Lỗ hổng trong Trend Micro Apex Central: Nguy cơ bị chiếm quyền hệ thống từ xa

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
123
1.487 bài viết
Lỗ hổng trong Trend Micro Apex Central: Nguy cơ bị chiếm quyền hệ thống từ xa
WhiteHat Team
Trend Micro đã phát hành bản vá khẩn cấp để xử lý nhiều lỗ hổng bảo mật trong phiên bản Apex Central cài đặt on-premise cho Windows, trong đó có một lỗ hổng ở mức Critical cho phép kẻ tấn công thực thi mã tùy ý với đặc quyền cao nhất (SYSTEM).
1768211004039.png

Trend Micro Apex Central là nền tảng quản lý tập trung được nhiều doanh nghiệp sử dụng để giám sát và điều khiển các giải pháp bảo mật trên hệ thống nội bộ. Các lỗ hổng được phát hiện trong Trend Micro Apex Central phiên bản on-premise dành cho Windows, ảnh hưởng đến các bản build trước 7190.

Nghiêm trọng nhất là lỗ hổng CVE-2025-69258, được đánh giá CVSS 9,8/10, cho phép thực thi mã từ xa. Ngoài ra, hai lỗ hổng khác có thể gây từ chối dịch vụ cũng được vá trong cùng đợt cập nhật.​

Các mã lỗ hổng và mức độ nghiêm trọng

Lỗ hổng chính: CVE-2025-69258 - CVSS 9,8 (Critical)​

Đây là lỗ hổng liên quan đến cơ chế LoadLibraryEX trong Apex Central. Kẻ tấn công có thể buộc hệ thống tải một thư viện DLL do chúng kiểm soát, từ đó thực thi mã độc với quyền SYSTEM.​

Hai lỗ hổng bổ sung: CVE-2025-69259 - CVSS 7,5 (High)​

Lỗi không kiểm tra giá trị NULL trong quá trình xử lý thông điệp, có thể bị khai thác để gây sập dịch vụ.​

CVE-2025-69260 - CVSS 7,5 (High)​

Lỗi đọc dữ liệu vượt ngoài vùng nhớ cho phép, cũng dẫn đến tình trạng từ chối dịch vụ.

=> Cả ba lỗ hổng đều có thể bị khai thác bởi kẻ tấn công không cần xác thực, làm gia tăng đáng kể mức độ rủi ro.​

Nguyên nhân kỹ thuật và cơ chế bị khai thác

Với CVE-2025-69258, nguyên nhân xuất phát từ cách Apex Central xử lý việc nạp thư viện DLL thông qua hàm LoadLibraryEX. Thành phần MsgReceiver.exe, một tiến trình quan trọng của Apex Central, lắng nghe kết nối trên cổng TCP mặc định 20001 để nhận các thông điệp điều khiển.

Kẻ tấn công có thể gửi một thông điệp được thiết kế đặc biệt, mang mã 0x0a8d (SC_INSTALL_HANDLER_REQUEST), khiến MsgReceiver.exe tải và thực thi một DLL do kẻ tấn công kiểm soát. Do tiến trình này chạy với quyền SYSTEM, mã độc cũng được thực thi với đặc quyền cao nhất trên hệ thống.

Hai lỗ hổng còn lại có thể bị kích hoạt bằng cách gửi thông điệp 0x1b5b (SC_CMD_CGI_LOG_REQUEST) tới cùng tiến trình MsgReceiver.exe, dẫn đến lỗi xử lý bộ nhớ và khiến dịch vụ bị sập.​

Rủi ro và mức độ ảnh hưởng

Việc khai thác thành công lỗ hổng CVE-2025-69258 cho phép kẻ tấn công:​
  • Thực thi mã độc với quyền SYSTEM​
  • Toàn quyền kiểm soát máy chủ Apex Central​
  • Từ đó mở rộng tấn công sang các endpoint khác trong mạng doanh nghiệp​
  • Vô hiệu hóa hoặc thao túng hệ thống bảo mật​
Dù Trend Micro cho biết kẻ tấn công cần có quyền truy cập vật lý hoặc truy cập từ xa tới endpoint dễ tổn thương, nhưng trong bối cảnh nhiều hệ thống quản trị vẫn bị lộ cổng dịch vụ hoặc cấu hình truy cập từ xa chưa chặt chẽ, đây vẫn là một rủi ro rất thực tế.​

Hậu quả nếu bị khai thác

Nếu các lỗ hổng này bị lợi dụng, doanh nghiệp có thể đối mặt với:​
  • Mất quyền kiểm soát hệ thống quản lý bảo mật trung tâm​
  • Nguy cơ lây nhiễm mã độc trên diện rộng​
  • Rò rỉ dữ liệu nội bộ​
  • Gián đoạn hoạt động vận hành, đặc biệt với các tổ chức lớn​
  • Thiệt hại uy tín và chi phí khắc phục cao​
Đáng lo ngại hơn, Apex Central thường được triển khai ở những vị trí then chốt trong hạ tầng CNTT, khiến hậu quả có thể mang tính dây chuyền.​

Giải pháp khắc phục và khuyến nghị

Trend Micro đã phát hành bản vá cho các lỗ hổng này. Các tổ chức đang sử dụng Apex Central cần:​
  • Kiểm tra ngay phiên bản hiện tại​
  • Nâng cấp lên Build 7190 hoặc cao hơn​
  • Đảm bảo các bản vá được triển khai đầy đủ trên toàn bộ hệ thống​
Bên cạnh việc vá lỗi, các chuyên gia an ninh mạng khuyến nghị:​
  • Rà soát lại quyền truy cập từ xa tới các máy chủ quản trị​
  • Hạn chế việc để các dịch vụ quản trị lắng nghe trên mạng không cần thiết​
  • Kiểm tra firewall và phân vùng mạng để giảm nguy cơ bị tiếp cận trái phép​
  • Theo dõi log và hành vi bất thường trên cổng 20001​
Sự cố này cho thấy ngay cả các hệ thống bảo mật doanh nghiệp, vốn được tin tưởng là “lớp phòng thủ cuối cùng”, cũng có thể trở thành mục tiêu hấp dẫn nếu tồn tại điểm yếu chưa được vá kịp thời.​
WhiteHat
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • OWASP CRS lộ lỗ hổng nguy hiểm cho phép vượt tường lửa web, tấn công XSS
  • SmarterMail dính lỗ hổng RCE 10 điểm, cho phép chiếm quyền điều khiển máy chủ từ xa
  • Lỗ hổng ChatGPT cho phép trích xuất dữ liệu quy mô lớn từ Gmail, Outlook và GitHub
  • Lỗ hổng nghiêm trọng trong Undertow đe dọa hàng loạt hệ thống Java doanh nghiệp
  • Cisco vá loạt lỗ hổng trong Snort 3 và ISE, đe dọa an toàn hệ thống doanh nghiệp
  • n8n liên tiếp lộ nhiều lỗ hổng nghiêm trọng, hệ thống đối mặt với nguy cơ bị kiểm soát
    • Thẻ
    cve-2025-69258 cve-2025-69259 cve-2025-69260 trend micro
    Bên trên