Nguy hiểm: Lỗ hổng SQL Injection CVE-2024-43468 SCCM
CISA đã ban hành cảnh báo khẩn cấp về một lỗ hổng SQL injection nghiêm trọng trong Microsoft Configuration Manager (SCCM). Lỗ hổng này, được theo dõi với mã định danh CVE-2024-43468, cho phép kẻ tấn công chưa được xác thực thực thi các lệnh độc hại trên máy chủ và cơ sở dữ liệu. Việc lỗ hổng được thêm vào danh mục Known Exploited Vulnerabilities (KEV) của CISA vào ngày 12 tháng 2 năm 2026 nhấn mạnh mức độ nghiêm trọng và khả năng khai thác trong thực tế. Các tổ chức liên bang được yêu cầu phải vá lỗi bảo mật này trước ngày 5 tháng 3 năm 2026.
Tổng quan về CVE-2024-43468 và Tầm quan trọng của Microsoft Configuration Manager
Microsoft Configuration Manager (SCCM), nay là một phần của Microsoft Intune, là một nền tảng quản lý hệ thống doanh nghiệp toàn diện. Nó hỗ trợ các nhóm CNTT trong việc quản lý thiết bị đầu cuối, triển khai phần mềm, và xử lý các bản cập nhật trên mạng lưới Windows. Do vai trò trung tâm này, bất kỳ lỗ hổng CVE nào trong SCCM đều có thể dẫn đến hậu quả nghiêm trọng.
Lỗ hổng CVE-2024-43468 ảnh hưởng đến các dịch vụ console của SCCM. Tại đây, việc xử lý không đúng đắn dữ liệu đầu vào từ người dùng có thể mở đường cho các cuộc tấn công SQL injection. Kẻ tấn công có thể tạo ra các yêu cầu HTTP đặc biệt đến máy chủ SCCM. Những yêu cầu này sau đó đánh lừa hệ thống thực thi các truy vấn SQL tùy ý trên cơ sở dữ liệu SQL Server backend.
Chi tiết kỹ thuật về SQL Injection và Khai thác
SQL injection là một dạng tấn công trong đó kẻ tấn công chèn hoặc “tiêm” mã SQL độc hại vào các trường nhập liệu. Với CVE-2024-43468, điều này xảy ra thông qua các yêu cầu HTTP không được làm sạch đầy đủ.
Lỗ hổng này được liên kết với CWE-89: Improper Neutralization of Special Elements used in an SQL Command (‘SQL Injection’). Từ đó, kẻ tấn công có thể thực hiện nhiều hành vi độc hại, bao gồm:
Truy xuất dữ liệu nhạy cảm: Đánh cắp thông tin cấu hình hệ thống, dữ liệu người dùng, hoặc thông tin xác thực.
Leo thang đặc quyền: Thay đổi quyền của tài khoản hiện có hoặc tạo tài khoản quản trị mới trên cơ sở dữ liệu hoặc hệ thống.
Thực thi lệnh hệ điều hành từ xa (Remote Code Execution – RCE): Thông qua các chức năng của SQL Server như
xp_cmdshell, kẻ tấn công có thể chạy các lệnh hệ thống. Điều này cho phép cài đặt mã độc, tạo backdoor, hoặc xóa dữ liệu.
Mặc dù điểm CVSS chính xác cho CVE-2024-43468 chưa được công bố rộng rãi, các lỗ hổng SQL injection cho phép RCE thường có điểm CVSS từ 8.0 trở lên, phản ánh mức độ nghiêm trọng cao.
Cảnh báo và Yêu cầu vá lỗi từ CISA
CISA đã thêm CVE-2024-43468 vào danh mục Known Exploited Vulnerabilities (KEV) của mình. Việc này chỉ ra rằng lỗ hổng đang bị khai thác zero-day trong thực tế.
Danh mục KEV là một nguồn tài nguyên quan trọng, liệt kê các lỗ hổng đã được xác nhận là bị khai thác bởi các tác nhân đe dọa. Các tổ chức cần ưu tiên vá lỗi những lỗ hổng này. Xem thêm thông tin trên CISA Known Exploited Vulnerabilities Catalog.
Yêu cầu vá lỗi khẩn cấp của CISA đối với các cơ quan liên bang nhấn mạnh rủi ro lớn mà lỗ hổng SQL injection này gây ra. Mặc dù chi tiết về các chiến dịch tấn công cụ thể vẫn chưa được công bố, các nhóm ransomware thường nhắm mục tiêu vào các công cụ quản lý như SCCM để di chuyển ngang nhanh chóng trong mạng lưới.
Bản vá và Giải pháp khắc phục
Microsoft đã phát hành các bản vá cho lỗ hổng CVE-2024-43468 như một phần của bản cập nhật Patch Tuesday tháng 11 năm 2024. Các phiên bản Microsoft Configuration Manager bị ảnh hưởng bao gồm SCCM 2303 và các phiên bản cũ hơn.
Để khắc phục, cần nâng cấp lên phiên bản SCCM 2311 hoặc mới hơn và áp dụng bản sửa lỗi thông qua KB5044285 hoặc các bản cập nhật mới hơn. Đây là bước quan trọng nhất để giảm thiểu rủi ro bảo mật do lỗ hổng này gây ra.
Các bước hành động ngay lập tức
Các tổ chức cần thực hiện ngay lập tức các biện pháp sau để bảo vệ hệ thống khỏi lỗ hổng SQL injection này:
Quét môi trường: Sử dụng các công cụ như Microsoft Defender hoặc SQL Server Management Studio để quét môi trường tìm kiếm các truy vấn SQL bất thường. Đây có thể là dấu hiệu của một cuộc tấn công mạng đang diễn ra hoặc đã xảy ra.
Thực hiện vá lỗi nhanh chóng: Tải xuống các bản cập nhật từ Microsoft Update Catalog. Luôn kiểm tra các bản vá trong môi trường thử nghiệm (staging environment) trước khi triển khai rộng rãi để tránh gián đoạn việc truy cập console của SCCM.
Giảm thiểu rủi ro:
Chặn lưu lượng truy cập không đáng tin cậy: Sử dụng tường lửa để chặn lưu lượng truy cập đến các cổng SCCM (ví dụ: 80/443 cho console web, 1433 cho kết nối SQL Server) từ các địa chỉ IP không đáng tin cậy.
Kích hoạt bảo vệ SQL injection: Nếu SCCM sử dụng IIS cho các thành phần web, hãy đảm bảo các tính năng bảo vệ SQL injection đã được kích hoạt và cấu hình chính xác.
Sử dụng tài khoản cơ sở dữ liệu với đặc quyền tối thiểu: Đảm bảo các tài khoản mà SCCM sử dụng để tương tác với SQL Server chỉ có các quyền cần thiết (Least Privilege). Điều này hạn chế thiệt hại nếu một lỗ hổng SQL injection bị khai thác.
Xem xét ngừng sử dụng sản phẩm: Nếu việc vá lỗi không khả thi do các ràng buộc về kỹ thuật hoặc vận hành, CISA khuyến nghị ngừng sử dụng sản phẩm bị ảnh hưởng.
Săn lùng dấu hiệu xâm nhập: Các tổ chức nên chủ động tìm kiếm các dấu hiệu của sự xâm nhập, chẳng hạn như nhật ký SQL bất thường, các lần xác thực thất bại không giải thích được, hoặc việc tạo các tài khoản quản trị mới không theo quy trình.
Ví dụ kiểm tra các kết nối SQL
Để giám sát các kết nối và truy vấn SQL bất thường, quản trị viên có thể sử dụng SQL Server Management Studio (SSMS) để kiểm tra các log hoặc chạy các truy vấn giám sát.
-- Xem các phiên hoạt động hiện tạiSELECT session_id, login_name, host_name, program_name, client_net_address, statusFROM sys.dm_exec_sessionsWHERE is_user_process = 1;-- Xem các truy vấn đang chạySELECT session_id, text AS QueryText, start_timeFROM sys.dm_exec_requestsCROSS APPLY sys.dm_exec_sql_text(sql_handle)WHERE session_id IN (SELECT session_id FROM sys.dm_exec_sessions WHERE is_user_process = 1);Lời kết và Khuyến nghị chung
Lỗ hổng SQL injection trong Microsoft Configuration Manager là một ví dụ điển hình về tầm quan trọng của việc cập nhật bản vá thường xuyên cho các công cụ quản lý doanh nghiệp. Việc liên tục theo dõi danh sách KEV của CISA và các thông báo bảo mật từ Microsoft là điều cần thiết. Các tổ chức cần duy trì cảnh giác cao độ và có quy trình vá lỗi bảo mật nhanh chóng để bảo vệ hạ tầng của mình khỏi các mối đe dọa mạng đang phát triển.
