Một lỗ hổng CVE nghiêm trọng đã được phát hiện trong công cụ chia sẻ tệp tin phổ biến ZendTo. Lỗ hổng này cho phép người dùng đã xác thực thực hiện tấn công path traversal, từ đó truy cập hoặc chỉnh sửa các tệp nhạy cảm của người dùng khác hoặc hệ thống. Việc này đặt ra một rủi ro bảo mật đáng kể cho các tổ chức sử dụng ZendTo để truyền tải dữ liệu lớn.

Phân tích Lỗ hổng CVE trong ZendTo: CVE-2025-34508

Lỗ hổng này được theo dõi dưới mã định danh CVE-2025-34508 và ảnh hưởng đến các phiên bản ZendTo 6.15-7 và cũ hơn. Với mức độ nghiêm trọng cao, kẻ tấn công có thể khai thác vấn đề này để đọc nhật ký máy chủ, dữ liệu người dùng, hoặc thậm chí là các tệp cấu hình và ứng dụng quan trọng. Đây là một lỗ hổng CVE điển hình về thiếu sót trong việc xử lý đường dẫn đầu vào.

ZendTo được thiết kế như một giải pháp an toàn để người dùng gửi và nhận các tệp có dung lượng lớn thông qua giao diện web. Trong quá trình tải lên tệp, ứng dụng sử dụng hai tham số quan trọng: chunkName và tmp_name. Cách ZendTo xử lý các tham số này là nguyên nhân cốt lõi gây ra lỗ hổng.

Cơ chế khai thác Path Traversal: Lỗ hổng trong xử lý tham số

Theo thiết kế ban đầu, tham số chunkName được tạo ra bởi các script phía client và được dự kiến sẽ được làm sạch (sanitized) để chỉ chứa các ký tự chữ và số hợp lệ. Mục đích là để đảm bảo an toàn cho tên tệp và đường dẫn tương đối. Tuy nhiên, một kịch bản ít được tính đến là khi chunkName hoàn toàn không chứa bất kỳ ký tự chữ và số nào. Trong trường hợp này, mã nguồn của ZendTo sẽ quay về sử dụng thư mục tải lên cơ sở mặc định.

Bước tiếp theo và cũng là mấu chốt của lỗ hổng CVE-2025-34508, là cách ZendTo kết hợp tham số tmp_name với đường dẫn thư mục tải lên mà không thực hiện bất kỳ quá trình làm sạch hay kiểm tra hợp lệ đường dẫn nào. Việc thiếu sót này mở ra cánh cửa cho tấn công path traversal.

Bằng cách cung cấp một giá trị tmp_name được tạo thủ công đặc biệt, ví dụ như /../../log/zendto/zendto.log, kẻ tấn công có thể “đánh lừa” ứng dụng để di chuyển các tệp tùy ý từ bất kỳ vị trí nào trên máy chủ vào thư mục dropoff cá nhân của họ. Khi tệp đã được di chuyển thành công vào thư mục dropoff do kẻ tấn công kiểm soát, nội dung của tệp đó sẽ bị lộ khi kẻ tấn công tải xuống gói dropoff.

Trong các thiết lập ZendTo mặc định, bất kỳ tệp nào mà người dùng máy chủ web có quyền truy cập đều có nguy cơ bị lộ. Điều này bao gồm không chỉ các tệp đã được người dùng hợp pháp tải lên mà còn các tệp nhật ký hệ thống, các tệp cấu hình quan trọng chứa thông tin nhạy cảm, và thậm chí cả các tệp nhị phân của ứng dụng. Một phân tích chuyên sâu về cách thức khai thác lỗ hổng CVE này có thể được tìm thấy tại Horizon3.ai Attack Research.

Kịch bản tấn công và hậu quả tiềm tàng: Từ rò rỉ dữ liệu đến chiếm quyền kiểm soát

Để chứng minh mức độ nguy hiểm của lỗ hổng, một nhà nghiên cứu đã thực hiện một bằng chứng khái niệm (Proof of Concept). Trong đó, họ đã sử dụng giá trị chunkName là . (dấu chấm) và tmp_name là /../../log/zendto/zendto.log. Thao tác này đã thành công trong việc khiến máy chủ di chuyển tệp nhật ký của chính nó vào thư mục dropoff mà kẻ tấn công có thể truy cập.

Sau khi tải xuống tệp nhật ký này, kẻ tấn công đã thu được các định danh nội bộ (internal identifiers) quan trọng. Những định danh này, trong trường hợp của ZendTo, có thể cấp quyền truy cập vào toàn bộ dữ liệu dropoff khác. Điều này có nghĩa là một khi kẻ tấn công có được các định danh này, họ có thể có khả năng truy xuất một cách có hệ thống mọi tệp đã từng được tải lên bởi bất kỳ người dùng hợp pháp nào trong quá khứ và hiện tại. Đây là một kịch bản rò rỉ dữ liệu quy mô lớn, tiềm ẩn nguy cơ cao.

Hậu quả không chỉ dừng lại ở việc rò rỉ dữ liệu nhạy cảm. Kẻ tấn công còn có thể mở rộng cuộc tấn công để nhắm mục tiêu vào cơ sở dữ liệu ZendTo hoặc các tệp phần mềm cốt lõi của ứng dụng. Việc thực hiện các thao tác như xóa, sửa đổi hoặc làm hỏng các tệp và cơ sở dữ liệu này sẽ khiến dịch vụ ZendTo không thể hoạt động được, dẫn đến tình trạng từ chối dịch vụ (Denial of Service – DoS) nghiêm trọng, ảnh hưởng đến hoạt động kinh doanh và uy tín của tổ chức.

Trường hợp của lỗ hổng CVE này một lần nữa nhấn mạnh rằng ngay cả những lỗ hổng ban đầu yêu cầu xác thực người dùng cũng có thể trở nên cực kỳ nguy hiểm và mạnh mẽ khi các cơ chế xác thực đường dẫn hoặc làm sạch đầu vào bị bỏ qua hoặc thực hiện không đúng cách. Do đó, việc hiểu rõ các loại lỗ hổng CVE và cơ chế khai thác của chúng là rất quan trọng đối với các chuyên gia an ninh mạng.

Giải pháp và biện pháp giảm thiểu rủi ro bảo mật

Để khắc phục CVE-2025-34508, ZendTo đã phát hành một bản vá bảo mật quan trọng trong phiên bản 6.15-8. Các quản trị viên hệ thống được khuyến nghị mạnh mẽ cập nhật ngay lập tức lên phiên bản này để loại bỏ lỗ hổng và ngăn chặn truy cập trái phép. Việc trì hoãn cập nhật bản vá bảo mật có thể khiến hệ thống dễ bị tổn thương trước các cuộc tấn công mạng.

Đối với các tổ chức không thể cập nhật ZendTo ngay lập tức vì lý do kỹ thuật hoặc vận hành, việc triển khai các biện pháp giảm thiểu tạm thời là cần thiết. Một trong những biện pháp hiệu quả là hạn chế nghiêm ngặt quyền hệ thống tệp. Đảm bảo rằng người dùng chạy máy chủ web (web server user) không có quyền đọc hoặc di chuyển các tệp bên ngoài thư mục được chỉ định rõ ràng cho ZendTo. Điều này giúp giảm thiểu rủi ro bảo mật ngay cả khi lỗ hổng CVE chưa được vá hoàn toàn.

Ví dụ, kiểm tra và thiết lập quyền truy cập chính xác cho thư mục gốc của ZendTo và các thư mục lưu trữ tệp tải lên. Đảm bảo rằng người dùng chạy tiến trình web server (ví dụ: www-data trên các hệ thống dựa trên Debian/Ubuntu hoặc apache trên các hệ thống dựa trên CentOS/RHEL) chỉ có các quyền tối thiểu cần thiết để vận hành ứng dụng, theo nguyên tắc quyền tối thiểu (principle of least privilege).

Dưới đây là một số lệnh CLI cơ bản có thể được sử dụng để kiểm tra và điều chỉnh quyền (giả định ZendTo được cài đặt tại /var/www/zendto). Lưu ý rằng các lệnh này cần được điều chỉnh cẩn thận tùy theo cấu hình môi trường cụ thể của bạn và chỉ là một phần của giải pháp bảo mật toàn diện:

# Kiểm tra chủ sở hữu và quyền của thư mục ZendTo chính
ls -ld /var/www/zendto

# Kiểm tra chủ sở hữu và quyền của thư mục lưu trữ tệp
ls -ld /var/www/zendto/storage

# Đặt chủ sở hữu đệ quy cho thư mục ZendTo (thay www-data:www-data bằng user:group phù hợp)
sudo chown -R www-data:www-data /var/www/zendto

# Đặt quyền đệ quy cho các thư mục (thư mục: 750, chỉ chủ sở hữu và nhóm có quyền ghi)
sudo find /var/www/zendto -type d -exec chmod 750 {} ;

# Đặt quyền đệ quy cho các tệp (tệp: 640, chỉ chủ sở hữu và nhóm có quyền đọc/ghi)
sudo find /var/www/zendto -type f -exec chmod 640 {} ;

# Có thể cần điều chỉnh thêm cho các tệp script hoặc thực thi cụ thể
# Ví dụ: chmod 755 cho các file script PHP hoặc CGI nếu cần thực thi

Khuyến nghị bảo mật nâng cao và phòng ngừa xâm nhập mạng

• Giám sát chặt chẽ nhật ký máy chủ: Triển khai hệ thống giám sát và phân tích nhật ký (SIEM) để phát hiện bất kỳ hoạt động dropoff tệp đáng ngờ nào, đặc biệt là các yêu cầu truy cập hoặc di chuyển tệp đến các đường dẫn bất thường. Việc này giúp phát hiện xâm nhập mạng sớm.
• Áp dụng phương pháp bảo mật đa tầng (Defense-in-Depth): Xây dựng nhiều lớp bảo vệ. Điều này bao gồm việc luôn xác thực và làm sạch đầu vào người dùng (user inputs) một cách nghiêm ngặt, không chỉ ở phía client mà còn ở phía máy chủ, nơi dữ liệu được xử lý.
• Sử dụng các framework bảo mật và WAF: Triển khai các framework phát triển web có tích hợp các cơ chế bảo mật mạnh mẽ để thực thi chuẩn hóa đường dẫn nghiêm ngặt và ngăn chặn các kiểu tấn công như path traversal. Cân nhắc sử dụng Tường lửa ứng dụng web (WAF) để lọc các yêu cầu độc hại trước khi chúng đến ứng dụng ZendTo.
• Kiểm thử bảo mật định kỳ: Thường xuyên tiến hành xem xét mã nguồn, kiểm tra thâm nhập (penetration testing) và đánh giá lỗ hổng bảo mật (vulnerability assessment) đối với logic tải lên và tải xuống tệp để phát hiện kịp thời các vấn đề về path traversal và các lỗ hổng liên quan. Việc này giúp duy trì an ninh mạng cho hệ thống.

Việc cập nhật bản vá bảo mật là bước cơ bản và quan trọng nhất để bảo vệ hệ thống khỏi lỗ hổng CVE này và đảm bảo an toàn thông tin cho dữ liệu nhạy cảm.