Một lỗ hổng CVE nghiêm trọng đã được phát hiện trong phần mềm sao lưu và đồng bộ hóa của ASUSTOR, cho phép kẻ tấn công thực thi mã độc với các đặc quyền hệ thống cao nhất. Lỗ hổng này, được định danh là CVE-2025-13051, ảnh hưởng đến hai ứng dụng ASUSTOR phổ biến và gây ra rủi ro đáng kể cho người dùng đang chạy các phiên bản lỗi thời. Khai thác thành công lỗ hổng này có thể dẫn đến việc chiếm quyền điều khiển hệ thống hoàn toàn.

Chi tiết Kỹ thuật về Lỗ hổng CVE-2025-13051

Lỗ hổng CVE-2025-13051 xuất phát từ một điểm yếu trong cơ chế DLL hijacking. Cụ thể, vấn đề xảy ra khi các dịch vụ của ASUSTOR Backup Plan (ABP) và ASUSTOR EZSync (AES) được cài đặt trong các thư mục mà người dùng không có quyền quản trị viên vẫn có thể ghi (write access).

Các Phiên bản Bị Ảnh hưởng

Lỗ hổng này ảnh hưởng đến các phiên bản phần mềm ASUSTOR sau:

• ASUSTOR Backup Plan (ABP): Phiên bản 2.0.7.9050 và tất cả các phiên bản cũ hơn.
• ASUSTOR EZSync (AES): Phiên bản 1.0.6.8290 và tất cả các phiên bản cũ hơn.

Những phiên bản này tồn tại nguy cơ cao bị khai thác, do đó, việc cập nhật ngay lập tức là rất cần thiết để đảm bảo an toàn thông tin.

Cơ chế Khai thác: Tấn công DLL Hijacking

Tấn công DLL hijacking lợi dụng cách hệ điều hành Windows tìm kiếm và tải các tệp thư viện liên kết động (DLL). Khi một ứng dụng hoặc dịch vụ cần sử dụng một DLL, nó sẽ tìm kiếm tệp đó theo một thứ tự ưu tiên nhất định, thường bắt đầu từ thư mục hiện hành của ứng dụng hoặc các thư mục hệ thống. Nếu kẻ tấn công có thể đặt một tệp DLL độc hại với cùng tên của một DLL hợp lệ mà dịch vụ đang tìm kiếm vào một thư mục có độ ưu tiên cao hơn (hoặc thư mục mà người dùng thông thường có quyền ghi), hệ thống sẽ tải và thực thi DLL độc hại đó thay vì DLL gốc.

Quy trình Khai thác cụ thể

Trong trường hợp của ASUSTOR, lỗ hổng được kích hoạt theo các bước sau:

1. Điều kiện tiền đề: Dịch vụ ASUSTOR (ABP hoặc AES) được cài đặt trong một thư mục mà người dùng không có quyền quản trị viên vẫn có thể ghi.
2. Đặt DLL độc hại: Kẻ tấn công lợi dụng quyền ghi này để đặt một tệp DLL độc hại vào thư mục cài đặt của ứng dụng ASUSTOR. Tệp DLL độc hại này có tên giống hệt một DLL hợp lệ mà dịch vụ ASUSTOR cần tải.
3. Kích hoạt thực thi: Khi dịch vụ ASUSTOR bị ảnh hưởng khởi động lại (ví dụ: sau khi khởi động lại hệ thống hoặc khởi động lại dịch vụ thủ công), nó sẽ tìm kiếm và tải DLL theo thứ tự ưu tiên.
4. Thực thi mã độc: Do tệp DLL độc hại đã được đặt trong thư mục có quyền truy cập, dịch vụ sẽ tải và thực thi nó. Mã bên trong DLL độc hại này sẽ được thực thi dưới tài khoản LocalSystem.

Tầm quan trọng của Đặc quyền LocalSystem

Tài khoản LocalSystem là một tài khoản dịch vụ tích hợp sẵn của Windows với các đặc quyền rất cao. Nó có khả năng kiểm soát gần như toàn bộ hệ thống cục bộ và không yêu cầu mật khẩu. Khi mã độc được thực thi dưới tài khoản LocalSystem, kẻ tấn công về cơ bản có được quyền kiểm soát tối cao trên máy tính. Điều này vượt qua các hạn chế của Kiểm soát Tài khoản Người dùng (UAC) và cho phép thực hiện các hành động sau:

• Truy cập và sửa đổi bất kỳ tệp hoặc thư mục nào trên hệ thống.
• Cài đặt hoặc gỡ bỏ phần mềm mà không cần sự đồng ý của người dùng.
• Sửa đổi các khóa Registry quan trọng.
• Tạo tài khoản người dùng mới với đặc quyền cao.
• Truy cập và thao tác với các dịch vụ hệ thống khác.

Do đó, việc thực thi mã từ xa (remote code execution) dưới đặc quyền LocalSystem là một trong những kịch bản tấn công nguy hiểm nhất mà bất kỳ tổ chức nào cũng phải đối mặt, biến lỗ hổng CVE này trở thành mối đe dọa cấp bách.

Rủi ro và Hậu quả Nghiêm trọng

Khai thác thành công lỗ hổng CVE-2025-13051 có thể dẫn đến hàng loạt hậu quả nghiêm trọng đối với hệ thống và dữ liệu. Kẻ tấn công có thể thực hiện các hành vi độc hại với quyền kiểm soát hoàn toàn:

Hoàn toàn Chiếm quyền Điều khiển Hệ thống

Với quyền LocalSystem, kẻ tấn công có thể chiếm quyền điều khiển hệ thống hoàn toàn. Điều này cho phép họ vượt qua các biện pháp bảo mật thông thường và thực hiện bất kỳ hành động nào trên máy chủ bị ảnh hưởng. Sự kiểm soát này có thể được sử dụng để thiết lập các điểm truy cập bền bỉ hoặc mở rộng tấn công sang các hệ thống khác trong mạng nội bộ.

Cài đặt Mã độc và Phần mềm Độc hại

Kẻ tấn công có thể cài đặt nhiều loại mã độc, bao gồm:

• Mã độc tống tiền (Ransomware): Mã hóa dữ liệu và yêu cầu tiền chuộc.
• Phần mềm gián điệp (Spyware): Thu thập thông tin nhạy cảm về người dùng và hoạt động của hệ thống.
• Trojan: Mở backdoor, cung cấp quyền truy cập từ xa.
• Coin Miner: Sử dụng tài nguyên hệ thống để khai thác tiền điện tử.

Việc cài đặt mã độc này có thể diễn ra mà không bị phát hiện trong thời gian dài, gây ra thiệt hại lớn.

Đánh cắp Dữ liệu Nhạy cảm

Các dữ liệu nhạy cảm có thể bị đánh cắp bao gồm:

• Thông tin định danh cá nhân (PII).
• Thông tin đăng nhập và chứng chỉ xác thực.
• Dữ liệu tài chính và thông tin thẻ tín dụng.
• Bí mật kinh doanh và sở hữu trí tuệ.
• Dữ liệu sao lưu và đồng bộ hóa do ASUSTOR quản lý.

Hậu quả của việc rò rỉ dữ liệu có thể bao gồm tổn thất tài chính, thiệt hại danh tiếng và vi phạm quy định về bảo vệ dữ liệu.

Thiết lập Backdoor và Duy trì Quyền Truy cập

Để đảm bảo quyền truy cập liên tục vào hệ thống bị xâm nhập, kẻ tấn công có thể thiết lập các backdoor. Các backdoor này có thể là các tài khoản người dùng ẩn, các dịch vụ độc hại hoặc các cơ chế duy trì quyền truy cập khác, cho phép kẻ tấn công quay lại hệ thống bất cứ lúc nào, ngay cả sau khi các lỗ hổng ban đầu đã được vá. Một ví dụ về backdoor phức tạp có thể được tìm thấy trong phân tích về Atomic macOS Stealer, nơi các backdoor mới được tích hợp để duy trì quyền truy cập.

Tham khảo thêm về các kỹ thuật backdoor: Atomic macOS Stealer Comes With New Backdoor.

Biện pháp Khắc phục và Khuyến nghị An ninh Mạng

Để bảo vệ hệ thống khỏi lỗ hổng CVE-2025-13051 và các mối đe dọa tương tự, ASUSTOR đã phát hành các bản vá bảo mật quan trọng. Người dùng và quản trị viên hệ thống cần thực hiện các hành động khắc phục ngay lập tức.

Cập nhật Bản vá Bảo mật Ngay lập tức

ASUSTOR đã cung cấp các bản cập nhật để giải quyết lỗ hổng này. Người dùng cần nâng cấp phần mềm ASUSTOR của mình lên phiên bản mới nhất:

• Đối với ASUSTOR Backup Plan (ABP): Nâng cấp lên phiên bản 2.0.7.10171 hoặc cao hơn.
• Đối với ASUSTOR EZSync (AES): Nâng cấp lên phiên bản 1.1.0.10312 hoặc cao hơn.

Việc không cập nhật có thể khiến hệ thống tiếp tục gặp rủi ro bị khai thác. Hướng dẫn chi tiết và thông báo bảo mật chính thức có thể được tìm thấy trên trang web của ASUSTOR.

Liên kết đến thông báo bảo mật của ASUSTOR: ASUSTOR Security Advisory – CVE-2025-13051.

Kiểm tra Phiên bản Hiện tại

Để xác định xem hệ thống của bạn có bị ảnh hưởng hay không, hãy kiểm tra phiên bản hiện tại của ASUSTOR Backup Plan và ASUSTOR EZSync. Thông thường, bạn có thể tìm thấy thông tin này trong phần “Giới thiệu” (About) của ứng dụng hoặc trong mục “Chương trình và Tính năng” (Programs and Features) của hệ điều hành Windows.

Thực hiện Nguyên tắc Đặc quyền Tối thiểu (Least Privilege)

Đây là một biện pháp phòng ngừa quan trọng: Luôn cài đặt các ứng dụng và dịch vụ vào các thư mục mặc định do hệ thống quy định, thường nằm trong các đường dẫn yêu cầu quyền quản trị để ghi. Tránh cài đặt phần mềm vào các thư mục có quyền truy cập ghi cho người dùng không có đặc quyền. Điều này giúp giảm thiểu nguy cơ DLL hijacking và các loại tấn công khác.

Giám sát và Phát hiện

Triển khai các giải pháp giám sát an ninh mạng như IDS/IPS (Hệ thống Phát hiện/Ngăn chặn Xâm nhập) và EDR (Phát hiện & Phản hồi Điểm cuối) để phát hiện các hoạt động bất thường hoặc dấu hiệu của cuộc tấn công đang diễn ra. Đảm bảo rằng các hệ thống này được cập nhật thường xuyên với các chữ ký và quy tắc mới nhất để phát hiện các mối đe dọa như lỗ hổng CVE này.

Nâng cao Nhận thức An ninh Mạng

Đào tạo người dùng về các thực hành tốt nhất về an ninh mạng, bao gồm việc nhận biết các dấu hiệu lừa đảo và không tải xuống hoặc thực thi các tệp đáng ngờ. Mặc dù lỗ hổng này mang tính kỹ thuật cao, nhưng các phương pháp xã hội học vẫn có thể được sử dụng để tạo điều kiện cho cuộc tấn công.