Các nhà nghiên cứu bảo mật đã phát hiện một lỗ hổng CVE thực thi mã từ xa (RCE) đang bị khai thác tích cực trong Monsta FTP. Monsta FTP là một ứng dụng khách FTP nền web được sử dụng rộng rãi bởi các tổ chức tài chính, doanh nghiệp và người dùng cá nhân trên toàn thế giới.

Lỗ hổng này, được theo dõi dưới mã CVE-2025-34299, ảnh hưởng đến các phiên bản Monsta FTP từ 2.11.2 trở xuống. Nó cho phép kẻ tấn công thực thi mã tùy ý trên các máy chủ dễ bị tổn thương mà không cần xác thực.

Phân tích Lỗ hổng CVE và Cơ chế Khai thác

Quá trình Phát hiện và Khắc phục không đầy đủ

Các nhà nghiên cứu tại watchTowr Labs đã bắt đầu điều tra một lỗ hổng cũ hơn trong Monsta FTP phiên bản 2.10.4 như một phần của quy trình phản ứng với mối đe dọa của họ. Phân tích của họ cho thấy các lỗ hổng đã được báo cáo trước đó trong phiên bản 2.10.3 chưa bao giờ được khắc phục đầy đủ trong các bản phát hành tiếp theo, bao gồm cả phiên bản mới nhất tại thời điểm phát hiện.

Cuộc điều tra đã tiết lộ rằng mặc dù các nhà phát triển đã thêm nhiều hàm xác thực đầu vào mở rộng trong phiên bản 2.11, các biện pháp bảo mật này đã không giải quyết được lỗ hổng CVE cốt lõi. Các cơ chế lọc mới, nằm trong một tệp có tên inputValidator.php, đã cung cấp những cải tiến về bảo mật nhưng thực tế không làm giảm thiểu lỗ hổng remote code execution.

Chi tiết nghiên cứu có thể tham khảo tại WatchTowr Labs.

Cơ chế Khai thác Kỹ thuật

Lỗ hổng khai thác chức năng downloadFile của Monsta FTP. Chức năng này cho phép ứng dụng truy xuất tệp từ các máy chủ SFTP bên ngoài.

Kẻ tấn công có thể khai thác chức năng này thông qua một yêu cầu HTTP được tạo tác cẩn thận. Yêu cầu này hướng dẫn Monsta FTP kết nối với một máy chủ SFTP độc hại do kẻ tấn công kiểm soát.

Sau đó, ứng dụng sẽ tải xuống một payload và ghi nó vào một vị trí tùy ý trên máy chủ mục tiêu. Cuộc tấn công không yêu cầu xác thực và có thể được thực hiện bằng cách gửi một yêu cầu POST duy nhất đến điểm cuối dễ bị tổn thương.

Khi tệp độc hại được ghi vào một thư mục có thể truy cập qua web, kẻ tấn công có thể thực thi mã tùy ý trên máy chủ. Điều này có khả năng dẫn đến việc chiếm quyền kiểm soát hệ thống hoàn toàn.

Thông tin về CVE-2025-34299 và Khắc phục

Các nhà phát triển Monsta FTP đã phát hành phiên bản 2.11.3 vào ngày 26 tháng 8 năm 2025, phiên bản này đã giải quyết lỗ hổng CVE thực thi mã từ xa. Lỗ hổng này đã chính thức được gán mã CVE-2025-34299 vào ngày 4 tháng 11 năm 2025. Thông tin chi tiết về CVE có thể được tìm thấy tại NVD – National Vulnerability Database.

Khuyến nghị Cập nhật Bản vá

Các tổ chức đang chạy Monsta FTP nên nâng cấp ngay lập tức lên phiên bản 2.11.3 hoặc mới hơn để bảo vệ chống lại các nỗ lực khai thác đang diễn ra. Việc cập nhật bản vá là hành động bảo mật tối quan trọng.

Rủi ro Bảo mật và Biện pháp Phòng ngừa

Việc phát hiện ra lỗ hổng này nêu bật những lo ngại đang diễn ra về việc khắc phục lỗ hổng không đầy đủ trong các thành phần phần mềm của bên thứ ba, đặc biệt là những thành phần được viết bằng PHP và tiếp xúc với internet.

Các chuyên gia bảo mật khuyến nghị thực hiện kiểm tra kỹ lưỡng các công cụ quản lý tệp dựa trên web. Đồng thời, cần triển khai các biện pháp kiểm soát bảo mật bổ sung. Các biện pháp này bao gồm phân đoạn mạng và hạn chế quyền truy cập để giảm thiểu rủi ro từ các lỗ hổng CVE tương tự.