Elastic vừa phát hành một bản cập nhật bảo mật quan trọng cho Elastic Cloud Enterprise (ECE) để giải quyết một lỗ hổng CVE nghiêm trọng. Lỗ hổng này liên quan đến việc injection vào template engine, cho phép kẻ tấn công có quyền quản trị thực thi các lệnh tùy ý và đánh cắp dữ liệu nhạy cảm. Đây là một cảnh báo CVE cần được ưu tiên xử lý ngay lập tức.

Lỗ hổng CVE-2025-37729: Chi tiết kỹ thuật và Tác động

Lỗ hổng bảo mật này được theo dõi dưới mã định danh CVE-2025-37729 và được đánh giá mức độ nghiêm trọng CVSS 9.1 (Critical). Đây là một CVE nghiêm trọng ảnh hưởng đến các phiên bản Elastic Cloud Enterprise (ECE).

Bản chất của lỗ hổng

Nguyên nhân gốc rễ của lỗ hổng nằm ở việc xử lý không đúng các yếu tố đặc biệt trong ngữ cảnh của template engine. Cụ thể, nó xảy ra khi các biến Jinjava được đánh giá.

Một quản trị viên ECE đã xác thực có thể tạo ra các payload độc hại trong các kế hoạch triển khai (deployment plans) được gửi đi. Những payload này sẽ được đánh giá, từ đó cho phép thực thi mã độc.

Điều kiện khai thác và tác động

Để khai thác lỗ hổng này, kẻ tấn công cần hai điều kiện:

• Truy cập vào bảng điều khiển quản trị ECE.
• Truy cập vào một deployment đã bật tính năng Logging+Metrics.

Khi Logging+Metrics được bật, đầu ra của các lệnh có thể được đọc lại thông qua các log đã được ingest. Điều này biến nền tảng thành một kênh phản hồi cho các lệnh của kẻ tấn công và dữ liệu bị đánh cắp.

Mặc dù yêu cầu về đặc quyền khá cao (cần quyền quản trị), tác động của lỗ hổng này là cực kỳ nghiêm trọng. Điều này được thể hiện rõ qua vector CVSS: AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H.

Vector này chỉ ra rằng một kẻ tấn công có thể truy cập mạng với quyền quản trị không cần tương tác với người dùng để tấn công leo thang (pivot), thực thi lệnh và có khả năng gây ảnh hưởng đến nhiều thành phần thông qua mặt phẳng điều khiển (control plane). Khả năng remote code execution là mối nguy lớn nhất.

Phiên bản bị ảnh hưởng và Biện pháp khắc phục

Elastic đã khuyến nghị người dùng thực hiện các bước cần thiết để bảo vệ hệ thống khỏi lỗ hổng CVE này.

Các phiên bản ECE dễ bị tổn thương

Lỗ hổng CVE-2025-37729 ảnh hưởng đến các phiên bản Elastic Cloud Enterprise (ECE) từ 2.5.0 đến 3.8.1 và từ 4.0.0 đến 4.0.1.

Khuyến nghị cập nhật bản vá

Người dùng được khuyến nghị nâng cấp ngay lập tức lên ECE 3.8.2 hoặc 4.0.2. Hiện tại, không có giải pháp tạm thời (workaround) nào khả dụng cho các phiên bản dễ bị tổn thương.

Elastic khuyến cáo khách hàng nên nâng cấp lên các bản phát hành đã được sửa lỗi mà không chậm trễ. Không có các biện pháp giảm thiểu hoặc cấu hình thay thế cho các phiên bản bị ảnh hưởng. Thông tin chi tiết có thể được tìm thấy trong thông báo bảo mật của Elastic: ESA-2025-21.

Việc không thực hiện cập nhật bản vá có thể dẫn đến rủi ro bảo mật cao.

Phát hiện và Giảm thiểu rủi ro

Đối với lỗ hổng CVE này, việc phát hiện sớm và triển khai các biện pháp giảm thiểu là rất quan trọng.

Phương pháp phát hiện

Elastic khuyến nghị giám sát nhật ký yêu cầu (request logs) để tìm kiếm các tên payload độc hại. Sử dụng truy vấn sau để phát hiện các dấu hiệu lạm dụng đường dẫn đánh giá Jinjava cho injection mã và thực thi lệnh:

(payload.name : int3rpr3t3r or payload.name : forPath)

Ngoài ra, các quản trị viên cũng nên xem xét lại các nhật ký cũ để tìm kiếm các kế hoạch triển khai đáng ngờ và đầu ra tác vụ không mong muốn trong các pipeline Logging+Metrics.

Các bước giảm thiểu tức thời

Các tổ chức đang vận hành ECE cần ưu tiên việc vá lỗi. Đồng thời, cần xác thực rằng quyền truy cập quản trị viên được hạn chế và được kiểm toán đầy đủ.

Nếu không thể nâng cấp ngay lập tức vì lý do vận hành, hãy tạm thời tắt tính năng Logging+Metrics trên các triển khai có rủi ro cao. Điều này sẽ giúp giảm thiểu nguy cơ khai thác lỗ hổng CVE cho đến khi có thể áp dụng bản vá bảo mật.