Nguy hiểm: Lỗ hổng CVE bị Clop Ransomware khai thác chiếm quyền điều khiển
Nhóm ransomware Clop đã phát động một chiến dịch tống tiền dữ liệu mới, nhắm mục tiêu vào các máy chủ file Gladinet CentreStack kết nối Internet. Đây là diễn biến tiếp theo trong chuỗi các hoạt động của nhóm tác nhân đe dọa này, thường xuyên khai thác các giải pháp truyền file để thực hiện tấn công. Chiến dịch lần này khai thác nhiều điểm yếu bảo mật trong CentreStack và sản phẩm tương tự Triofox, bao gồm các lỗ hổng CVE mới được phát hiện, cho phép kẻ tấn công giành quyền truy cập trái phép vào dữ liệu doanh nghiệp nhạy cảm.
Các phân tích cho thấy hơn 200 địa chỉ IP độc nhất đang chạy các hệ thống có tiêu đề HTTP “CentreStack – Login”, khiến chúng trở thành các mục tiêu tiềm năng cho nhóm Clop. Các tác nhân đe dọa đang khai thác một lỗ hổng zero-day hoặc một lỗ hổng n-day chưa được công bố để xâm nhập vào các hệ thống này.
Phân tích Chuyên sâu về các Lỗ hổng CVE
Hai lỗ hổng CVE nghiêm trọng đã được xác định trong các sản phẩm CentreStack và Triofox, tạo điều kiện cho chuỗi tấn công của Clop. Hiểu rõ các lỗ hổng này là chìa khóa để triển khai các biện pháp phòng ngừa hiệu quả.
CVE-2025-11371: Lỗi Local File Inclusion (LFI)
Lỗ hổng đầu tiên, CVE-2025-11371, là một lỗi Local File Inclusion (LFI) không yêu cầu xác thực. Lỗ hổng này cho phép kẻ tấn công truy xuất tệp cấu hình quan trọng Web.config, trong đó chứa machine key của ứng dụng.
Bằng cách sử dụng các kỹ thuật directory traversal, các tác nhân đe dọa có thể truy cập bất kỳ tệp nào trên máy chủ thông qua việc khai thác endpoint dễ bị tổn thương tại /storage/t.dn.
Một ví dụ về yêu cầu HTTP để khai thác lỗ hổng này như sau:
GET /storage/t.dn?query=../../../../../../../../windows/system32/inetsrv/config/applicationHost.config HTTP/1.1Host: target.example.comCVE-2025-14611: Khóa Mã hóa Cứng (Hardcoded Cryptographic Keys)
Lỗ hổng thứ hai, CVE-2025-14611, liên quan đến việc sử dụng các khóa mã hóa cứng (hardcoded cryptographic keys) trong quá trình triển khai AES của sản phẩm. Điều này cho phép kẻ tấn công giải mã các access tickets hiện có và tạo ra các ticket của riêng chúng.
Khả năng giả mạo access tickets này cung cấp một cơ chế mạnh mẽ để duy trì quyền truy cập vĩnh viễn vào hệ thống bị xâm nhập.
Chuỗi Khai thác và Giành Chiếm Quyền Điều Khiển
Quá trình khai thác bắt đầu khi kẻ tấn công nhắm vào máy chủ CentreStack thông qua endpoint /storage/t.dn dễ bị tổn thương. Bằng cách thao tác tham số truy vấn với các chuỗi directory traversal, chúng truy xuất tệp Web.config, chứa các machine key quan trọng.
Khi đã có được machine key, kẻ tấn công thực hiện các cuộc tấn công deserialization ViewState để đạt được remote code execution (RCE), hay còn gọi là chiếm quyền điều khiển hệ thống hoàn toàn.
Các khóa mã hóa cứng trong CVE-2025-14611 còn giúp kẻ tấn công tạo ra các access tickets có hiệu lực vĩnh viễn, thường được đặt với dấu thời gian đến năm 9999. Điều này đảm bảo quyền truy cập không giới hạn vào hệ thống bị xâm nhập.
Những kỹ thuật này cho phép nhóm Clop thực hiện exfiltration dữ liệu mà không cần xác thực, làm cho việc phát hiện và ngăn chặn trở nên khó khăn đối với các tổ chức bị ảnh hưởng.
Khuyến nghị Bảo mật và Cập nhật Bản vá
Các tổ chức đang vận hành CentreStack hoặc Triofox phải cập nhật ngay lập tức lên phiên bản 16.12.10420.56791. Việc cập nhật này bao gồm các bản vá bảo mật quan trọng nhằm khắc phục các lỗ hổng CVE đã được khai thác.
Ngoài ra, các quản trị viên cần thực hiện xoay (rotate) machine key của ứng dụng ngay lập tức để vô hiệu hóa mọi khóa đã bị lộ. Điều này là tối quan trọng để ngăn chặn truy cập trái phép liên tục.
Các quản trị viên cũng nên rà soát nhật ký máy chủ web để tìm kiếm các yêu cầu GET đáng ngờ chứa chuỗi vghpI7EToZUDIZDdprSubL3mTZ2. Chuỗi này đại diện cho đường dẫn được mã hóa đến tệp Web.config và là một chỉ số IOC (Indicator of Compromise) quan trọng.
Để biết thêm thông tin về các lỗ hổng CVE và các cảnh báo bảo mật, hãy tham khảo Cổng thông tin của Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ tại nvd.nist.gov.
