Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng (CISA) đã bổ sung một lỗ hổng CVE nghiêm trọng trong Rapid7 Velociraptor vào danh mục Các lỗ hổng đã bị khai thác (Known Exploited Vulnerabilities – KEV) của mình. CISA cảnh báo rằng các tác nhân đe dọa đang tích cực khai thác lỗ hổng này trong các cuộc tấn công ransomware.

Lỗ hổng này, được theo dõi với mã định danh CVE-2025-6264, đã được thêm vào danh mục KEV vào ngày 14 tháng 10 năm 2025. Các cơ quan liên bang có thời hạn đến ngày 4 tháng 11 để triển khai các biện pháp an ninh cần thiết theo chỉ đạo của CISA.

Hiểu về CVE-2025-6264 và Tác động

Bản chất của Lỗ hổng: Sai quyền mặc định (CWE-276)

Lỗ hổng an ninh này ảnh hưởng đến Rapid7 Velociraptor, một công cụ pháp y số (digital forensics) và ứng phó sự cố (incident response) được các đội ngũ bảo mật sử dụng rộng rãi. Công cụ này thường được dùng để giám sát điểm cuối (endpoint monitoring) và săn lùng mối đe dọa (threat hunting).

Lỗ hổng bắt nguồn từ các quyền mặc định không chính xác (incorrect default permissions), được phân loại theo CWE-276. Điều này cho phép những kẻ tấn công thực thi các lệnh tùy ý và giành quyền kiểm soát hoàn toàn các điểm cuối bị xâm nhập.

Mặc dù việc khai thác yêu cầu kẻ tấn công phải có quyền truy cập ban đầu để thu thập các artifact từ điểm cuối mục tiêu, nhưng ngưỡng truy cập ban đầu này đã không đủ để ngăn chặn việc khai thác tích cực trong các cuộc tấn công mạng thực tế.

Nguy cơ Chiếm quyền Điều khiển và Triển khai Mã độc

Một khi bị khai thác, kẻ tấn công có thể tận dụng quyền truy cập nâng cao của mình để triển khai các payload ransomware. Điều này có thể dẫn đến việc mã hóa dữ liệu nhạy cảm của tổ chức, gây ra gián đoạn hoạt động nghiêm trọng và đòi tiền chuộc.

Ngoài ra, kẻ tấn công có thể đánh cắp dữ liệu nhạy cảm từ các hệ thống bị ảnh hưởng hoặc thiết lập các cửa hậu (backdoor) dai dẳng trong mạng bị xâm nhập. Điều này cho phép chúng duy trì quyền kiểm soát lâu dài và thực hiện các hoạt động độc hại tiếp theo.

Các nhà nghiên cứu bảo mật cảnh báo rằng sự hiện diện của lỗ hổng CVE nghiêm trọng này trong một công cụ bảo mật làm cho nó đặc biệt hấp dẫn đối với các nhà điều hành ransomware. Chúng tìm cách né tránh sự phát hiện trong khi vẫn duy trì quyền kiểm soát các hệ thống nạn nhân.

Tầm quan trọng của Cảnh báo từ CISA

Tác nhân Đe dọa và Chiến thuật Khai thác

Việc CISA chỉ định lỗ hổng này là đang được sử dụng trong các chiến dịch ransomware (tham khảo danh mục KEV) cho thấy rằng nhiều nhóm đe dọa đã tích hợp exploit này vào chuỗi tấn công của họ.

Các tác nhân ransomware thường nhắm mục tiêu vào các lỗ hổng trong các công cụ bảo mật và giám sát. Lý do là việc thỏa hiệp các hệ thống này cho phép chúng vô hiệu hóa các biện pháp phòng thủ, thao túng nhật ký và hoạt động không bị phát hiện trong thời gian dài.

Việc khai thác Velociraptor đại diện cho một xu hướng đáng lo ngại, trong đó những kẻ tấn công biến chính các công cụ mà các tổ chức dựa vào để bảo vệ thành vũ khí tấn công.

Chỉ đạo và Biện pháp Khẩn cấp

Các cơ quan liên bang và các tổ chức khu vực tư nhân đang sử dụng Rapid7 Velociraptor phải hành động ngay lập tức để giải quyết lỗ hổng CVE nghiêm trọng này.

CISA hướng dẫn các tổ chức bị ảnh hưởng áp dụng các biện pháp giảm thiểu bảo mật theo hướng dẫn của nhà cung cấp. Đối với các triển khai dựa trên đám mây, cần tuân thủ hướng dẫn của Binding Operational Directive 22-01 (BOD 22-01).

Các tổ chức không thể triển khai các biện pháp giảm thiểu sẵn có nên ngừng sử dụng sản phẩm. Việc này cần thực hiện cho đến khi các biện pháp bảo mật phù hợp có thể được triển khai.

Kiểm tra và Giảm thiểu Rủi ro

Kiểm tra Dấu hiệu Xâm nhập (IoC)

Các đội ngũ bảo mật cũng nên tiến hành xem xét kỹ lưỡng các triển khai Velociraptor của mình. Mục đích là để xác định bất kỳ dấu hiệu xâm nhập (Indicators of Compromise – IoC) nào có thể gợi ý việc khai thác trước đó. Việc này là một phần quan trọng của chiến lược an ninh mạng toàn diện.

Các IoC có thể bao gồm các hoạt động không mong muốn trên hệ thống, thay đổi cấu hình trái phép, hoặc các kết nối mạng đáng ngờ liên quan đến dịch vụ Velociraptor.

Chiến lược Cập nhật và Bảo vệ Hệ thống

Việc ưu tiên cập nhật bản vá và các cấu hình bảo mật do Rapid7 cung cấp là hành động cấp thiết. Điều này giúp loại bỏ điểm yếu mà lỗ hổng CVE nghiêm trọng này gây ra.

Ngoài ra, cần xem xét lại quyền truy cập và các chính sách bảo mật mặc định trên tất cả các hệ thống sử dụng Velociraptor. Đảm bảo rằng nguyên tắc đặc quyền tối thiểu (least privilege) được áp dụng một cách nghiêm ngặt.

Việc liên tục theo dõi các kênh thông tin tình báo về mối đe dọa (threat intelligence) cũng đóng vai trò quan trọng. Điều này giúp các tổ chức nắm bắt kịp thời các chiến thuật và kỹ thuật mới của kẻ tấn công liên quan đến lỗ hổng CVE nghiêm trọng này và các mối đe dọa khác.