-
09/04/2020
-
128
-
1.714 bài viết
Lỗ hổng trong ScreenConnect có thể bị lợi dụng để chiếm quyền hệ thống
Hãng công nghệ ConnectWise vừa phát đi cảnh báo khẩn về một lỗ hổng trong phần mềm điều khiển từ xa ScreenConnect. Lỗ hổng này có thể cho phép kẻ tấn công đánh cắp khóa mã hóa cấp hệ thống và chiếm quyền các phiên làm việc từ xa đang hoạt động.
Được định danh là CVE-2026-3564, lỗ hổng có điểm số CVSS 9,0 và đã được xếp vào nhóm cảnh báo ưu tiên cao nhất. Với đặc thù ScreenConnect được sử dụng rộng rãi trong doanh nghiệp và các nhà cung cấp dịch vụ CNTT (MSP), nguy cơ lan rộng của lỗ hổng này được đánh giá là đặc biệt đáng lo ngại.
Lỗ hổng xuất phát từ sai sót trong cơ chế xác thực mã hóa
Theo phân tích kỹ thuật, lỗ hổng bắt nguồn từ việc xử lý không đúng cách các chữ ký mã hóa trong hệ thống xác thực của ScreenConnect, thuộc nhóm lỗi CWE-347 (Improper Verification of Cryptographic Signature).
Trong các phiên bản bị ảnh hưởng, phần mềm lưu trữ các machine key trực tiếp trong file cấu hình máy chủ. Đây là thông tin cực kỳ nhạy cảm, đóng vai trò xác thực và đảm bảo tính toàn vẹn của các phiên đăng nhập.
Khi các khóa này không được bảo vệ đúng cách, chúng có thể bị trích xuất nếu kẻ tấn công xâm nhập được vào hệ thống máy chủ thông qua cấu hình sai, khai thác lỗ hổng khác hoặc di chuyển ngang trong mạng nội bộ.
Trong các phiên bản bị ảnh hưởng, phần mềm lưu trữ các machine key trực tiếp trong file cấu hình máy chủ. Đây là thông tin cực kỳ nhạy cảm, đóng vai trò xác thực và đảm bảo tính toàn vẹn của các phiên đăng nhập.
Khi các khóa này không được bảo vệ đúng cách, chúng có thể bị trích xuất nếu kẻ tấn công xâm nhập được vào hệ thống máy chủ thông qua cấu hình sai, khai thác lỗ hổng khác hoặc di chuyển ngang trong mạng nội bộ.
Cơ chế khai thác: Giả mạo phiên làm việc, chiếm quyền điều khiển
Sau khi lấy được machine key, kẻ tấn công có thể sử dụng chúng để tạo các token xác thực giả mạo, qua đó vượt qua cơ chế kiểm tra phiên đăng nhập. Điểm nguy hiểm nằm ở chỗ quá trình này:
- Không yêu cầu tài khoản hay mật khẩu
- Không cần tương tác từ phía người dùng
- Diễn ra hoàn toàn ở tầng hệ thống
Khi đó, kẻ tấn công có thể chiếm quyền các phiên điều khiển từ xa hợp pháp, truy cập trực tiếp vào các máy tính đang được quản lý qua ScreenConnect. Trong thực tế, điều này đồng nghĩa với việc hacker có thể:
- Theo dõi toàn bộ hoạt động của người dùng
- Thực thi lệnh trên hệ thống nạn nhân
- Triển khai mã độc hoặc backdoor
- Mở rộng tấn công sang các hệ thống khác trong mạng
Mức độ nguy hiểm và phạm vi ảnh hưởng
Mặc dù lỗ hổng có độ phức tạp khai thác tương đối cao nhưng việc không yêu cầu xác thực khiến rủi ro thực tế tăng mạnh nếu hệ thống đã bị xâm nhập từ trước.
ScreenConnect là công cụ phổ biến trong:
ScreenConnect là công cụ phổ biến trong:
- Doanh nghiệp
- Nhà cung cấp dịch vụ IT (MSP)
- Môi trường quản trị hệ thống từ xa
Do đó, nếu bị khai thác, lỗ hổng này không chỉ ảnh hưởng một máy đơn lẻ mà có thể dẫn đến xâm nhập chuỗi, từ một hệ thống quản trị lan sang hàng loạt khách hàng phía sau. Đây chính là kịch bản nguy hiểm nhất: một điểm yếu trong hệ thống trung tâm có thể kéo theo việc kiểm soát toàn bộ hạ tầng CNTT của nhiều tổ chức.
Bản vá đã được phát hành, yêu cầu cập nhật khẩn cấp
Để khắc phục lỗ hổng, ConnectWise đã phát hành phiên bản ScreenConnect 26.1 với các thay đổi quan trọng trong kiến trúc bảo mật. Cụ thể, bản cập nhật:
- Loại bỏ việc lưu trữ khóa mã hóa dạng plaintext trong file cấu hình
- Áp dụng cơ chế mã hóa khóa và quản lý khóa động
- Tăng cường bảo vệ quy trình xác thực phiên
Những cải tiến này giúp ngăn chặn việc trích xuất và lạm dụng khóa ngay cả khi hệ thống bị xâm nhập một phần.
Khuyến nghị từ chuyên gia an ninh mạng
Các chuyên gia khuyến cáo tổ chức cần coi đây là một tình huống vá lỗi khẩn cấp, đặc biệt với các hệ thống triển khai tại chỗ (on-premise). Một số biện pháp cần thực hiện ngay gồm:
- Cập nhật ScreenConnect lên phiên bản 26.1 nếu đang sử dụng bản cũ
- Kiểm tra log hệ thống để phát hiện dấu hiệu chiếm quyền phiên bất thường
- Rà soát quyền truy cập máy chủ và hạn chế truy cập trái phép
- Giám sát hành vi đăng nhập và hoạt động điều khiển từ xa bất thường
- Gia hạn giấy phép nếu cần thiết để có thể cập nhật hệ thống
Đối với các hệ thống sử dụng bản cloud, nhà cung cấp đã tự động triển khai bản vá, tuy nhiên vẫn cần theo dõi để phát hiện dấu hiệu bất thường.
Lỗ hổng CVE-2026-3564 là minh chứng rõ ràng cho rủi ro khi quản lý khóa mã hóa không đúng cách trong các hệ thống điều khiển từ xa. Khi các yếu tố xác thực cốt lõi bị lộ, toàn bộ cơ chế bảo mật có thể bị vô hiệu hóa chỉ trong thời gian ngắn.
Trong bối cảnh các công cụ quản trị từ xa ngày càng trở thành “xương sống” của hạ tầng CNTT doanh nghiệp, việc bảo vệ các thành phần như khóa mã hóa, phiên đăng nhập và hệ thống xác thực cần được đặt ở mức ưu tiên cao nhất. Các tổ chức cần chủ động cập nhật bản vá, kiểm tra cấu hình và giám sát hệ thống liên tục để tránh trở thành mục tiêu tiếp theo trong các chiến dịch tấn công ngày càng tinh vi.
Lỗ hổng CVE-2026-3564 là minh chứng rõ ràng cho rủi ro khi quản lý khóa mã hóa không đúng cách trong các hệ thống điều khiển từ xa. Khi các yếu tố xác thực cốt lõi bị lộ, toàn bộ cơ chế bảo mật có thể bị vô hiệu hóa chỉ trong thời gian ngắn.
Trong bối cảnh các công cụ quản trị từ xa ngày càng trở thành “xương sống” của hạ tầng CNTT doanh nghiệp, việc bảo vệ các thành phần như khóa mã hóa, phiên đăng nhập và hệ thống xác thực cần được đặt ở mức ưu tiên cao nhất. Các tổ chức cần chủ động cập nhật bản vá, kiểm tra cấu hình và giám sát hệ thống liên tục để tránh trở thành mục tiêu tiếp theo trong các chiến dịch tấn công ngày càng tinh vi.
Theo Cyber Press