Một lỗ hổng bảo mật nghiêm trọng đã được phát hiện trong phần mềm Devolutions Server, cho phép người dùng đã xác thực với đặc quyền thấp giả mạo các tài khoản khác thông qua việc phát lại cookie trước khi xác thực đa yếu tố (MFA). Đây là một lỗ hổng CVE đáng chú ý, với khả năng ảnh hưởng sâu rộng đến các tổ chức sử dụng giải pháp này cho quản lý thông tin đăng nhập và quyền truy cập.

Phân Tích Lỗ Hổng CVE: Giả Mạo Tài Khoản Devolutions Server

Lỗ hổng này, được định danh là CVE-2025-12485, mang điểm CVSS 9.4 (mức nghiêm trọng) và ảnh hưởng đến tất cả các phiên bản của Devolutions Server lên tới 2025.3.5. Nguồn gốc của lỗ hổng nằm ở cách Devolutions Server xử lý các cookie được tạo ra trước giai đoạn MFA trong quá trình xác thực người dùng. Điều này tạo ra một khe hở cho phép kẻ tấn công lợi dụng cơ chế xác thực.

Cơ Chế Khai Thác và Tác Động

Kẻ tấn công có quyền truy cập cấp thấp, sau khi được xác thực ban đầu, có thể chặn và phát lại (replay) một cookie pre-MFA từ một người dùng hợp pháp. Hành động phát lại cookie này cho phép kẻ tấn công giả mạo tài khoản của người dùng mục tiêu. Mặc dù lỗ hổng không hoàn toàn bỏ qua bước xác thực đa yếu tố (MFA) của tài khoản, nghĩa là kẻ tấn công vẫn cần hoàn thành MFA để có được quyền truy cập đầy đủ, khả năng giả mạo người dùng và đạt đến giai đoạn MFA đã thể hiện một rủi ro bảo mật nghiêm trọng.

Đối với các tổ chức sử dụng Devolutions Server để quản lý thông tin xác thực và truy cập đặc quyền, khả năng giả mạo tài khoản này có thể dẫn đến những hệ lụy nghiêm trọng. Nó tiềm ẩn nguy cơ cho phép kẻ tấn công thực hiện di chuyển ngang (lateral movement) trong hệ thống hoặc leo thang đặc quyền (privilege escalation) nếu chúng có thể vượt qua bước MFA cuối cùng hoặc kết hợp với các lỗ hổng khác. Đây là một vấn đề quản lý đặc quyền không đúng cách (improper privilege management), chỉ ra một lỗi cơ bản trong việc xác thực danh tính người dùng của hệ thống trong giai đoạn tiền-MFA.

Lỗ hổng này minh họa tầm quan trọng của việc xác thực mạnh mẽ ở mọi giai đoạn của quy trình đăng nhập, đặc biệt trong các hệ thống quản lý tài khoản đặc quyền. Để hiểu rõ hơn về loại lỗ hổng quản lý đặc quyền, có thể tham khảo CWE-269: Improper Privilege Management.

Lỗ Hổng Kiểm Soát Truy Cập: CVE-2025-12808

Song song với lỗ hổng giả mạo tài khoản, một lỗ hổng thứ hai cũng đã được công bố, định danh là CVE-2025-12808. Lỗ hổng này có điểm CVSS 7.1 (mức cao) và liên quan đến việc kiểm soát truy cập không đúng cách (improper access control). Đây là một vấn đề nghiêm trọng khác có thể làm suy yếu tính bảo mật của dữ liệu trong Devolutions Server.

Phạm Vi Tác Động và Rò Rỉ Thông Tin

Cụ thể, lỗ hổng này cho phép người dùng chỉ có quyền xem (view-only users) truy cập vào các trường lồng ghép cấp ba (third-level nested fields) chứa thông tin nhạy cảm. Điều này có nghĩa là, người dùng với các quyền hạn chế chỉ được xem có thể truy xuất danh sách mật khẩu và các giá trị tùy chỉnh từ các trường nhạy cảm, từ đó làm lộ các mật khẩu và dữ liệu quan trọng khác mà đáng lẽ họ không được phép truy cập.

Lỗ hổng CVE-2025-12808 trực tiếp làm suy yếu hệ thống kiểm soát truy cập dựa trên vai trò (Role-Based Access Control – RBAC) của Devolutions Server. Nó phá vỡ nguyên tắc đặc quyền tối thiểu (least privilege), cho phép người dùng có đặc quyền thấp hơn truy cập vào thông tin mà đáng lẽ họ không được phép xem. Điều này không chỉ gây ra nguy cơ rò rỉ dữ liệu nhạy cảm mà còn làm giảm hiệu quả của các chính sách bảo mật đã được thiết lập.

Biện Pháp Khắc Phục và Cập Nhật Bảo Mật Khẩn Cấp

Devolutions đã nhanh chóng phản ứng bằng cách phát hành các bản vá bảo mật để giải quyết cả hai lỗ hổng CVE này. Các tổ chức đang sử dụng Devolutions Server cần thực hiện nâng cấp ngay lập tức lên phiên bản mới nhất để đảm bảo an toàn cho hệ thống và dữ liệu. Việc chậm trễ trong việc áp dụng bản vá có thể khiến hệ thống của bạn gặp nguy hiểm.

Hướng Dẫn Nâng Cấp và Khuyến Nghị

Để khắc phục các lỗ hổng, người dùng Devolutions Server nên nâng cấp lên các phiên bản sau:

• Đối với nhánh phát hành hiện tại: nâng cấp lên phiên bản 2025.3.6.0 hoặc cao hơn.
• Đối với các nhánh phát hành cũ hơn: nâng cấp lên phiên bản 2025.2.17.0 hoặc cao hơn.

Devolutions đã công bố thông báo bảo mật ban đầu vào ngày 6 tháng 11 năm 2025, cung cấp chi tiết về các lỗ hổng và lộ trình khắc phục. Việc tham khảo thông báo chính thức là rất quan trọng để đảm bảo triển khai các bản vá bảo mật một cách chính xác và đầy đủ. Bạn có thể tìm thấy thông báo bảo mật tại Devolutions Security Advisories.

Tầm Quan Trọng Của Việc Duy Trì An Ninh Mạng và Phòng Ngừa Xâm Nhập

Việc công bố đồng thời hai lỗ hổng này nhấn mạnh tầm quan trọng của việc duy trì các hệ thống kiểm soát truy cập cập nhật và thường xuyên kiểm tra các cơ chế xác thực. Đối với các tổ chức quản lý tài khoản đặc quyền thông qua Devolutions Server, việc ưu tiên áp dụng các bản vá bảo mật này là điều cần thiết để ngăn chặn các cuộc tấn công giả mạo tài khoản và truy cập trái phép tiềm tàng, từ đó giảm thiểu nguy cơ xâm nhập mạng.

Thực Tiễn Tốt Nhất Về Bảo Mật

Các hệ thống quản lý danh tính và truy cập (Identity and Access Management – IAM) như Devolutions Server là mục tiêu hấp dẫn cho kẻ tấn công vì chúng kiểm soát quyền truy cập vào nhiều tài nguyên quan trọng trong một tổ chức. Do đó, việc đảm bảo tính toàn vẹn và bảo mật của các hệ thống này là tối quan trọng.

Các khuyến nghị chung để tăng cường bảo mật bao gồm:

• Thực hiện đánh giá bảo mật định kỳ (security audits) để xác định và khắc phục các điểm yếu.
• Áp dụng nguyên tắc đặc quyền tối thiểu (least privilege) cho tất cả người dùng và dịch vụ.
• Triển khai MFA mạnh mẽ cho tất cả các tài khoản quản trị và người dùng có đặc quyền cao để thêm một lớp bảo vệ.
• Giám sát các hoạt động đăng nhập và truy cập bất thường để phát hiện sớm các dấu hiệu của cuộc tấn công hoặc xâm nhập mạng.
• Đảm bảo tất cả phần mềm và hệ thống được cập nhật với các bản vá bảo mật mới nhất.

Việc không áp dụng các bản vá bảo mật kịp thời có thể để lại cửa hậu cho kẻ tấn công, biến Devolutions Server từ một công cụ quản lý an toàn và hiệu quả thành một điểm yếu nghiêm trọng trong hạ tầng bảo mật của tổ chức, tạo điều kiện cho các cuộc tấn công phức tạp hơn.