Một lỗ hổng CVE nghiêm trọng đã xuất hiện, ảnh hưởng đến phần mềm NetBak PC Agent của QNAP thông qua một lỗi nghiêm trọng trong Microsoft ASP.NET Core. Lỗ hổng này, được theo dõi với mã định danh CVE-2025-55315, khai thác các kỹ thuật HTTP Request Smuggling để vượt qua các kiểm soát bảo mật thiết yếu và có thể khiến hàng nghìn hệ thống phụ thuộc vào sao lưu bị truy cập trái phép và thao túng dữ liệu.

Phân tích Lỗ hổng CVE-2025-55315: HTTP Request Smuggling

Lỗ hổng CVE-2025-55315 cư trú trong cơ chế xử lý yêu cầu HTTP của ASP.NET Core. Nó cho phép kẻ tấn công đã được xác thực tạo ra các yêu cầu được thiết kế đặc biệt, làm nhầm lẫn quá trình xử lý bảo mật của máy chủ web.

Một khi bị khai thác, kẻ tấn công có được khả năng truy cập dữ liệu nhạy cảm được lưu trữ trên các hệ thống bị ảnh hưởng, sửa đổi các tệp máy chủ quan trọng, hoặc kích hoạt các điều kiện từ chối dịch vụ (denial-of-service) hạn chế làm gián đoạn các hoạt động sao lưu.

Cơ chế Kỹ thuật HTTP Request Smuggling

Kỹ thuật HTTP Request Smuggling khai thác sự không nhất quán trong cách các thành phần hệ thống khác nhau diễn giải các thông báo HTTP. Sự khác biệt này tạo ra một kẽ hở mà kẻ tấn công có thể vũ khí hóa.

Loại lỗ hổng CVE này trong lịch sử đã được sử dụng trong các cuộc tấn công tinh vi nhắm vào hạ tầng doanh nghiệp và kho dữ liệu nhạy cảm.

Yêu cầu Xác thực và Nguy cơ Mở rộng

Lỗ hổng CVE-2025-55315 yêu cầu xác thực, nghĩa là kẻ tấn công phải có một mức độ truy cập hệ thống hoặc thông tin đăng nhập nào đó.

Tuy nhiên, các mối đe dọa nội bộ và tài khoản bị xâm nhập tạo thành các kịch bản tấn công thực tế trong nhiều tổ chức. Một khi kẻ tấn công đã được xác thực giành được chỗ đứng, lỗ hổng CVE này trở thành một công cụ mạnh mẽ để di chuyển ngang (lateral movement) và leo thang đặc quyền (privilege escalation).

Ảnh hưởng và Rủi ro Bảo mật đối với Hệ thống

Đối với các tổ chức dựa vào NetBak PC Agent để bảo vệ dữ liệu, lỗ hổng này đại diện cho một rủi ro bảo mật trực tiếp đến tính toàn vẹn của bản sao lưu và an ninh hệ thống.

NetBak PC Agent phụ thuộc vào Microsoft ASP.NET Core trong quá trình cài đặt và vận hành. Bất kỳ hệ thống Windows nào chạy giải pháp sao lưu này đều có khả năng chứa các thành phần ASP.NET Core dễ bị tổn thương, trừ khi đã được vá lỗi.

Biện pháp Khắc phục và Cập nhật Bản vá Bảo mật

QNAP đã đưa ra các khuyến nghị khẩn cấp cho tất cả người dùng NetBak PC Agent để cập nhật thời gian chạy ASP.NET Core của họ ngay lập tức. QNAP nhấn mạnh rằng việc đảm bảo các hệ thống Windows chứa các bản cập nhật Microsoft ASP.NET Core mới nhất là điều cần thiết để bảo vệ hạ tầng sao lưu khỏi việc khai thác lỗ hổng CVE này. Tham khảo thêm tại: QNAP Security Advisory QSA-25-44.

Phương pháp 1: Cài đặt lại NetBak PC Agent

Người dùng có thể khắc phục lỗ hổng CVE này thông qua hai phương pháp chính. Cách tiếp cận đầu tiên bao gồm việc cài đặt lại hoàn toàn NetBak PC Agent.

• Người dùng nên điều hướng đến Settings (Cài đặt).
• Tìm ứng dụng trong danh sách các ứng dụng đã cài đặt và gỡ cài đặt hoàn toàn.
• Sau khi tải xuống phiên bản mới nhất từ trang tiện ích chính thức của QNAP, việc cài đặt lại phần mềm sẽ tự động triển khai các thành phần runtime ASP.NET Core hiện tại với các bản vá bảo mật cần thiết đã được áp dụng.

Phương pháp 2: Cập nhật Thủ công ASP.NET Core

Đối với người dùng không muốn cài đặt lại, việc cập nhật thủ công ASP.NET Core cung cấp một giải pháp thay thế. Phương pháp này yêu cầu tải xuống gói lưu trữ runtime ASP.NET Core mới nhất từ trang tải xuống .NET 8.0 chính thức của Microsoft.

• Tính đến tháng 10 năm 2025, phiên bản hiện tại là 8.0.21.
• Tải xuống gói lưu trữ tại: Microsoft .NET 8.0 Download Page.
• Sau khi cài đặt, quản trị viên hệ thống nên khởi động lại các ứng dụng hoặc hệ thống của họ để đảm bảo các thành phần đã cập nhật được khởi tạo đúng cách.

Khuyến nghị Bảo mật Tổng thể

Các chuyên gia bảo mật khuyến nghị thử nghiệm các bản cập nhật trong môi trường kiểm soát trước khi triển khai chúng trên toàn tổ chức. Các tổ chức cũng nên xác minh rằng tất cả các phiên bản NetBak PC Agent đã triển khai đều nhận được các bản cập nhật cần thiết để ngăn chặn tình trạng bảo mật không nhất quán trên hạ tầng của họ.

Việc phát hiện CVE-2025-55315 nhấn mạnh tầm quan trọng của việc duy trì các mức độ vá lỗi hiện tại trên tất cả các phần mềm phụ thuộc, đặc biệt là những phần mềm xử lý các hoạt động sao lưu quan trọng.

Quét lỗ hổng định kỳ và hệ thống quản lý bản vá tự động có thể giúp các tổ chức xác định các rủi ro bảo mật tương tự trước khi kẻ tấn công thực hiện. Người dùng chưa cập nhật nên ưu tiên áp dụng bản vá này ngay lập tức, xét đến tác động tiềm tàng của lỗ hổng CVE này đối với hệ thống sao lưu và an toàn dữ liệu.