Tin tức bảo mật mới nhất xác nhận các tin tặc đã bắt đầu khai thác tích cực một lỗ hổng CVE nghiêm trọng cho phép thực thi mã từ xa (RCE) trong công cụ nén tập tin phổ biến 7-Zip. Sự việc này đe dọa hàng triệu người dùng đối mặt với nguy cơ lây nhiễm mã độc và xâm nhập hệ thống.

Lỗ hổng này, được theo dõi với mã định danh CVE-2025-11001, xuất phát từ việc xử lý không đúng cách các liên kết tượng trưng (symbolic links) trong các kho lưu trữ ZIP. Điều này cho phép kẻ tấn công điều hướng thư mục và thực thi mã tùy ý trên các hệ thống dễ bị tổn thương.

Tổng quan về Lỗ hổng CVE-2025-11001

CVE-2025-11001 lần đầu tiên được tiết lộ vào tháng 10 năm 2025, với điểm CVSS v3 là 7.0. Mức điểm này cho thấy đây là một lỗ hổng nghiêm trọng, tiềm ẩn khả năng bị khai thác rộng rãi mà không yêu cầu đặc quyền cao.

Lỗ hổng phát sinh trong quá trình phân tích cú pháp các tệp ZIP chứa các liên kết tượng trưng được chế tạo đặc biệt. Các liên kết này lừa 7-Zip ghi các tệp ra bên ngoài thư mục giải nén dự kiến. Cơ chế điều hướng thư mục (directory traversal) này là chìa khóa cho việc khai thác.

Việc điều hướng thư mục có thể cho phép kẻ tấn công ghi đè lên các tệp hệ thống quan trọng hoặc tiêm các tải trọng độc hại. Điều này dẫn đến việc thực thi mã hoàn toàn trong ngữ cảnh của người dùng hoặc tài khoản dịch vụ đang chạy ứng dụng 7-Zip.

Lỗ hổng này được phát hiện bởi Ryota Shiga từ GMO Flatt Security Inc., hợp tác với công cụ AppSec Auditor hỗ trợ AI của họ. Thông tin đã được báo cáo kịp thời cho các nhà phát triển 7-Zip.

Cơ chế Khai thác và Tác động của Remote Code Execution

Các nhà nghiên cứu bảo mật tại Zero Day Initiative (ZDI) của Trend Micro đã trình bày chi tiết cách một kẻ tấn công có thể lợi dụng lỗ hổng này. Cụ thể, nó có thể được sử dụng để thoát khỏi môi trường sandbox, làm cho nó đặc biệt nguy hiểm đối với việc xử lý tệp tự động trong môi trường doanh nghiệp.

Một mã khai thác proof-of-concept (PoC) đã được công khai, chứng minh cách một tệp ZIP độc hại có thể lạm dụng việc xử lý liên kết tượng trưng. Điều này tạo điều kiện thuận lợi cho việc ghi tệp tùy ý và, trong một số trường hợp nhất định, trực tiếp dẫn đến remote code execution (RCE).

Sự xuất hiện của PoC đã làm giảm rào cản kỹ thuật cho các tác nhân đe dọa, thúc đẩy các cuộc tấn công thực tế được quan sát trong tự nhiên. Đáng chú ý, việc khai thác yêu cầu tương tác tối thiểu từ người dùng.

Chỉ cần mở hoặc giải nén một kho lưu trữ chứa mã độc là đủ để kích hoạt lỗ hổng. Đây là một vector tấn công phổ biến trong các chiến dịch lừa đảo (phishing campaigns) và tải xuống tự động (drive-by downloads).

Vấn đề này không phải là đơn lẻ; phiên bản 7-Zip 25.00, phát hành vào tháng 7 năm 2025, cũng vá một lỗ hổng liên quan, CVE-2025-11002. Lỗ hổng này có cùng nguyên nhân gốc rễ là xử lý sai liên kết tượng trưng và có điểm CVSS tương tự là 7.0.

Cả hai lỗ hổng đều được giới thiệu trong phiên bản 21.02, ảnh hưởng đến tất cả các bản phát hành trước đó của công cụ mã nguồn mở này. 7-Zip được sử dụng bởi hơn 100 triệu người dùng Windows trên toàn thế giới cho các tác vụ nén.

Các Hệ thống bị Ảnh hưởng và Mối đe dọa

Các chỉ số ban đầu cho thấy kẻ tấn công đang nhắm mục tiêu vào các hệ thống chưa được vá trong các lĩnh vực như chăm sóc sức khỏe và tài chính. Đây là những lĩnh vực mà việc xử lý tệp tin là một quy trình thường xuyên và quan trọng.

NHS England Digital của Vương quốc Anh đã đưa ra một cảnh báo khẩn cấp vào ngày 18 tháng 11 năm 2025, xác nhận việc khai thác tích cực CVE-2025-11001. Cơ quan này kêu gọi cập nhật ngay lập tức để giảm thiểu rủi ro. Bạn có thể tham khảo cảnh báo tại NHS England Digital Advisory.

Các tác nhân đe dọa có thể sử dụng lỗ hổng RCE này để triển khai mã độc tống tiền (ransomware), đánh cắp dữ liệu nhạy cảm, hoặc thiết lập các cửa hậu (backdoors) dai dẳng. Điều này làm tăng nguy hiểm trong các cuộc tấn công chuỗi cung ứng, nơi các kho lưu trữ bị xâm phạm có thể lây lan qua email hoặc ổ đĩa dùng chung.

Các tổ chức phụ thuộc vào 7-Zip cho các hoạt động tệp tin lớn phải đối mặt với các mối đe dọa gia tăng. Các hoạt động giải nén tự động có thể âm thầm phát tán mã độc trên toàn mạng.

Biện pháp Khắc phục và Cập nhật Bản vá

Để chống lại mối đe dọa từ lỗ hổng CVE này, người dùng và các tổ chức bắt buộc phải thực hiện cập nhật bản vá 7-Zip lên phiên bản 25.00 hoặc mới hơn. Phiên bản này hiện đã có sẵn trên trang web chính thức của 7-Zip.

Bản cập nhật này thực thi việc chuẩn hóa đường dẫn (path canonicalization) nghiêm ngặt hơn để chặn các nỗ lực điều hướng thư mục. Điều này có nghĩa là các liên kết tượng trưng không thể thoát ra ngoài giới hạn giải nén, vô hiệu hóa cả CVE-2025-11001 và CVE-2025-11002.

Các nền tảng bị ảnh hưởng bao gồm tất cả các phiên bản Windows chạy 7-Zip trước phiên bản 25.00. Hiện tại, chưa có báo cáo về tác động đến các cổng Linux hoặc macOS của 7-Zip. Việc duy trì các bản vá bảo mật là vô cùng quan trọng để bảo vệ hệ thống khỏi các cuộc tấn công này.