Một lỗ hổng CVE nghiêm trọng (CVE-2025-26399) đã được phát hiện trong SolarWinds Web Help Desk (WHD). Lỗ hổng này cho phép kẻ tấn công leo quyền và thực thi mã tùy ý trên các hệ thống bị ảnh hưởng. Đây là một rủi ro bảo mật cao, có khả năng dẫn đến việc chiếm quyền kiểm soát hoàn toàn hệ thống và dữ liệu nhạy cảm.

SolarWinds đã nhanh chóng phát hành Web Help Desk 12.8.7 Hotfix 1 để khắc phục sự cố. Các quản trị viên được khuyến nghị cài đặt bản vá này ngay lập tức để ngăn chặn khai thác và bảo vệ các bảng điều khiển quản lý khỏi truy cập trái phép.

Chi tiết kỹ thuật về lỗ hổng CVE-2025-26399

Bản chất và cơ chế khai thác của lỗ hổng CVE

CVE-2025-26399 là một lỗ hổng deserialization nằm trong thành phần AjaxProxy của SolarWinds Web Help Desk. Lỗ hổng này ảnh hưởng đến các cài đặt WHD phiên bản 12.8.7 chưa được vá lỗi.

Một kẻ tấn công không cần xác thực có thể gửi các yêu cầu được chế tạo đặc biệt. Các yêu cầu này có khả năng bỏ qua các bản vá hiện có, dẫn đến kích hoạt remote code execution (RCE) trên máy chủ đang chạy ứng dụng Web Help Desk.

Thành công trong việc khai thác lỗ hổng này cấp cho kẻ tấn công quyền hạn tương tự như tài khoản dịch vụ WHD. Điều này bao gồm khả năng kiểm soát hành chính đầy đủ đối với dữ liệu phiếu ghi (ticketing data), thông tin xác thực người dùng và cấu hình hệ thống.

Thông tin chi tiết về lỗ hổng CVE-2025-26399 có thể được tìm thấy trên National Vulnerability Database (NVD).

Mối liên hệ với các lỗ hổng trước đây

Điều đáng chú ý là CVE-2025-26399 là một bản vá bỏ qua (patch bypass) các lỗ hổng trước đó: CVE-2024-28988 và CVE-2024-28986. Điều này có nghĩa là các môi trường đã áp dụng các bản vá cho hai lỗ hổng này vẫn có nguy cơ bị tấn công.

Các hệ thống này sẽ tiếp tục dễ bị tấn công cho đến khi Hotfix 1 được cài đặt đầy đủ. Việc này nhấn mạnh tầm quan trọng của việc cập nhật toàn diện và kịp thời cho các hệ thống WHD.

Tác động tiềm tàng và rủi ro bảo mật

Khả năng khai thác lỗ hổng CVE này có thể dẫn đến nhiều hậu quả nghiêm trọng. Các hậu quả bao gồm đánh cắp dữ liệu nhạy cảm, gián đoạn cơ sở hạ tầng mạng, và khả năng di chuyển ngang (lateral movement) trong các mạng lưới doanh nghiệp.

Do mức độ nghiêm trọng cao và tiềm năng ảnh hưởng lớn đến hoạt động kinh doanh, lỗ hổng CVE-2025-26399 cần được ưu tiên hàng đầu trong công tác bảo mật. Việc bỏ qua việc cập nhật bản vá có thể gây ra những thiệt hại không thể phục hồi cho tổ chức.

Hướng dẫn cập nhật bản vá SolarWinds Web Help Desk 12.8.7 Hotfix 1

Quy trình cài đặt Hotfix 1

SolarWinds đã phát hành Web Help Desk 12.8.7 Hotfix 1 vào ngày 23 tháng 9 năm 2025. Bản cập nhật này có nhiệm vụ thay thế các tệp JAR dễ bị tổn thương và bổ sung một thành phần mới để tăng cường bảo mật.

Các tệp JAR bị ảnh hưởng nằm trong thư mục <WebHelpDesk>/bin/webapps/helpdesk/WEB-INF/lib/. Quy trình thực hiện bản cập nhật bản vá yêu cầu sự cẩn trọng và tuân thủ các bước sau:

• Sao lưu (Backup): Trước khi tiến hành bất kỳ thay đổi nào, quản trị viên phải sao lưu các tệp hiện có. Các tệp cần sao lưu bao gồm c3p0.jar, whd-core.jar, whd-web.jar và whd-persistence.jar.
• Xóa tệp cũ: Xóa các phiên bản lỗi thời của các tệp JAR đã sao lưu khỏi thư mục đã nêu trên.
• Sao chép tệp mới: Sao chép các tệp JAR được cung cấp trong gói hotfix vào cùng thư mục. Bản cập nhật cũng bổ sung một thành phần mới là HikariCP.jar.
• Khởi động lại dịch vụ: Sau khi hoàn tất việc thay thế tệp, hãy khởi động lại dịch vụ Web Help Desk để áp dụng bản vá.

Khách hàng đã cài đặt bản phát hành 12.8.7 gốc bắt buộc phải tải xuống và áp dụng Hotfix 1. Điều này là để khắc phục hoàn toàn lỗ hổng CVE-2025-26399 và các lỗ hổng liên quan.

Chi tiết cấu hình và lệnh CLI minh họa

Mặc dù SolarWinds không cung cấp lệnh CLI cụ thể cho việc thay thế tệp trong môi trường này, các bước có thể được thực hiện thủ công hoặc thông qua tập lệnh cơ bản. Các quản trị viên cần xác định đúng đường dẫn cài đặt của WHD.

Ví dụ về các tệp JAR cần xử lý:

/path/to/WebHelpDesk/bin/webapps/helpdesk/WEB-INF/lib/c3p0.jar
/path/to/WebHelpDesk/bin/webapps/helpdesk/WEB-INF/lib/whd-core.jar
/path/to/WebHelpDesk/bin/webapps/helpdesk/WEB-INF/lib/whd-web.jar
/path/to/WebHelpDesk/bin/webapps/helpdesk/WEB-INF/lib/whd-persistence.jar
/path/to/WebHelpDesk/bin/webapps/helpdesk/WEB-INF/lib/HikariCP.jar (mới)

Quy trình thực hiện giả định (trên hệ thống Linux/Unix):

# Ngừng dịch vụ Web Help Desk để đảm bảo các tệp không bị khóa
sudo systemctl stop solarwinds-whd

# Tạo thư mục sao lưu với dấu thời gian
sudo mkdir -p /opt/solarwinds/WHD_backup_$(date +%Y%m%d_%H%M%S)

# Xác định đường dẫn gốc của Web Help Desk (thay đổi nếu cần)
export WHD_HOME="/opt/solarwinds/WebHelpDesk"
export BACKUP_DIR="/opt/solarwinds/WHD_backup_$(date +%Y%m%d_%H%M%S)"
export LIB_DIR="${WHD_HOME}/bin/webapps/helpdesk/WEB-INF/lib"
export HOTFIX_PACKAGE_DIR="/tmp/WHD_Hotfix1_package" # Giả sử hotfix đã được giải nén tại đây

# Sao lưu các tệp JAR hiện có
sudo cp ${LIB_DIR}/c3p0.jar ${BACKUP_DIR}/
sudo cp ${LIB_DIR}/whd-core.jar ${BACKUP_DIR}/
sudo cp ${LIB_DIR}/whd-web.jar ${BACKUP_DIR}/
sudo cp ${LIB_DIR}/whd-persistence.jar ${BACKUP_DIR}/

# Xóa các tệp JAR cũ khỏi thư mục LIB
sudo rm ${LIB_DIR}/c3p0.jar
sudo rm ${LIB_DIR}/whd-core.jar
sudo rm ${LIB_DIR}/whd-web.jar
sudo rm ${LIB_DIR}/whd-persistence.jar

# Sao chép các tệp JAR mới từ gói hotfix vào thư mục LIB
sudo cp ${HOTFIX_PACKAGE_DIR}/c3p0.jar ${LIB_DIR}/
sudo cp ${HOTFIX_PACKAGE_DIR}/whd-core.jar ${LIB_DIR}/
sudo cp ${HOTFIX_PACKAGE_DIR}/whd-web.jar ${LIB_DIR}/
sudo cp ${HOTFIX_PACKAGE_DIR}/whd-persistence.jar ${LIB_DIR}/
sudo cp ${HOTFIX_PACKAGE_DIR}/HikariCP.jar ${LIB_DIR}/

# Khởi động lại dịch vụ Web Help Desk để áp dụng các thay đổi
sudo systemctl start solarwinds-whd

# Kiểm tra trạng thái dịch vụ để xác nhận hoạt động bình thường
sudo systemctl status solarwinds-whd

Hướng dẫn cài đặt chi tiết và các hướng dẫn nâng cấp bổ sung có sẵn trong tài liệu của SolarWinds. Có thể tham khảo trực tiếp từ ghi chú phát hành chính thức của SolarWinds để đảm bảo tuân thủ đầy đủ và chính xác các bước.

Khuyến nghị bảo mật và giám sát liên tục

Các quản trị viên nên coi lỗ hổng CVE-2025-26399 là một ưu tiên hàng đầu do điểm số mức độ nghiêm trọng cao và tác động tiềm tàng của remote code execution. Việc này rất quan trọng đối với các hoạt động kinh doanh và bảo toàn dữ liệu.

Thực hiện giám sát thường xuyên các thông báo bảo mật từ SolarWinds là cần thiết. Việc áp dụng kịp thời các bản vá nóng sẽ giúp duy trì an ninh và tính toàn vẹn cho các triển khai Web Help Desk, chống lại các lỗ hổng CVE mới.

Đảm bảo một chiến lược an ninh mạng mạnh mẽ. Điều này bao gồm việc liên tục đánh giá các rủi ro và áp dụng các biện pháp phòng ngừa cần thiết. Qua đó, giúp bảo vệ hệ thống khỏi các mối đe dọa đang phát triển, kể cả những lỗ hổng zero-day.