Cơ quan An ninh Cơ sở hạ tầng và An ninh Mạng (CISA) đã bổ sung một lỗ hổng CVE nghiêm trọng trong Oracle E-Business Suite vào danh mục Lỗ hổng Đã Bị Khai thác (Known Exploited Vulnerabilities – KEV) của mình. Quyết định này được đưa ra sau khi CISA phát hiện các hoạt động khai thác thực tế trên diện rộng.

Lỗ hổng này, được định danh là CVE-2025-61884, tiềm ẩn rủi ro bảo mật đáng kể cho các tổ chức đang sử dụng phần mềm hoạch định nguồn lực doanh nghiệp (ERP) Oracle E-Business Suite được triển khai rộng rãi.

Phân Tích Kỹ Thuật Lỗ Hổng CVE-2025-61884

CVE-2025-61884 là một lỗ hổng loại Server-Side Request Forgery (SSRF) ảnh hưởng đến thành phần Runtime của Oracle Configurator trong Oracle E-Business Suite.

Lỗ hổng này cho phép những kẻ tấn công từ xa khai thác mà không cần bất kỳ thông tin xác thực nào. Điều này khiến nó đặc biệt nguy hiểm đối với các hệ thống bị lộ ra ngoài internet.

Bản Chất Lỗ Hổng Server-Side Request Forgery (SSRF)

Tấn công Server-Side Request Forgery (SSRF) cho phép các đối tượng độc hại thao túng máy chủ. Kẻ tấn công có thể buộc máy chủ thực hiện các yêu cầu trái phép đến các tài nguyên nội bộ hoặc bên ngoài.

Thông qua SSRF, kẻ tấn công có thể khám phá hoặc tấn công các hệ thống nội bộ mà không thể truy cập trực tiếp từ bên ngoài. Điều này có thể dẫn đến việc lộ dữ liệu nhạy cảm hoặc tạo điều kiện cho sự xâm nhập sâu hơn vào mạng nội bộ.

Lỗ hổng CVE-2025-61884 đã nhận được phân loại CWE-918. Phân loại này cụ thể xác định các điểm yếu SSRF nơi ứng dụng không xác thực đúng cách các URL do người dùng cung cấp.

Việc bỏ qua kiểm tra đầu vào đối với các URL này cho phép kẻ tấn công chèn các URL độc hại. Khi máy chủ thực hiện yêu cầu đến URL đó, kẻ tấn công có thể nhắm mục tiêu vào các tài nguyên nội bộ.

Ảnh Hưởng và Khả Năng Khai Thác

Các nhà nghiên cứu bảo mật cảnh báo rằng kẻ tấn công khai thác lỗ hổng CVE-2025-61884 có thể bỏ qua các kiểm soát truy cập mạng hiện có. Chúng có thể tương tác với các dịch vụ nội bộ.

Khả năng này cho phép kẻ tấn công trích xuất thông tin mật từ các hệ thống phụ trợ. Điều này đặt ra mối đe dọa nghiêm trọng đối với dữ liệu nhạy cảm của tổ chức.

Khả năng khai thác từ xa mà không cần xác thực làm cho lỗ hổng CVE này trở nên đặc biệt hấp dẫn đối với tội phạm mạng. Chúng tìm kiếm các điểm truy cập dễ dàng vào mạng lưới của doanh nghiệp.

Một khi đã xâm nhập, kẻ tấn công có thể mở rộng quyền truy cập, gây ra những thiệt hại lớn về dữ liệu và hệ thống.

Phản Ứng của CISA và Mức Độ Nghiêm Trọng

CISA đã chính thức thêm CVE-2025-61884 vào danh mục Lỗ hổng Đã Bị Khai thác của mình vào ngày 20 tháng 10 năm 2025. Hành động này xác nhận đã có các nỗ lực khai thác tích cực.

Danh mục KEV của CISA đóng vai trò như một nguồn thông tin quan trọng. Nó giúp các tổ chức ưu tiên các bản vá bảo mật cho các lỗ hổng đã được biết là đang bị lợi dụng.

CISA và Danh Mục Lỗ Hổng Đã Bị Khai Thác (KEV)

Việc một lỗ hổng được thêm vào danh mục KEV của CISA là một tín hiệu cảnh báo mạnh mẽ. Điều này cho thấy lỗ hổng đó đang được tội phạm mạng hoặc các nhóm APT sử dụng tích cực.

Theo Chỉ thị Vận hành Ràng buộc 22-01 (Binding Operational Directive 22-01), các cơ quan liên bang vận hành hệ thống Oracle E-Business Suite phải áp dụng các bản vá bảo mật hoặc triển khai các biện pháp giảm thiểu được nhà cung cấp khuyến nghị trước ngày 10 tháng 11 năm 2025.

Chỉ thị BOD 22-01 nhấn mạnh tầm quan trọng của việc khắc phục kịp thời các lỗ hổng đã biết bị khai thác. Mục tiêu là bảo vệ các hệ thống chính phủ liên bang khỏi các mối đe dọa mạng.

Để biết thêm chi tiết về danh mục này, bạn có thể tham khảo tại: CISA Known Exploited Vulnerabilities Catalog.

Rủi Ro Bảo Mật và Hậu Quả Tiềm Ẩn

Các tổ chức không thể khắc phục lỗ hổng CVE-2025-61884 trong khung thời gian quy định nên ngừng sử dụng sản phẩm bị ảnh hưởng. Việc này cần thực hiện cho đến khi các biện pháp bảo vệ phù hợp được triển khai.

Mặc dù CISA chưa xác nhận liệu lỗ hổng CVE này có bị vũ khí hóa trong các chiến dịch ransomware hay không, nhưng tình trạng không rõ ràng này càng nhấn mạnh sự cần thiết phải thận trọng tối đa.

Các hậu quả tiềm ẩn của việc không vá lỗi bao gồm mất quyền kiểm soát hệ thống, rò rỉ dữ liệu nhạy cảm, và thiệt hại về danh tiếng.

Đây là một rủi ro bảo mật cao cần được ưu tiên xử lý để tránh các cuộc tấn công mạng quy mô lớn.

Các Biện Pháp Khắc Phục và Phòng Ngừa

Các nhóm bảo mật quản lý triển khai Oracle E-Business Suite cần ngay lập tức rà soát hệ thống để kiểm tra khả năng bị ảnh hưởng bởi CVE-2025-61884.

Việc ưu tiên hành động sẽ giúp giảm thiểu nguy cơ bị tấn công và bảo vệ tài sản của tổ chức.

Cập Nhật Bản Vá và Giảm Thiểu

• Áp dụng bản vá do nhà cung cấp cung cấp: Đây là hành động quan trọng nhất và cần được thực hiện ngay lập tức. Các bản vá của Oracle sẽ khắc phục trực tiếp lỗ hổng CVE-2025-61884.
• Triển khai phân đoạn mạng: Thực hiện phân đoạn mạng để hạn chế phạm vi và tác động của việc khai thác SSRF tiềm năng. Điều này giúp ngăn chặn kẻ tấn công di chuyển ngang trong mạng.
• Giám sát các yêu cầu đi ra đáng ngờ: Theo dõi chặt chẽ các yêu cầu đi ra từ các thành phần của Oracle Configurator. Các yêu cầu bất thường có thể là dấu hiệu của việc khai thác SSRF.

Các tổ chức cũng nên tuân thủ hướng dẫn BOD 22-01 cho các dịch vụ đám mây và phối hợp với Oracle để có được các bản cập nhật bản vá bảo mật mới nhất nhằm giải quyết lỗ hổng nghiêm trọng này.

Đây là một bước thiết yếu để đảm bảo an toàn thông tin và giảm thiểu rủi ro bảo mật.

Đánh Giá Bảo Mật và Phát Hiện Xâm Nhập

Các tổ chức cần tiến hành đánh giá bảo mật kỹ lưỡng để xác định bất kỳ chỉ báo xâm nhập (Indicators of Compromise – IoC) nào có thể gợi ý các nỗ lực khai thác trước đó. Việc này bao gồm:

• Kiểm tra nhật ký hệ thống (system logs) để tìm các hoạt động đáng ngờ.
• Phân tích lưu lượng mạng để phát hiện các kết nối không mong muốn.
• Kiểm tra tính toàn vẹn của tệp (file integrity) của các thành phần Oracle E-Business Suite.

Việc bổ sung lỗ hổng CVE này vào danh mục của CISA nhấn mạnh tầm quan trọng của việc duy trì mức độ bản vá hiện tại cho các ứng dụng doanh nghiệp. Đồng thời, nó cũng nhắc nhở về việc triển khai các chiến lược phòng thủ đa lớp (defense-in-depth) để bảo vệ chống lại các mối đe dọa mới nổi.