Twonky Server phiên bản 8.5.2 chứa hai lỗ hổng CVE nghiêm trọng cho phép kẻ tấn công không xác thực giành quyền quản trị hoàn toàn đối với phần mềm máy chủ đa phương tiện. Các lỗ hổng này có thể được kết hợp để xâm phạm tài khoản quản trị mà không yêu cầu tương tác người dùng hoặc thông tin xác thực hợp lệ. Ảnh hưởng của chúng mở rộng đến các cài đặt Twonky Server trên cả nền tảng Linux và Windows.

Twonky Server được triển khai rộng rãi trong các thiết bị lưu trữ gắn mạng (NAS), bộ định tuyến, set-top box và các cổng mạng trên toàn thế giới. Dữ liệu từ Shodan cho thấy có khoảng 850 phiên bản đang được công khai trên internet, tiềm ẩn nguy cơ bảo mật đáng kể từ những lỗ hổng CVE này.

Lỗ hổng CVE nghiêm trọng trên Twonky Server

Bỏ qua xác thực API (CVE-2025-13315)

Lỗ hổng đầu tiên, được định danh là CVE-2025-13315, cho phép kẻ tấn công bỏ qua các cơ chế kiểm soát xác thực API thông qua một cơ chế định tuyến thay thế. Thay vì sử dụng đường dẫn tiêu chuẩn “/rpc/”, kẻ tấn công có thể sử dụng tiền tố “/nmc/rpc/”.

Việc sử dụng tiền tố “/nmc/rpc/” cho phép truy cập vào điểm cuối (endpoint) log_getfile mà không cần xác thực. Điểm cuối này sau đó sẽ hiển thị các nhật ký ứng dụng (application logs) chứa tên người dùng quản trị và mật khẩu đã được mã hóa.

Thông tin chi tiết về CVE-2025-13315 có thể được tìm thấy tại NVD – National Vulnerability Database.

Giải mã mật khẩu dễ dàng (CVE-2025-13316)

Lỗ hổng thứ hai, CVE-2025-13316, làm cho việc giải mã mật khẩu trở nên dễ dàng. Twonky Server sử dụng các khóa mã hóa Blowfish được nhúng cứng (hardcoded) trên tất cả các cài đặt. Điều này tạo ra một điểm yếu nghiêm trọng trong hệ thống bảo mật.

Các nhà nghiên cứu của Rapid7 đã xác định mười hai khóa tĩnh được nhúng trong mã nhị phân đã biên dịch của Twonky Server. Điều này có nghĩa là bất kỳ kẻ tấn công nào nắm được mật khẩu đã mã hóa đều có thể giải mã nó thành dạng văn bản rõ ràng chỉ bằng cách sử dụng các khóa công khai này.

Chuỗi khai thác và ảnh hưởng

Rapid7 đã phát hiện ra rằng hai lỗ hổng CVE này có thể được kết hợp để tạo thành một chuỗi khai thác hoàn chỉnh. Chuỗi khai thác này cho phép kẻ tấn công xâm phạm các tài khoản quản trị mà không cần bất kỳ tương tác người dùng nào hoặc thông tin xác thực hợp lệ.

Việc khai thác thành công các lỗ hổng CVE này dẫn đến khả năng chiếm quyền điều khiển quản trị hoàn toàn đối với máy chủ đa phương tiện. Với quyền truy cập này, kẻ tấn công có thể thực hiện nhiều hành động độc hại, bao gồm truy cập dữ liệu nhạy cảm hoặc thay đổi cấu hình hệ thống.

Mức độ phổ biến và rủi ro

Twonky Server, với vai trò là phần mềm đa phương tiện, thường được tích hợp vào các thiết bị NAS, bộ định tuyến và gateway. Mặc dù không phải tất cả các phiên bản đều được công khai trên internet, nhưng 850 phiên bản được Shodan phát hiện đang cho thấy một bề mặt tấn công đáng kể.

Mỗi phiên bản Twonky Server bị lộ ra ngoài internet và chưa được bảo vệ đều đại diện cho một nguy cơ tấn công mạng tiềm tàng. Khả năng chiếm quyền điều khiển từ xa không cần xác thực khiến các hệ thống này trở thành mục tiêu hấp dẫn cho các tác nhân đe dọa.

Phản ứng của nhà cung cấp và khuyến nghị

Rapid7 đã báo cáo các lỗ hổng CVE này một cách có trách nhiệm cho Lynx Technology, nhà cung cấp đứng sau Twonky Server. Tuy nhiên, sau khi xác nhận đã nhận được thông tin tiết lộ kỹ thuật, nhà cung cấp đã ngừng liên lạc và tuyên bố rằng sẽ không có bản vá bảo mật nào được cung cấp.

Phiên bản 8.5.2 vẫn là bản phát hành mới nhất hiện có và không có bất kỳ cập nhật bảo mật nào để khắc phục các lỗ hổng CVE này. Điều này đặt ra rủi ro cao cho tất cả người dùng và tổ chức đang vận hành Twonky Server.

Biện pháp giảm thiểu rủi ro

Do không có bản vá bảo mật từ nhà cung cấp, các tổ chức sử dụng Twonky Server nên thực hiện các biện pháp giảm thiểu sau đây:

• Hạn chế truy cập mạng: Ngay lập tức hạn chế lưu lượng truy cập ứng dụng đến các địa chỉ IP đáng tin cậy. Điều này có thể được thực hiện thông qua cấu hình tường lửa hoặc danh sách kiểm soát truy cập (ACLs).
• Xoay vòng thông tin xác thực: Tất cả thông tin xác thực quản trị viên nên được coi là đã bị xâm phạm và cần được thay đổi (xoay vòng) ngay lập tức, đặc biệt nếu máy chủ đã từng tiếp xúc với các mạng không đáng tin cậy.
• Kiểm tra định kỳ: Thực hiện kiểm tra bảo mật định kỳ để phát hiện bất kỳ dấu hiệu xâm nhập hoặc hoạt động đáng ngờ nào.

Metasploit Module và công cụ phát hiện

Rapid7 đã phát hành một module Metasploit chứng minh chuỗi khai thác hoàn chỉnh của các lỗ hổng CVE này. Module này có thể được sử dụng bởi các chuyên gia bảo mật và pentester để kiểm tra tính dễ bị tổn thương của các hệ thống Twonky Server trong môi trường được kiểm soát.

Ngoài ra, Rapid7 cũng có kế hoạch cung cấp khả năng phát hiện các lỗ hổng này trong các công cụ quét lỗ hổng của mình. Điều này sẽ giúp các tổ chức xác định và giảm thiểu rủi ro liên quan đến các phiên bản Twonky Server dễ bị tấn công.

Thông tin chi tiết về báo cáo của Rapid7 và module Metasploit có sẵn tại Rapid7 Blog – Critical Twonky Server Authentication Bypass Not Fixed.