Một lỗ hổng CVE bảo mật nghiêm trọng đã được phát hiện trong phiên bản on-premise của LANSCOPE Endpoint Manager, có khả năng cho phép kẻ tấn công thực thi mã độc trên các máy bị ảnh hưởng.

Vấn đề này, được theo dõi dưới mã hiệu CVE-2025-61932, liên quan đến một lỗ hổng thực thi mã từ xa (remote code execution) trong hai thành phần cốt lõi: Client Program (MR) và Detection Agent (DA).

Mức độ nghiêm trọng của lỗ hổng CVE này được đánh giá qua điểm CVSS 3.0 là 9.8, xếp vào loại “khẩn cấp” do tác động tiềm tàng và mức độ dễ khai thác.

Phân tích lỗ hổng CVE-2025-61932: Khai thác Remote Code Execution

Các nhà nghiên cứu đã phát hiện ra rằng việc gửi các gói tin mạng được tạo đặc biệt đến các máy tính chạy các phiên bản bị ảnh hưởng của Endpoint Manager on-premise có thể kích hoạt lỗ hổng CVE này.

Lỗi này cho phép kẻ tấn công thực thi các lệnh tùy ý với đặc quyền cao trên hệ thống mục tiêu.

Cả chương trình client MR và tác nhân phát hiện DA đều bị ảnh hưởng trong phiên bản 9.4.7.1 và các phiên bản cũ hơn.

Bằng chứng cho thấy một số mạng lưới khách hàng đã nhận được các gói độc hại khai thác lỗ hổng này trong thực tế.

Cơ chế khai thác và ảnh hưởng hệ thống

Cuộc tấn công không yêu cầu tương tác của người dùng, nghĩa là các hệ thống gặp rủi ro bảo mật ngay cả khi không có ai nhấp vào một liên kết đáng ngờ hoặc mở tệp đính kèm email.

Kẻ tấn công có thể thực thi mã độc với các quyền hạn cao nhất trên hệ thống, dẫn đến việc chiếm quyền điều khiển hoàn toàn.

Điều này cho phép kẻ tấn công cài đặt phần mềm độc hại, đánh cắp dữ liệu nhạy cảm hoặc gây ra gián đoạn hoạt động nghiêm trọng.

Các báo cáo ban đầu từ Motex, nhà cung cấp LANSCOPE, đã xác nhận việc phát hiện và khai thác lỗ hổng này trong môi trường thực tế. (Nguồn: Motex Security Advisory)

Các thành phần bị ảnh hưởng và phạm vi rủi ro

Lỗ hổng CVE này ảnh hưởng cụ thể đến các thành phần sau của LANSCOPE Endpoint Manager On-Premise Edition:

• Client Program (MR)
• Detection Agent (DA)

Các phiên bản bị ảnh hưởng bao gồm 9.4.7.1 và tất cả các phiên bản trước đó.

Đối với các tổ chức đang sử dụng Endpoint Manager On-Premise Edition, rủi ro bảo mật là cấp bách.

Tuy nhiên, người dùng của Cloud Edition hoàn toàn không bị ảnh hưởng bởi lỗ hổng CVE đặc biệt này.

Biện pháp khắc phục: Cập nhật bản vá ngay lập tức

Một bản cập nhật bản vá bảo mật hiện đã có sẵn trên cổng hỗ trợ chính thức của LANSCOPE.

Do lỗ hổng này nằm trong phần mềm phía client, mọi máy tính khách đang chạy phiên bản on-premise đều phải được cập nhật bản vá.

Quá trình cập nhật bản vá cho Client Program (MR) và Detection Agent (DA) sử dụng quy trình vá lỗi tương tự như một bản nâng cấp phần mềm thông thường.

Không có yêu cầu phải nâng cấp chính console quản lý (manager console) để khắc phục lỗ hổng CVE này.

Khuyến nghị và cập nhật bản vá cho lỗ hổng CVE này

Để giảm thiểu mối đe dọa mạng từ lỗ hổng CVE nghiêm trọng này, các quản trị viên hệ thống cần thực hiện các bước sau:

• Truy cập cổng hỗ trợ LANSCOPE để tải xuống bản cập nhật bản vá bảo mật mới nhất.
• Triển khai bản vá này trên tất cả các máy tính khách đang chạy Client Program (MR) và Detection Agent (DA) của LANSCOPE Endpoint Manager On-Premise Edition.
• Ưu tiên cập nhật bản vá này ngay lập tức do đã có các nỗ lực khai thác trong môi trường thực tế.
• Xác minh rằng tất cả các hệ thống đã được cập nhật thành công lên phiên bản an toàn, loại bỏ nguy cơ remote code execution.

Đảm bảo mọi máy tính khách chạy phiên bản on-premise đều được cập nhật bản vá mới nhất là yếu tố then chốt để bảo vệ hệ thống khỏi các cuộc tấn công tiềm tàng.