Một lỗ hổng CVE nghiêm trọng đã được phát hiện trong Plesk dành cho Linux, có khả năng cho phép người dùng chiếm quyền root trên các máy chủ bị ảnh hưởng. Lỗ hổng này, được theo dõi dưới mã định danh CVE-2025-66430, nằm trong tính năng Password-Protected Directories của Plesk và tạo điều kiện cho kẻ tấn công chèn dữ liệu tùy ý vào các tệp cấu hình của Apache.

Chi tiết về CVE-2025-66430 và Cơ chế Khai thác

Căn nguyên của lỗ hổng CVE-2025-66430 xuất phát từ việc xử lý đầu vào người dùng không đúng cách trong tính năng Password-Protected Directories. Tính năng này cho phép người quản trị bảo vệ các thư mục web bằng mật khẩu, nhưng việc thiếu kiểm soát nghiêm ngặt đối với dữ liệu đầu vào đã mở ra một kẽ hở nghiêm trọng.

Thông qua kẽ hở này, kẻ tấn công có thể lợi dụng để chèn các đoạn mã hoặc cấu hình độc hại vào các tệp cấu hình quan trọng của Apache. Khi các tệp cấu hình này được Apache đọc và xử lý, mã độc đã chèn sẽ được thực thi.

Cơ chế Chiếm quyền Điều khiển

Quá trình khai thác lỗ hổng CVE này cho phép kẻ tấn công thực thi các lệnh tùy ý với đặc quyền root trên hệ thống. Điều này có nghĩa là bất kỳ người dùng Plesk nào có quyền truy cập vào tính năng Password-Protected Directories đều có khả năng khai thác lỗ hổng này để chiếm quyền root trái phép.

Việc chiếm quyền root cho phép kẻ tấn công kiểm soát hoàn toàn máy chủ, vượt qua các rào cản bảo mật thông thường và truy cập vào mọi tài nguyên hệ thống. Đây là một mối đe dọa cực kỳ nghiêm trọng đối với an ninh của môi trường máy chủ.

Tác động và Rủi ro Bảo mật

Lỗ hổng này được xếp vào loại khai thác leo thang đặc quyền cục bộ (Local Privilege Escalation – LPE), đặt ra rủi ro đáng kể cho các tổ chức đang sử dụng Plesk để quản lý máy chủ. Khả năng leo thang đặc quyền từ một tài khoản người dùng tiêu chuẩn lên quyền root là một trong những mối đe dọa bảo mật nghiêm trọng nhất trong các môi trường quản lý máy chủ.

Khi kẻ tấn công đạt được đặc quyền root, chúng có thể thực hiện một loạt các hành động độc hại, bao gồm nhưng không giới hạn ở:

• Kiểm soát máy chủ hoàn toàn: Kẻ tấn công có thể thay đổi cấu hình hệ thống, cài đặt phần mềm độc hại, hoặc xóa dữ liệu mà không bị cản trở.
• Đánh cắp dữ liệu nhạy cảm: Truy cập vào cơ sở dữ liệu, thông tin khách hàng, mã nguồn ứng dụng và các dữ liệu bí mật khác.
• Cài đặt mã độc: Triển khai ransomware, spyware, hoặc các loại mã độc khác để tiếp tục tấn công hoặc duy trì quyền truy cập.
• Di chuyển ngang trong mạng: Sử dụng máy chủ đã bị xâm nhập làm bàn đạp để tấn công các hệ thống khác trong cùng mạng.

Các tổ chức đang vận hành phiên bản Plesk bị ảnh hưởng sẽ phải đối mặt với rủi ro đáng kể nếu lỗ hổng CVE này không được vá kịp thời. Mức độ nghiêm trọng của lỗ hổng đòi hỏi sự chú ý ngay lập tức từ các quản trị viên hệ thống.

Các Phiên bản Bị Ảnh hưởng và Khuyến nghị Khắc phục

Các phiên bản Plesk bị ảnh hưởng bởi lỗ hổng CVE-2025-66430 bao gồm Plesk 18.0.70 đến 18.0.74. Các cài đặt Plesk Onyx cũng nằm trong diện ảnh hưởng.

Plesk đã phát hành các bản cập nhật bảo mật để khắc phục lỗ hổng CVE này. Các bản cập nhật nhỏ (micro-updates) cho các phiên bản 18.0.73.5 và 18.0.74.2 đã được cung cấp. Quản trị viên cần cài đặt chúng ngay lập tức để bảo vệ hệ thống của mình.

Hành động Khắc phục và Giảm thiểu Rủi ro

Để xử lý lỗ hổng CVE này, các tổ chức cần cập nhật cài đặt Plesk của họ mà không chậm trễ. Tài liệu hỗ trợ chính thức của Plesk cung cấp hướng dẫn toàn diện về cách cài đặt các bản cập nhật trên các bản phát hành phiên bản khác nhau. Quản trị viên hệ thống nên ưu tiên cập nhật tất cả các cài đặt Plesk bị ảnh hưởng lên các phiên bản đã được vá lỗi ngay lập tức.

Tham khảo hướng dẫn chi tiết từ Plesk tại Plesk Official Security Advisory để đảm bảo quy trình cập nhật chính xác và hiệu quả. Việc cài đặt bản vá bảo mật là bước quan trọng nhất để ngăn chặn khai thác.

Các Biện pháp Bảo vệ Bổ sung

Ngoài việc cập nhật bản vá bảo mật, các tổ chức nên xem xét lại các quyền truy cập đối với tính năng Password-Protected Directories. Đảm bảo rằng chỉ những người dùng được ủy quyền mới có thể truy cập và cấu hình tính năng này. Việc hạn chế quyền truy cập giúp giảm thiểu bề mặt tấn công tiềm năng.

Đồng thời, khuyến nghị giám sát nhật ký (log) hệ thống một cách chủ động để phát hiện các thay đổi cấu hình đáng ngờ hoặc các nỗ lực thực thi lệnh bất thường. Việc phát hiện sớm các dấu hiệu xâm nhập có thể giúp ngăn chặn các cuộc tấn công leo thang hoặc giảm thiểu thiệt hại.

Việc cập nhật định kỳ và áp dụng các biện pháp bảo mật toàn diện là cần thiết để bảo vệ hệ thống khỏi các lỗ hổng CVE như CVE-2025-66430 và các mối đe dọa an ninh mạng khác.