Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng (CISA) đã ban hành cảnh báo khẩn cấp về hai lỗ hổng CVE nghiêm trọng trong N-able N-Central. Các lỗ hổng này hiện đang bị khai thác tích cực, yêu cầu các tổ chức sử dụng nền tảng giám sát và quản lý từ xa này phải hành động ngay lập tức.

Các lỗ hổng được định danh là CVE-2025-8875 và CVE-2025-8876, đại diện cho những rủi ro bảo mật đáng kể. Chúng có thể cho phép kẻ tấn công thực thi lệnh từ xa và tiềm ẩn nguy cơ xâm phạm toàn bộ cơ sở hạ tầng mạng.

Tổng quan về Cảnh báo N-able N-Central

Cảnh báo mới nhất của CISA nhấn mạnh hai lỗ hổng riêng biệt nhưng nguy hiểm không kém, ảnh hưởng đến các hệ thống N-able N-Central.

Việc CISA đưa hai lỗ hổng này vào danh mục Known Exploited Vulnerabilities (KEV) của họ vào ngày 13 tháng 8 năm 2025 cho thấy mức độ nghiêm trọng. Hạn chót tuân thủ để xử lý các lỗ hổng này là ngày 20 tháng 8 năm 2025.

Sự phổ biến của N-able N-Central trong các môi trường doanh nghiệp để giám sát và quản lý từ xa làm cho nó trở thành mục tiêu hấp dẫn. Khả năng truy cập đặc quyền của nền tảng này vào cơ sở hạ tầng mạng biến nó thành điểm mấu chốt cho các tác nhân đe dọa.

Phân tích Kỹ thuật các Lỗ hổng CVE

Các lỗ hổng này đều có khả năng dẫn đến việc thực thi mã từ xa (Remote Code Execution – RCE).

Chúng cho phép kẻ tấn công kiểm soát hệ thống bị ảnh hưởng, mở đường cho các cuộc tấn công tiếp theo hoặc chiếm quyền kiểm soát toàn bộ mạng.

CVE-2025-8875: Lỗi Deserialization không an toàn

Lỗ hổng đầu tiên, CVE-2025-8875, liên quan đến lỗi deserialization không an toàn. Điều này có thể cho phép kẻ tấn công thực thi các lệnh tùy ý trên các hệ thống bị ảnh hưởng.

Loại lỗ hổng này phát sinh khi các ứng dụng thực hiện deserialization dữ liệu không đáng tin cậy. Nếu không có xác thực phù hợp, nó tạo cơ hội cho việc chèn mã độc hại.

Kẻ tấn công có thể tạo ra các đối tượng serialization độc hại. Khi hệ thống N-able N-Central xử lý chúng, mã độc có thể được thực thi.

CVE-2025-8876: Lỗi Command Injection

Lỗ hổng thứ hai, CVE-2025-8876, là một lỗi command injection. Nguyên nhân do không làm sạch đầu vào người dùng đúng cách.

Lỗ hổng này cho phép kẻ tấn công chèn các lệnh độc hại thông qua các trường nhập liệu không được xác thực. Điều này có thể cấp quyền truy cập trái phép vào tài nguyên hệ thống và dữ liệu nhạy cảm.

Kẻ tấn công có thể tận dụng các chức năng cho phép thực thi lệnh hệ điều hành. Bằng cách chèn các ký tự đặc biệt, chúng có thể phá vỡ lệnh dự kiến và thực thi mã tùy ý.

Tình hình Khai thác Lỗ hổng và Mức độ Nghiêm trọng

Việc định danh các lỗ hổng CVE này là “đang bị khai thác tích cực” (under active exploitation) cho thấy các tác nhân đe dọa đã và đang lợi dụng chúng. Tình trạng này khiến các tổ chức cần áp dụng biện pháp bảo vệ ngay lập tức.

Mặc dù chưa rõ liệu các lỗ hổng này có liên quan đến các chiến dịch mã độc tống tiền (ransomware) hay không, việc chúng đang bị khai thác nâng cao mức độ khẩn cấp. Các tổ chức phải thực hiện các biện pháp bảo vệ ngay lập tức.

Thời điểm phát hiện các lỗ hổng này đặc biệt đáng lo ngại. N-able N-Central có quyền truy cập đặc quyền vào cơ sở hạ tầng mạng. Điều này biến nó thành mục tiêu hấp dẫn đối với tội phạm mạng.

CISA đã đưa cả hai lỗ hổng CVE này vào danh mục Known Exploited Vulnerabilities (KEV) của họ. Điều này được thực hiện vào ngày 13 tháng 8 năm 2025, với thời hạn tuân thủ là ngày 20 tháng 8 năm 2025. Bạn có thể tham khảo danh mục KEV của CISA tại: https://www.cisa.gov/known-exploited-vulnerabilities-catalog.

Các Biện pháp Khắc phục và Khuyến nghị

Các tổ chức đang sử dụng N-able N-Central phải ưu tiên các nỗ lực khắc phục ngay lập tức để giải quyết các lỗ hổng CVE nghiêm trọng này.

CISA đã chỉ đạo các tổ chức áp dụng các biện pháp giảm thiểu do nhà cung cấp cung cấp ngay lập tức. Ngoài ra, cần tuân thủ hướng dẫn Chỉ thị Vận hành Ràng buộc (Binding Operational Directive – BOD) 22-01 cho các dịch vụ đám mây.

Nếu không có biện pháp giảm thiểu thích hợp, tổ chức nên ngừng sử dụng sản phẩm. Thời hạn tuân thủ bảy ngày do CISA đưa ra nhấn mạnh sự nghiêm trọng của các lỗ hổng này. Đồng thời, nó cũng cho thấy mối đe dọa cận kề đối với cơ sở hạ tầng an ninh mạng trên nhiều lĩnh vực.

Việc cập nhật bản vá bảo mật hoặc áp dụng các cấu hình an toàn là tối quan trọng để bảo vệ hệ thống. Các quản trị viên cần theo dõi chặt chẽ các thông báo từ N-able và CISA để đảm bảo hệ thống được bảo vệ đầy đủ trước các mối đe dọa mạng hiện tại và tương lai.