-
09/04/2020
-
110
-
1.040 bài viết
PoC cho hai lỗ hổng nghiêm trọng trong Xerox FreeFlow Core
Các nhà nghiên cứu an ninh mạng tại Horizon3.ai vừa công bố mã khai thác (PoC) cho hai lỗ hổng zero day nguy hiểm CVE-2025-8355 và CVE-2025-8356 trong Xerox FreeFlow Core, nền tảng điều phối in ấn được triển khai rộng rãi tại các nhà in thương mại, trường đại học và cơ quan chính phủ. Hai lỗ hổng này cho phép kẻ tấn công từ xa chưa xác thực chiếm quyền kiểm soát hoàn toàn hệ thống thông qua kỹ thuật chèn XML External Entity (XXE) và tấn công path traversal.
Quá trình phát hiện bắt đầu khi một khách hàng của Horizon3.ai gửi yêu cầu hỗ trợ về cảnh báo “dương tính giả” từ nền tảng bảo mật NodeZero. Hệ thống đã ghi nhận phản hồi cho thấy việc khai thác thành công, dù máy chủ bị cảnh báo không cài đặt phần mềm mục tiêu. Phân tích sâu hơn cho thấy thành phần bị ảnh hưởng là dịch vụ JMF Client của FreeFlow Core, hoạt động trên cổng 4004 và xử lý Job Message Format cho quản lý tác vụ in. Trình phân tích XML của dịch vụ này không kiểm soát hoặc giới hạn đúng cách các XML External Entities, tạo ra lỗ hổng CVE-2025-8355 (CVSS: 7.5). Lỗ hổng này cho phép thực hiện Server Side Request Forgery, từ đó truy cập trái phép tới các tài nguyên nội bộ.
Trong quá trình phân tích, nhóm nghiên cứu phát hiện thêm CVE-2025-8356 (CVSS: 9.8), một lỗ hổng path traversal trong cơ chế xử lý tệp.có thể dùng chuỗi đặc biệt như “../” để di chuyển ra khỏi thư mục dự kiến, dẫn đến việc tải lên file độc hại, chẳng hạn webshell, vào thư mục công khai trên máy chủ. Khi webshell được đặt thành công, kẻ tấn công có thể thực thi Remote Code Execution (RCE), chiếm toàn quyền kiểm soát hệ thống. Sự kết hợp giữa XXE và path traversal làm gia tăng đáng kể mức độ rủi ro, nhất là khi FreeFlow Core thường được kết nối mạng mở và xử lý tài liệu tiếp thị trước khi phát hành.
Horizon3.ai đã thông báo cho Xerox từ tháng 6/2025 và phối hợp phát triển bản vá. Ngày 8/8/2025, Xerox phát hành FreeFlow Core phiên bản 8.0.5 để khắc phục cả hai lỗ hổng. Các chuyên gia khuyến nghị tổ chức đang sử dụng FreeFlow Core cần nhanh chóng nâng cấp, đồng thời rà soát nhật ký hệ thống, áp dụng phân tách mạng và tăng cường kiểm soát dữ liệu đầu vào để ngăn ngừa các cuộc tấn công tương tự.
Quá trình phát hiện bắt đầu khi một khách hàng của Horizon3.ai gửi yêu cầu hỗ trợ về cảnh báo “dương tính giả” từ nền tảng bảo mật NodeZero. Hệ thống đã ghi nhận phản hồi cho thấy việc khai thác thành công, dù máy chủ bị cảnh báo không cài đặt phần mềm mục tiêu. Phân tích sâu hơn cho thấy thành phần bị ảnh hưởng là dịch vụ JMF Client của FreeFlow Core, hoạt động trên cổng 4004 và xử lý Job Message Format cho quản lý tác vụ in. Trình phân tích XML của dịch vụ này không kiểm soát hoặc giới hạn đúng cách các XML External Entities, tạo ra lỗ hổng CVE-2025-8355 (CVSS: 7.5). Lỗ hổng này cho phép thực hiện Server Side Request Forgery, từ đó truy cập trái phép tới các tài nguyên nội bộ.
Trong quá trình phân tích, nhóm nghiên cứu phát hiện thêm CVE-2025-8356 (CVSS: 9.8), một lỗ hổng path traversal trong cơ chế xử lý tệp.có thể dùng chuỗi đặc biệt như “../” để di chuyển ra khỏi thư mục dự kiến, dẫn đến việc tải lên file độc hại, chẳng hạn webshell, vào thư mục công khai trên máy chủ. Khi webshell được đặt thành công, kẻ tấn công có thể thực thi Remote Code Execution (RCE), chiếm toàn quyền kiểm soát hệ thống. Sự kết hợp giữa XXE và path traversal làm gia tăng đáng kể mức độ rủi ro, nhất là khi FreeFlow Core thường được kết nối mạng mở và xử lý tài liệu tiếp thị trước khi phát hành.
Horizon3.ai đã thông báo cho Xerox từ tháng 6/2025 và phối hợp phát triển bản vá. Ngày 8/8/2025, Xerox phát hành FreeFlow Core phiên bản 8.0.5 để khắc phục cả hai lỗ hổng. Các chuyên gia khuyến nghị tổ chức đang sử dụng FreeFlow Core cần nhanh chóng nâng cấp, đồng thời rà soát nhật ký hệ thống, áp dụng phân tách mạng và tăng cường kiểm soát dữ liệu đầu vào để ngăn ngừa các cuộc tấn công tương tự.
Theo Cyber Press