Progress Software đã phát hành các bản vá bảo mật khẩn cấp để xử lý một lỗ hổng CVE nghiêm trọng trong nền tảng MOVEit Transfer. Lỗ hổng này được phát hiện vào ngày 29 tháng 10 năm 2025.

Lỗ hổng được theo dõi dưới mã định danh CVE-2025-10932. Nó ảnh hưởng đến module AS2 của MOVEit Transfer và cho phép kẻ tấn công tiêu tốn tài nguyên hệ thống một cách không kiểm soát.

Chi Tiết Kỹ Thuật về CVE-2025-10932

Bản Chất Lỗ Hổng và Mức Độ Nghiêm Trọng

CVE-2025-10932 là một lỗ hổng tiêu tốn tài nguyên hệ thống (uncontrolled resource consumption) ảnh hưởng trực tiếp đến module AS2 trong MOVEit Transfer. Nền tảng này được sử dụng rộng rãi bởi các tổ chức tài chính, nhà cung cấp dịch vụ chăm sóc sức khỏe và các cơ quan chính phủ cho việc trao đổi tệp an toàn.

Lỗ hổng này nhận được điểm CVSS 8.2, xếp vào loại mối đe dọa mạng có rủi ro cao, đòi hỏi sự chú ý và xử lý ngay lập tức. Điểm số này cho thấy khả năng khai thác và tác động tiềm tàng của lỗ hổng là đáng kể.

Điểm đặc biệt nghiêm trọng của vấn đề này là kẻ tấn công có thể khai thác nó từ xa mà không yêu cầu xác thực hoặc tương tác của người dùng. Điều này hạ thấp đáng kể rào cản để thực hiện một cuộc tấn công thành công.

Tầm Ảnh Hưởng đến Hoạt Động Hệ Thống

Bằng cách gửi các yêu cầu được tạo thủ công (specially crafted requests), kẻ tấn công có thể khiến máy chủ tiêu thụ một lượng lớn tài nguyên. Điều này dẫn đến suy giảm hiệu suất dịch vụ hoặc thậm chí là làm cho toàn bộ hệ thống không khả dụng.

Kiểu tấn công này được gọi là tấn công từ chối dịch vụ (Denial-of-Service – DoS). Một cuộc tấn công DoS thành công có thể làm gián đoạn các hoạt động kinh doanh quan trọng và ngừng trệ các quy trình truyền tệp thiết yếu.

Hàng ngàn tổ chức doanh nghiệp đang gặp rủi ro, đặc biệt là những đơn vị phụ thuộc vào MOVEit Transfer để trao đổi tệp an toàn và quản lý dữ liệu. Việc khai thác lỗ hổng này có thể gây ra thiệt hại đáng kể về hoạt động và uy tín.

Các Phiên Bản MOVEit Transfer Bị Ảnh Hưởng

Progress Software đã xác nhận rằng nhiều phiên bản của MOVEit Transfer vẫn còn dễ bị tấn công bởi lỗ hổng CVE này. Các phiên bản cụ thể bao gồm:

• Phiên bản 2025.0.0 đến 2025.0.2
• Phiên bản 2024.1.0 đến 2024.1.6
• Phiên bản 2023.1.0 đến 2023.1.15

Các tổ chức đang vận hành bất kỳ phiên bản nào trong số này cần coi việc cập nhật bản vá là ưu tiên an ninh hàng đầu. Việc trì hoãn có thể dẫn đến rủi ro nghiêm trọng.

Chiến Lược Khắc Phục và Cập Nhật Bản Vá Bảo Mật

Progress Software đã nhanh chóng hành động để giải quyết vấn đề bằng cách phát hành các phiên bản đã được vá và triển khai các biện pháp bảo vệ tạm thời cho khách hàng không thể cập nhật hệ thống ngay lập tức.

Thông tin chi tiết về bản vá và hướng dẫn đã được công bố chính thức tại: Progress Software Security Advisory.

Cập Nhật Trực Tiếp Lên Phiên Bản Đã Vá

Khách hàng có hợp đồng bảo trì hiện tại có thể tải xuống các phiên bản đã sửa lỗi trực tiếp từ Progress Download Center bằng thông tin đăng nhập của họ. Các phiên bản này bao gồm:

• MOVEit Transfer 2025.0.3
• MOVEit Transfer 2024.1.7
• MOVEit Transfer 2023.1.16

Việc nâng cấp lên các phiên bản này là giải pháp khắc phục triệt để và được khuyến nghị mạnh mẽ để bảo vệ hệ thống khỏi lỗ hổng MOVEit Transfer.

Giải Pháp Tạm Thời cho Hệ Thống On-Premises

Đối với các tổ chức không thể triển khai bản vá ngay lập tức, Progress khuyến nghị tạm thời tắt module AS2. Điều này có thể được thực hiện bằng cách xóa các tệp cụ thể khỏi thư mục cài đặt.

# Ví dụ (đường dẫn có thể khác tùy theo cài đặt):
# Di chuyển hoặc đổi tên tệp liên quan đến AS2 để vô hiệu hóa module
# cp C:Program FilesMOVEitMOVEit TransferAS2Module.dll C:BackupAS2Module.dll.bak
# del C:Program FilesMOVEitMOVEit TransferAS2Module.dll

Ngoài ra, các quản trị viên có thể thêm địa chỉ IP của các đối tác AS2 đáng tin cậy vào danh sách trắng (IP address whitelisting). Biện pháp này giới hạn sự tiếp xúc của hệ thống với các truy cập trái phép cho đến khi các bản vá được cài đặt hoàn chỉnh.

# Ví dụ cấu hình tường lửa hoặc thiết bị mạng để chỉ cho phép IP cụ thể truy cập cổng AS2
# iptables -A INPUT -p tcp --dport 80 -s [Trusted_AS2_IP_Address] -j ACCEPT
# iptables -A INPUT -p tcp --dport 443 -s [Trusted_AS2_IP_Address] -j ACCEPT
# iptables -A INPUT -p tcp --dport 80 -j DROP
# iptables -A INPUT -p tcp --dport 443 -j DROP

Các giải pháp tạm thời này cung cấp một lớp bảo vệ trong khi các tổ chức lên kế hoạch cho lịch trình cập nhật bản vá của họ.

Lưu Ý Quan Trọng cho Khách Hàng MOVEit Cloud

Khách hàng sử dụng dịch vụ Progress MOVEit Cloud không cần thực hiện bất kỳ hành động nào. Progress Software đã chủ động nâng cấp các phiên bản được lưu trữ trên đám mây lên phiên bản đã được vá.

Tuy nhiên, các tổ chức đang vận hành cài đặt tại chỗ (on-premises installations) phải chủ động thực hiện các bước cần thiết để bảo vệ hệ thống của mình khỏi lỗ hổng CVE này.