Hai lỗ hổng CVE nghiêm trọng trong cách 7-Zip xử lý các tệp lưu trữ ZIP đã được phát hiện, cho phép kẻ tấn công từ xa thực thi mã tùy ý thông qua việc khai thác các lỗi directory traversal.

Cả hai vấn đề đều xuất phát từ việc xử lý không đúng cách các liên kết tượng trưng (symbolic links) trong tệp ZIP, cho phép các kho lưu trữ được tạo sẵn buộc hệ thống đi vào các vị trí ngoài ý muốn và cuối cùng chạy mã trong ngữ cảnh của các dịch vụ dễ bị tổn thương.

Phân tích các lỗ hổng CVE nghiêm trọng trong 7-Zip

Chi tiết về CVE-2025-11002 và CVE-2025-11001

Các nhà nghiên cứu bảo mật đã công bố hai lỗ hổng CVE liên quan, được theo dõi là CVE-2025-11002 (ZDI-25-950, ZDI-CAN-26743) và CVE-2025-11001 (ZDI-25-949, ZDI-CAN-26753).

Các lỗ hổng này được mô tả chi tiết trong các bản tư vấn của Zero Day Initiative. Để biết thêm thông tin về CVE-2025-11002, bạn có thể tham khảo tại ZDI-25-950.

Cả hai lỗ hổng CVE đều liên quan đến việc xử lý các liên kết tượng trưng bên trong các tệp ZIP độc hại. Kẻ tấn công có thể tạo một tệp ZIP chứa các liên kết tượng trưng được thiết kế để vượt qua các ranh giới thư mục dự kiến của trình cài đặt hoặc giải nén.

Khi 7-Zip xử lý các kho lưu trữ như vậy, nó vô tình theo các liên kết tượng trưng này để ghi vào các thư mục bên ngoài đường dẫn giải nén ban đầu. Đây là bản chất của lỗi directory traversal.

Cơ chế Khai thác và Ảnh hưởng

Lỗ hổng directory traversal có thể bị lợi dụng để ghi đè lên các tệp tùy ý hoặc đặt các payload độc hại vào các vị trí nhạy cảm trên hệ thống.

Các payload này sau đó có thể được thực thi bởi các dịch vụ tương tác hoặc các tác vụ theo lịch trình (scheduled tasks), dẫn đến remote code execution (thực thi mã từ xa).

Việc khai thác không yêu cầu đặc quyền người dùng và chỉ cần tương tác tối thiểu, chẳng hạn như mở hoặc giải nén kho lưu trữ trong một môi trường bị xâm nhập.

Mã khai thác (Proof-of-concept) minh họa việc tạo một kho lưu trữ ZIP với một mục liên kết tượng trưng được đặt tên đặc biệt, ví dụ:

../../../../windows/system32/malicious.dll

Liên kết này trỏ đến một tệp do kẻ tấn công kiểm soát. Khi dịch vụ chạy dưới tài khoản SYSTEM thực hiện giải nén, tệp DLL độc hại sẽ được đặt vào thư mục System32.

Một yêu cầu tải thư viện đó sau đó, ví dụ thông qua một plugin hoặc tác vụ theo lịch trình, sẽ dẫn đến remote code execution với đặc quyền nâng cao (elevated privileges).

Biện pháp Giảm thiểu và Khắc phục

Cập nhật và Vá lỗi

Phiên bản 7-Zip 25.00 đã khắc phục cả hai lỗ hổng CVE này bằng cách tăng cường canonicalization đường dẫn an toàn và chặn các liên kết tượng trưng thoát khỏi thư mục giải nén dự kiến.

Các quản trị viên hệ thống được khuyến nghị nâng cấp ngay lập tức lên phiên bản 7-Zip mới nhất để áp dụng bản vá bảo mật này.

Các lỗ hổng đã được báo cáo cho nhà cung cấp vào ngày 2025-05-02, với bản tư vấn công khai phối hợp được phát hành và cập nhật vào ngày 2025-10-07.

Kiểm tra và Giám sát Hệ thống

Các nhóm bảo mật nên kiểm tra các hệ thống tự động xử lý các tệp ZIP, đặc biệt trong các giải pháp chia sẻ tệp doanh nghiệp và sao lưu tự động.

Việc triển khai làm sạch thư mục nghiêm ngặt (strict directory sanitization) hoặc vô hiệu hóa giải nén tự động trong các ngữ cảnh không đáng tin cậy có thể giảm thiểu khả năng khai thác trước khi triển khai bản vá.

Các tổ chức dựa vào giải nén ZIP tự động nên xem xét nhật ký để tìm kiếm các mẫu directory traversal bất thường. Kịp thời triển khai phiên bản 7-Zip 25.00 đã vá lỗi để ngăn chặn nguy cơ bị xâm nhập.

Giám sát liên tục các dịch vụ xử lý tệp và thực thi xác thực đầu vào nghiêm ngặt vẫn là các biện pháp phòng thủ thiết yếu chống lại các cuộc tấn công dựa trên ZIP tương tự. Đây là một cảnh báo CVE cần được ưu tiên.

Chỉ số Nhận diện Tấn công (Indicators of Compromise – IoC)

Các chỉ số nhận diện tấn công (IoC) liên quan đến các lỗ hổng CVE này bao gồm:

• Sự hiện diện bất thường của các tệp DLL hoặc tệp thực thi trong các thư mục được bảo vệ sau khi giải nén kho lưu trữ.
• Các mục ZIP đáng ngờ chứa các chuỗi directory traversal quá mức (ví dụ: `../../`).