh là CVE-2025-13008 và ảnh hưởng đến nhiều phiên bản của **M-Files Server** trên các nhánh phát hành khác nhau. Nó được đánh giá có mức độ nghiêm trọng cao với điểm cơ bản CVSS 4.0 là 8.6.
Lỗ hổng nằm trong thành phần M-Files Web và yêu cầu kẻ tấn công phải có thông tin xác thực hợp lệ để khai thác. Điều này có nghĩa là kẻ tấn công cần phải là một người dùng đã được xác thực trên hệ thống M-Files.
Chi tiết về lỗ hổng có thể được tìm thấy trên Cơ sở dữ liệu Lỗ hổng Quốc gia (NVD) tại NVD.NIST.gov.
Cơ chế Khai thác và Tác động của việc chiếm đoạt token phiên
Khi đã được xác thực, kẻ tấn công có khả năng chặn các token phiên của những người dùng khác đang kết nối tích cực trong khi họ thực hiện các hoạt động cụ thể trên máy khách.
Việc thu thập được các token phiên này cho phép kẻ tấn công mạo danh người dùng hợp pháp, thực hiện các hành động với quyền hạn tương ứng. Điều này bao gồm việc truy cập vào các tài liệu mật và tiềm ẩn nguy cơ sửa đổi thông tin quan trọng.
Kỹ thuật này thường được gọi là tấn công tái sử dụng phiên (session replay attack), nơi kẻ tấn công thu thập dữ liệu xác thực phiên hợp lệ và sử dụng nó để giả mạo người dùng gốc. Điều này làm cho kẻ tấn công có thể vượt qua các cơ chế xác thực thông thường.
Vụ việc này được phân loại là CWE-359: Exposure of Private Personal Information to an Unauthorized Actor (Lộ thông tin cá nhân riêng tư cho đối tượng không được phép). Nó thể hiện một kịch bản tái phát phiên (session replay scenario) theo CAPEC-60.
Khai thác **lỗ hổng CVE** này đòi hỏi sự tương tác của người dùng bị tấn công (để tạo token) và khả năng truy cập mạng của kẻ tấn công vào môi trường M-Files, biến nó thành một mối đe dọa thực tế trong các môi trường kết nối.
Các phiên bản M-Files Server bị ảnh hưởng và Khuyến nghị Bản vá Bảo mật
Các tổ chức đang vận hành **M-Files Server** cần đặc biệt chú ý và ưu tiên triển khai các bản vá bảo mật. M-Files đã phát hành các phiên bản đã được vá lỗi để khắc phục **lỗ hổng CVE-2025-13008** này.
Mặc dù hiện tại không có mã khai thác công khai (public exploits) cho **lỗ hổng CVE** này và xác suất khai thác được đánh giá là thấp, điều này không làm giảm mức độ khẩn cấp của việc vá lỗi. Các cuộc tấn công thành công có thể dẫn đến việc truy cập trái phép tài liệu, gây ra rò rỉ dữ liệu nhạy cảm và tiềm năng di chuyển ngang trong hệ thống doanh nghiệp.
Danh sách chi tiết các phiên bản **M-Files Server** bị ảnh hưởng và các bản cập nhật khắc phục đã được cung cấp trong thông báo bảo mật của nhà cung cấp. Các tổ chức nên tham khảo trực tiếp thông báo bảo mật chính thức của M-Files để có thông tin đầy đủ và chính xác nhất về các phiên bản bị ảnh hưởng và các bản vá tương ứng:
Các bước Giảm thiểu Rủi ro và Giám sát An ninh Mạng
Các tổ chức nên ưu tiên kiểm tra và triển khai các bản vá bảo mật trên tất cả các phiên bản **M-Files Server** bị ảnh hưởng. Việc này cần được thực hiện một cách cẩn trọng để đảm bảo tính ổn định của hệ thống sau khi cập nhật.
Đồng thời, các đội ngũ an ninh cần giám sát nhật ký truy cập (access logs) để phát hiện các hoạt động đáng ngờ của người dùng. Các dấu hiệu cảnh báo bao gồm:
- Truy cập từ các địa điểm không mong muốn hoặc bất thường.
- Hoạt động truy cập tài liệu vào thời gian ngoài giờ làm việc thông thường.
- Các hành động thực hiện bởi người dùng có vẻ bất thường so với hành vi bình thường của họ.
- Tăng đột biến các yêu cầu xác thực hoặc các lỗi xác thực.
Việc theo dõi chặt chẽ các token phiên và cảnh báo khi có dấu hiệu tái sử dụng bất thường là cực kỳ quan trọng để ngăn chặn các cuộc tấn công chiếm đoạt tài khoản. Một hệ thống quản lý nhật ký tập trung (SIEM) có thể hỗ trợ hiệu quả trong việc phát hiện các hành vi bất thường liên quan đến **lỗ hổng CVE** này.
Để tăng cường an ninh mạng, cần xem xét triển khai các biện pháp bảo mật bổ sung như xác thực đa yếu tố (MFA) cho tất cả người dùng M-Files, đặc biệt là những người có quyền truy cập vào các tài liệu nhạy cảm. Điều này sẽ bổ sung một lớp bảo vệ nếu token phiên bị chiếm đoạt.
Cuối cùng, việc thường xuyên kiểm tra và cập nhật các chính sách bảo mật, cũng như đào tạo nhận thức về an ninh cho người dùng, sẽ giúp giảm thiểu rủi ro liên quan đến các cuộc tấn công dựa trên kỹ thuật lừa đảo hoặc chiếm đoạt thông tin xác thực.
