Một lỗ hổng CVE nghiêm trọng trong các cổng bảo mật email Libraesva ESG đã được phát hiện. Lỗ hổng này cho phép kẻ tấn công thực thi các lệnh tùy ý thông qua các tệp đính kèm email nén được chế tạo đặc biệt.

Phân Tích Sâu về Lỗ Hổng CVE-2025-59689

Lỗ hổng CVE này, được định danh là CVE-2025-59689, ảnh hưởng đến các phiên bản Libraesva ESG từ 4.5 trở lên. Đáng chú ý, đã có báo cáo về việc các tác nhân nhà nước nước ngoài đã và đang tích cực khai thác lỗ hổng CVE này trong thực tế.

Nguồn Gốc và Cơ Chế Khai Thác

Nguyên nhân gốc rễ của lỗ hổng CVE này nằm ở việc hệ thống Libraesva ESG không thực hiện quy trình làm sạch (sanitization) đúng cách. Cụ thể, trong quá trình loại bỏ mã độc hại tiềm ẩn khỏi các tệp nằm trong các định dạng lưu trữ nén, hệ thống đã không xác thực chính xác các tham số đầu vào.

Khi xử lý một số loại tệp đính kèm nén nhất định, hệ thống Libraesva ESG mắc lỗi trong việc xác thực dữ liệu đầu vào. Điều này tạo ra một cơ hội cho các cuộc tấn công command injection.

Kẻ tấn công có thể lợi dụng sơ hở này bằng cách gửi email chứa các tệp nén được chế tạo đặc biệt. Các tệp tin độc hại bên trong các kho lưu trữ này được xây dựng để thao túng logic làm sạch của ứng dụng, từ đó vượt qua các kiểm soát bảo mật hiện có.

Sau khi quy trình làm sạch bị qua mặt, các tác nhân đe dọa có khả năng thực thi các lệnh shell tùy ý trên hệ thống bị ảnh hưởng. Các lệnh này được chạy dưới tài khoản người dùng không có đặc quyền.

Tầm Ảnh Hưởng đến Hệ Thống và Vượt Qua Sandbox

Lỗ hổng CVE này đặc biệt nhắm vào chức năng xử lý tệp lưu trữ của công cụ quét email. Khi hệ thống cố gắng quét các tệp đính kèm nén để tìm nội dung độc hại, việc xử lý không đúng cách các định dạng lưu trữ nhất định cho phép các lệnh nhúng thoát khỏi môi trường bảo mật (security sandbox) và thực thi trên hệ thống cơ bản.

Điều này đồng nghĩa với việc, mặc dù ban đầu các lệnh được thực thi dưới tài khoản không có đặc quyền, khả năng kiểm soát hệ thống của kẻ tấn công vẫn rất đáng kể. Từ đó, chúng có thể tiến hành các bước tiếp theo như leo thang đặc quyền hoặc trích xuất dữ liệu.

Phản Ứng Nhanh Chóng và Triển Khai Bản Vá Bảo Mật của Libraesva

Libraesva đã phản ứng khẩn cấp bằng việc phát hành các bản vá trên nhiều phiên bản sản phẩm. Điều này thể hiện sự nghiêm túc trong việc xử lý lỗ hổng CVE được phát hiện.

• Người dùng ESG 5.0 cần nâng cấp lên phiên bản 5.0.31.
• ESG 5.1 yêu cầu phiên bản 5.1.20.
• Khách hàng ESG 5.2 cần phiên bản 5.2.31.
• ESG 5.3 yêu cầu 5.3.16.
• ESG 5.4 cần 5.4.8.
• ESG 5.5 yêu cầu phiên bản 5.5.7.

Công ty đã triển khai một hệ thống tự động để phân phối các bản vá. Các bản sửa lỗi đã được đưa đến tất cả các cài đặt ESG 5.x trong vòng 17 giờ kể từ khi phát hiện. Điều này cho thấy sự linh hoạt và hiệu quả trong quy trình phản ứng của Libraesva.

Đối với khách hàng sử dụng dịch vụ đám mây, các bản cập nhật đã được áp dụng tự động mà không yêu cầu bất kỳ hành động nào. Các cài đặt tại chỗ (on-premise) phiên bản 5.x cũng nhận được các bản vá tự động thông qua kênh cập nhật.

Các Biện Pháp Khắc Phục Toàn Diện

Phản ứng nhanh chóng của Libraesva bao gồm việc triển khai một bản vá toàn diện. Bản vá này không chỉ chứa bản sửa lỗi làm sạch cốt lõi mà còn tích hợp các tính năng quan trọng khác:

• Quét tự động để tìm kiếm các chỉ số xâm nhập (Indicators of Compromise – IoC).
• Một mô-đun tự đánh giá để xác minh tính toàn vẹn của bản vá và phát hiện các mối đe dọa còn sót lại.

Các khách hàng đang sử dụng các phiên bản cũ 4.x, hiện đã hết hạn hỗ trợ (end-of-support), bắt buộc phải nâng cấp thủ công lên phiên bản 5.x. Chỉ khi đó, họ mới có thể nhận được sự bảo vệ cần thiết trước lỗ hổng CVE nguy hiểm này.

Bối Cảnh Khai Thác Thực Tế Lỗ Hổng

Libraesva đã xác nhận một sự cố khai thác tích cực lỗ hổng CVE này. Vụ việc được quy cho một thực thể nhà nước thù địch nước ngoài. Điều này nhấn mạnh mức độ nghiêm trọng và tính cấp bách của mối đe dọa.

Sự chính xác của cuộc tấn công và việc chỉ tập trung vào một thiết bị cụ thể cho thấy các tác nhân đe dọa là những đối tượng tinh vi. Họ đã nhắm mục tiêu cụ thể vào lỗ hổng CVE này cho các mục đích chiến lược, không phải là một cuộc tấn công ngẫu nhiên.

Việc phát hiện và xử lý kịp thời lỗ hổng CVE-2025-59689 là bài học quan trọng về tầm quan trọng của việc cập nhật hệ thống và phản ứng nhanh chóng trước các mối đe dọa an ninh mạng ngày càng phức tạp.