CISA cảnh báo 4 lỗ hổng đang bị khai thác thực tế: Từ Adobe ColdFusion đến AI Langflow

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
141
2.020 bài viết
CISA cảnh báo 4 lỗ hổng đang bị khai thác thực tế: Từ Adobe ColdFusion đến AI Langflow
CISA vừa bổ sung thêm 4 lỗ hổng bảo mật vào danh mục KEV sau khi ghi nhận bằng chứng chúng đang bị tin tặc khai thác ngoài thực tế. Đáng chú ý, các lỗ hổng này ảnh hưởng đến nhiều nền tảng phổ biến như Adobe ColdFusion, Joomla Page Builder, SP Page Builder và Langflow.
a7183841-d8cf-451c-8c17-d1eb98cb1b52.png

Việc một lỗ hổng xuất hiện trong danh sách KEV đồng nghĩa nguy cơ không còn dừng ở mức lý thuyết. Các mã khai thác đã được sử dụng trong thực tế và có thể nhanh chóng trở thành mục tiêu của các chiến dịch tấn công diện rộng nếu hệ thống chưa được cập nhật.​

CISA KEV là gì và vì sao doanh nghiệp cần đặc biệt quan tâm?​

Danh mục KEV do CISA xây dựng nhằm theo dõi những lỗ hổng đã được xác nhận đang bị khai thác trên thực tế. Khác với hàng nghìn lỗ hổng được công bố mỗi năm nhưng chưa chắc sẽ bị lợi dụng, các CVE được đưa vào KEV đều có điểm chung là đã xuất hiện các cuộc tấn công thực tế hoặc có bằng chứng rõ ràng về việc bị khai thác.

Đối với các cơ quan liên bang Mỹ, việc vá các lỗ hổng trong KEV là yêu cầu bắt buộc trong thời hạn CISA quy định. Với doanh nghiệp, đây cũng được xem là danh sách ưu tiên cần xử lý trước nhằm giảm thiểu nguy cơ bị tấn công.​

Adobe ColdFusion: Lỗ hổng nghiêm trọng bị khai thác chỉ vài giờ sau khi công bố​

Lỗ hổng đầu tiên là CVE-2026-48282, ảnh hưởng đến Adobe ColdFusion với điểm CVSS 10. Đây là lỗ hổng Path Traversal có thể dẫn đến Remote Code Execution (RCE), cho phép kẻ tấn công thực thi mã tùy ý với quyền của người dùng đang chạy dịch vụ.

Theo nhà nghiên cứu Ryan Dewhurst, các nỗ lực khai thác đã được ghi nhận chỉ vài giờ sau khi thông tin về lỗ hổng được công bố. Điều này cho thấy các nhóm tấn công đang theo dõi rất sát các bản tin bảo mật và có khả năng tự động hóa việc khai thác ngay khi mã kỹ thuật được công khai.​

Hai lỗ hổng Joomla cho phép tải lên web shell và chiếm quyền máy chủ​

Hai lỗ hổng tiếp theo đều ảnh hưởng đến các tiện ích mở rộng phổ biến của Joomla.​

CVE-2026-56290 - Page Builder CK​

Lỗ hổng có điểm CVSS 10, xuất phát từ cơ chế kiểm soát truy cập không đầy đủ. Kẻ tấn công không cần xác thực có thể tải lên tệp tùy ý, từ đó thực thi mã trên máy chủ.

Theo mySites.guru, các cuộc tấn công khai thác lỗ hổng này đã xuất hiện từ cuối tháng 6 nhằm cài đặt web shell trên các website chưa cập nhật.

Phiên bản đã vá là Page Builder CK 3.6.0.​

CVE-2026-48908 - SP Page Builder​

Lỗ hổng thứ hai ảnh hưởng tới JoomShaper SP Page Builder, cũng đạt CVSS 10.0.

Tin tặc có thể gửi yêu cầu HTTP POST tới endpoint:​
index.php?option=com_sppagebuilder&task=asset.uploadCustomIcon​

để tải lên các tệp PHP độc hại. Sau khi tải thành công, nhiều hệ thống xuất hiện thêm tài khoản Super User mới, cho thấy máy chủ đã bị kiểm soát hoàn toàn.

Theo các chuyên gia, web shell không nhất thiết nằm trong thư mục upload mà có thể được đặt ở bất kỳ vị trí nào như:​
  • /media​
  • /images​
  • /templates​
  • /administrator​
Điều này khiến việc điều tra và làm sạch hệ thống sau khi bị xâm nhập trở nên khó khăn hơn. Nhà phát triển đã phát hành bản vá từ SP Page Builder 6.6.2.​

Langflow tiếp tục trở thành mục tiêu của tin tặc​

Một điểm đáng chú ý trong đợt cập nhật KEV lần này là Langflow tiếp tục xuất hiện với thêm một lỗ hổng mới.​

CVE-2026-55255​

Lỗ hổng được chấm CVSS 6,1, thấp hơn nhiều so với các lỗ hổng RCE. Tuy nhiên, mức độ ảnh hưởng thực tế lại rất đáng lo ngại. Đây là lỗi Cross-Tenant Insecure Direct Object Reference (IDOR).

Do thiếu cơ chế kiểm tra quyền truy cập, người dùng đã xác thực có thể chỉ định Flow ID của người khác để truy cập và thực thi các luồng xử lý thuộc về nạn nhân.

Điều nguy hiểm là trong các Flow của Langflow thường lưu nhiều thông tin nhạy cảm như:​
  • API Key của các mô hình AI.​
  • OpenAI Key.​
  • Anthropic Key.​
  • Google AI Key.​
  • AWS Credentials.​
  • Token kết nối cơ sở dữ liệu.​
Theo Sysdig, tin tặc đã lợi dụng lỗ hổng này để đánh cắp khóa truy cập AI và khóa AWS của nhiều người dùng.​

Langflow bị khai thác theo chuỗi nhiều lỗ hổng​

Sysdig còn phát hiện tin tặc không chỉ khai thác CVE-2026-55255 riêng lẻ.

Chúng kết hợp lỗ hổng này với CVE-2026-33017, một lỗ hổng Remote Code Execution đã được công bố trước đó.

Chuỗi tấn công diễn ra theo trình tự:​
  • Trinh sát hệ thống.​
  • Liệt kê các Flow.​
  • Khai thác IDOR để truy cập Flow của người khác.​
  • Đánh cắp khóa API.​
  • Khai thác RCE.​
  • Tải xuống mã độc giai đoạn hai.​
  • Cài đặt malware phục vụ botnet hoặc đào tiền mã hóa.​
Theo Sysdig, chiến dịch mang động cơ tài chính và diễn ra liên tục trong khoảng thời gian từ ngày 22 đến 25/6.​

Vì sao Langflow liên tục trở thành mục tiêu?​

Đây không phải lần đầu Langflow bị khai thác. Trong hơn một năm qua, nền tảng này đã liên tục xuất hiện các lỗ hổng nghiêm trọng như:​
  • CVE-2025-3248​
  • CVE-2026-0770​
  • CVE-2026-33017​
  • CVE-2026-21445​
  • CVE-2025-34291​
  • CVE-2026-5027​
  • CVE-2026-55255​
Theo các chuyên gia, nguyên nhân là Langflow thường lưu trữ rất nhiều thông tin giá trị như API Key của các nhà cung cấp AI, khóa AWS, thông tin cơ sở dữ liệu và các quy trình xử lý tự động. Đối với tin tặc, đây là "kho chứa" thông tin xác thực có giá trị, giúp mở rộng phạm vi tấn công sang nhiều dịch vụ khác.​

Xu hướng đáng lo ngại: Từ máy chủ web truyền thống đến nền tảng AI​

Đợt cập nhật KEV lần này phản ánh rõ xu hướng tấn công hiện nay. Nếu trước đây mục tiêu chủ yếu là các máy chủ web hoặc CMS, thì hiện nay các nền tảng AI như Langflow cũng đang trở thành mục tiêu hấp dẫn vì chứa nhiều khóa truy cập và dữ liệu quan trọng.

Bên cạnh đó, việc các lỗ hổng Adobe ColdFusion và Joomla bị khai thác chỉ trong thời gian rất ngắn sau khi công bố cho thấy khoảng cách giữa thời điểm phát hành bản vá và thời điểm tin tặc bắt đầu tấn công ngày càng thu hẹp.

Điều này khiến doanh nghiệp cần thay đổi cách quản lý bản vá, ưu tiên xử lý ngay các lỗ hổng đã được CISA đưa vào KEV thay vì chỉ dựa trên điểm CVSS.​

Chuyên gia khuyến nghị​

Để giảm thiểu nguy cơ bị khai thác, các chuyên gia khuyến nghị:​
  • Khẩn trương cập nhật Adobe ColdFusion, Page Builder CK, SP Page Builder và Langflow lên phiên bản đã được vá.​
  • Rà soát máy chủ để phát hiện các tệp PHP bất thường, đặc biệt trong các thư mục /media, /images, /templates và /administrator đối với website Joomla.​
  • Kiểm tra các tài khoản quản trị mới được tạo trái phép trên hệ thống.​
  • Đối với Langflow, cần rà soát các Flow đã chia sẻ, thay đổi toàn bộ API Key và khóa AWS nếu nghi ngờ bị truy cập trái phép.​
  • Theo dõi các kết nối bất thường từ máy chủ tới Internet nhằm phát hiện sớm dấu hiệu tải xuống mã độc hoặc web shell.​
Việc CISA bổ sung đồng thời bốn lỗ hổng vào danh mục KEV cho thấy các nhóm tấn công đang mở rộng mục tiêu từ các nền tảng web truyền thống sang cả các hệ thống AI và dịch vụ đám mây. Đặc biệt, trường hợp của Langflow cho thấy những nền tảng điều phối AI không chỉ có nguy cơ bị chiếm quyền điều khiển mà còn có thể trở thành nguồn rò rỉ các khóa truy cập quan trọng, tạo điều kiện cho các cuộc tấn công sâu hơn vào hạ tầng doanh nghiệp. Trong bối cảnh thời gian từ khi lỗ hổng được công bố đến khi bị khai thác ngày càng rút ngắn, việc theo dõi danh sách KEV của CISA và triển khai bản vá kịp thời cần được xem là một trong những ưu tiên hàng đầu trong công tác quản lý an toàn thông tin.​
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
cve-2026-48282 cve-2026-48908 cve-2026-55255 cve-2026-56290 langflow
Bên trên