Axis Communications, một nhà cung cấp hàng đầu về giải pháp video mạng và giám sát, đã xác nhận một lỗ hổng Axis Revit plugin nghiêm trọng trong phần mềm bổ trợ Autodesk® Revit® của mình. Lỗ hổng này đã làm lộ thông tin đăng nhập tài khoản lưu trữ Azure bên trong các DLL đã ký.

Được phát hiện vào tháng 7 năm 2024 bởi Zero Day Initiative™ (ZDI) của Trend Micro, lỗ hổng này cho phép kẻ tấn công truy cập và thao túng các tài sản đám mây thuộc về Axis cũng như các khách hàng của họ. Đây là một rủi ro bảo mật đáng kể, tiềm ẩn nguy cơ gây tổn hại đến chuỗi cung ứng phần mềm và dữ liệu.

Phân tích Lỗ hổng Axis Revit Plugin: Chi tiết Kỹ thuật

Phát hiện ban đầu và rò rỉ thông tin đăng nhập

Vào ngày 8 tháng 7 năm 2024, các nhà nghiên cứu của ZDI đã xác định một thư viện liên kết động (DLL) được ký số, có tên AzureBlobRestAPI.dll. Thư viện này được đóng gói trong AXIS Plugin dành cho Autodesk Revit. Điều đáng chú ý là DLL này, được ký bởi AEC Advanced Engineering Computation AB – một đối tác của Axis – lại chứa các mã thông báo Azure Shared Access Signature (SAS) và cặp khóa truy cập ở dạng văn bản rõ ràng.

Các khóa này được tìm thấy dành cho hai tài khoản lưu trữ cụ thể: axisfiles và axiscontentfiles. Việc nhúng thông tin đăng nhập hợp lệ trực tiếp vào một phương thức riêng tư của mã DLL cho phép bất kỳ người dùng nào cài đặt plugin có thể kiểm soát hoàn toàn các tài khoản lưu trữ này.

Khả năng kiểm soát bao gồm quyền đọc, ghi và sửa đổi các tài nguyên được lưu trữ. Sự tồn tại của thông tin đăng nhập rõ ràng trong một thành phần phần mềm đã ký là một vi phạm nghiêm trọng các thực tiễn bảo mật. Chi tiết về lỗ hổng này đã được ZDI công bố trong cảnh báo ZDI-24-1181.

Phạm vi tác động của lỗ hổng

Điều tra sâu hơn tiết lộ rằng cả hai tài khoản lưu trữ bị lộ đều là nơi lưu trữ các trình cài đặt MSI cho plugin Revit của Axis. Ngoài ra, chúng còn chứa các tệp mô hình RFA độc quyền dành cho nhiều sản phẩm của Axis, bao gồm camera IP và hệ thống radar. Những tệp này rất quan trọng đối với các kiến trúc sư và kỹ sư trong quy trình mô hình hóa thông tin xây dựng (BIM).

Do các trình cài đặt và tệp RFA này được phân phối công khai qua các tài khoản lưu trữ bị lộ, bất kỳ kẻ tấn công nào cũng có thể dễ dàng tải xuống các trình cài đặt đó. Tương tự, chúng có thể giả mạo các tệp mô hình được sử dụng rộng rãi bởi các chuyên gia trong ngành xây dựng. Điều này tạo ra một vectơ tấn công tiềm tàng nghiêm trọng, ảnh hưởng đến độ tin cậy của tài sản kỹ thuật số được phân phối.

Quá trình Vá lỗi và các Thách thức đối với Lỗ hổng Axis Revit Plugin

Các bản vá ban đầu không hiệu quả

Sau khi nhận được thông tin tiết lộ về lỗ hổng, Axis đã phản ứng bằng cách phát hành phiên bản plugin 25.3.710. Bản cập nhật này nhằm mục đích che giấu thông tin đăng nhập thông qua kỹ thuật làm rối mã nguồn .NET (obfuscation).

Tuy nhiên, các nhà nghiên cứu đã nhanh chóng phát hiện ra rằng các công cụ de-obfuscation phổ biến như de4dot có thể dễ dàng khôi phục lại các mã thông báo SAS và khóa truy cập ban đầu từ phiên bản đã bị làm rối. Sự thất bại trong việc bảo vệ thông tin đăng nhập đã dẫn đến việc ban hành thêm các cảnh báo ZDI-24-1328 và ZDI-24-1329, nhấn mạnh tính nghiêm trọng của vấn đề.

Nỗ lực vá lỗi tiếp theo và những lỗ hổng còn sót lại

Để giải quyết tình hình, Axis tiếp tục phát hành phiên bản 25.3.711. Trong phiên bản này, các khóa truy cập tài khoản lưu trữ đã bị loại bỏ hoàn toàn, và thay vào đó, một mã thông báo SAS chỉ đọc mới được nhúng cho một tài khoản lưu trữ khác. Động thái này nhằm giảm thiểu đặc quyền truy cập bị lộ.

Mặc dù phiên bản 25.3.711 đã giảm bớt các quyền hạn, mã thông báo chỉ đọc mới vẫn cho phép kẻ tấn công liệt kê và truy xuất các trình cài đặt MSI từ các phiên bản plugin trước đó. Đáng báo động là một số trình cài đặt MSI cũ này vẫn chứa các thông tin đăng nhập gốc với quyền hạn đầy đủ và không bị giới hạn.

Giải pháp cuối cùng và áp dụng Least Privilege

Cảnh báo cuối cùng từ ZDI, ZDI-25-858, đã thúc đẩy Axis thực hiện một giải pháp triệt để hơn. Họ đã thu hồi tất cả các khóa tài khoản lưu trữ gốc bị ảnh hưởng và phát hành phiên bản 25.3.718 vào tháng 3 năm 2025.

Bản cập nhật quan trọng này đã loại bỏ hoàn toàn mọi thông tin đăng nhập nhúng trong plugin. Đồng thời, nó đã áp dụng và thực thi nghiêm ngặt nguyên tắc đặc quyền tối thiểu (least-privilege access). Điều này đảm bảo rằng chỉ những khách hàng được ủy quyền mới có thể tải xuống các tài sản plugin và tệp mô hình cần thiết, qua đó khắc phục triệt để lỗ hổng Axis Revit plugin.

Axis cũng đã chủ động loại bỏ tất cả các phiên bản plugin dễ bị tổn thương khỏi cơ sở hạ tầng lưu trữ của mình. Họ cũng đã thông báo kịp thời cho các đối tác bị ảnh hưởng để đảm bảo họ nâng cấp lên phiên bản an toàn nhất ngay lập lập tức.

Tác động Tiềm tàng: Remote Code Execution và Rủi ro Chuỗi Cung ứng

Lỗ hổng parser RFA và kịch bản khai thác RCE

Bên cạnh việc rò rỉ thông tin đăng nhập, các nhà nghiên cứu ZDI cũng đã kiểm tra các hậu quả tiềm tàng khi các tệp RFA bị xâm nhập. Các tệp họ Revit (Revit family files) đóng vai trò là đầu vào cơ bản cho mô hình 3D và có lịch sử dễ bị tổn thương bởi các lỗ hổng parser (bộ phân tích cú pháp).

Trend ZDI đã phát hiện một số lỗ hổng trong cơ chế xử lý tệp RFA của Revit. Những lỗ hổng này có thể bị khai thác để cho phép remote code execution (thực thi mã từ xa). Kịch bản này có thể xảy ra nếu một kẻ tấn công thành công trong việc thay thế các tệp mô hình hợp pháp bằng các biến thể độc hại, sau đó lưu trữ chúng trên các tài khoản lưu trữ của Axis.

Nguy cơ tấn công chuỗi cung ứng

Một chuỗi khai thác thành công từ lỗ hổng này có thể dẫn đến một cuộc tấn công chuỗi cung ứng (supply chain compromise) diện rộng. Điều này sẽ xảy ra khi các trình cài đặt plugin độc hại hoặc các tệp RFA bị thay đổi được phân phối đến và cài đặt trên hệ thống của các công ty kỹ thuật trên toàn thế giới.

Sự cố này có những điểm tương đồng đáng kể với trường hợp năm 2023 liên quan đến công cụ PC Manager của Microsoft, nơi việc lộ mã thông báo SAS đã cho phép kẻ tấn công kiểm soát hoàn toàn các gói WinGet, tên miền phụ và dịch vụ rút gọn URL.

Cả hai trường hợp đều là minh chứng rõ ràng cho việc các tệp nhị phân đã ký số không phải lúc nào cũng là đảm bảo tuyệt đối về bảo mật. Việc lộ thông tin đăng nhập trong cơ sở hạ tầng hướng tới khách hàng có thể đóng vai trò là bàn đạp lý tưởng cho các cuộc tấn công nhiều giai đoạn, phức tạp hơn.

Biện pháp Khuyến nghị và Phòng ngừa Rủi ro Bảo mật

Axis Communications đã vá hoàn toàn lỗ hổng với phiên bản 25.3.718, cung cấp một giải pháp khắc phục triệt để cho lỗ hổng Axis Revit plugin.

Tuy nhiên, trường hợp này một lần nữa nêu bật sự cần thiết phải liên tục xem xét bảo mật đối với các plugin và phần mềm của bên thứ ba. Các tổ chức cần tuân thủ nghiêm ngặt nguyên tắc đặc quyền tối thiểu cho thông tin đăng nhập đám mây và thực hiện bảo vệ phân tích định dạng tệp nghiêm ngặt để giảm thiểu rủi ro từ các lỗ hổng parser.

Để ngăn chặn các cuộc khai thác chuỗi cung ứng và rò rỉ dữ liệu Azure tương tự, các tổ chức sử dụng cơ chế phân phối đám mây và các tiện ích mở rộng của bên thứ ba phải chủ động xác thực độ tin cậy của nguồn cung cấp. Đồng thời, họ cần triển khai các giải pháp quản lý bí mật (secret management) mạnh mẽ và giám sát chặt chẽ các bất thường trong hệ thống của mình.

Chỉ số Nhận diện (IOCs) liên quan

Các chỉ số sau đây liên quan đến các tài khoản lưu trữ bị ảnh hưởng trong vụ việc này:

• Tên tài khoản lưu trữ bị lộ:axisfiles, axiscontentfiles
• Tên tệp DLL chứa thông tin đăng nhập:AzureBlobRestAPI.dll