Trung tâm Điều phối Nhóm Ứng cứu Khẩn cấp Máy tính (CERT/CC) đã phát hành một cảnh báo bảo mật nghiêm trọng về các lỗ hổng CVE ảnh hưởng đến phần mềm kế toán đô thị của Workhorse Software Services. Các lỗ hổng này có khả năng cho phép truy cập trái phép vào dữ liệu tài chính nhạy cảm của chính phủ và thông tin nhận dạng cá nhân (PII).

Các lỗ hổng này, được định danh là CVE-2025-9037 và CVE-2025-9040, tác động đến tất cả các phiên bản của phần mềm kế toán đô thị Workhorse trước phiên bản 1.9.4.48019. Chúng tiềm ẩn rủi ro bảo mật đáng kể cho các đô thị đang sử dụng nền tảng này, có thể dẫn đến việc lộ số An sinh xã hội, hồ sơ tài chính đầy đủ và các dữ liệu thành phố nhạy cảm khác cho những đối tượng trái phép, gây ra thiệt hại nghiêm trọng về dữ liệu và uy tín.

Phân tích kỹ thuật các lỗ hổng CVE nghiêm trọng trong phần mềm Workhorse

Các vấn đề bảo mật được phát hiện trong phần mềm kế toán Workhorse Software Services bắt nguồn từ hai lỗi thiết kế cơ bản trong kiến trúc ứng dụng. Sự tồn tại của những lỗi này làm suy yếu nghiêm trọng khả năng bảo vệ dữ liệu tài chính và thông tin cá nhân của người dân, tạo điều kiện cho các tác nhân độc hại khai thác.

CVE-2025-9037: Lộ thông tin kết nối cơ sở dữ liệu trong tệp cấu hình dạng văn bản thuần

Lỗ hổng CVE-2025-9037 liên quan đến một phương pháp lưu trữ thông tin kém an toàn: các chuỗi kết nối SQL Server (SQL Server connection strings) được lưu trữ dưới dạng văn bản thuần (plaintext) trong các tệp cấu hình. Các tệp này thường được đặt cùng thư mục với tệp thực thi chính của ứng dụng.

Trong môi trường triển khai điển hình, các thư mục ứng dụng này thường nằm trên các thư mục mạng chia sẻ được lưu trữ bởi cùng một máy chủ đang chạy cơ sở dữ liệu SQL. Tình huống này tạo ra một điểm yếu nghiêm trọng: bất kỳ cá nhân nào có quyền đọc vào thư mục chia sẻ đều có khả năng khôi phục ngay lập tức thông tin đăng nhập cơ sở dữ liệu.

Điểm nguy hiểm nhất là nếu hệ thống được cấu hình sử dụng xác thực SQL (SQL authentication), thì thông tin tên người dùng và mật khẩu để truy cập cơ sở dữ liệu sẽ bị phơi bày hoàn toàn. Điều này cho phép kẻ tấn công dễ dàng chiếm quyền truy cập vào cơ sở dữ liệu, bỏ qua các lớp bảo vệ thông thường.

Việc lưu trữ thông tin xác thực nhạy cảm dưới dạng plaintext là một vi phạm cơ bản các nguyên tắc an toàn thông tin và quản lý cấu hình bảo mật, tạo điều kiện thuận lợi cho các cuộc tấn công leo thang đặc quyền.

CVE-2025-9040: Sao lưu cơ sở dữ liệu không cần xác thực từ màn hình đăng nhập

Lỗ hổng nghiêm trọng thứ hai, CVE-2025-9040, là một khuyết điểm trong chức năng sao lưu của ứng dụng. Lỗ hổng này cho phép người dùng chưa được xác thực (unauthenticated users) tạo các bản sao lưu cơ sở dữ liệu đầy đủ trực tiếp từ màn hình đăng nhập của ứng dụng, chỉ bằng cách truy cập thông qua menu “File”.

Chức năng sao lưu này thực hiện các hoạt động sao lưu của MS SQL Server Express và đáng báo động hơn, nó lưu tệp cơ sở dữ liệu thu được trong một kho lưu trữ ZIP không được mã hóa. Điều này có nghĩa là nội dung của bản sao lưu không được bảo vệ bằng bất kỳ hình thức mã hóa nào, khiến dữ liệu bên trong dễ bị đọc bởi bất kỳ ai truy cập được tệp.

Hậu quả nghiêm trọng nhất là bản sao lưu này sau đó có thể được khôi phục vào bất kỳ phiên bản SQL Server nào mà không yêu cầu xác thực bằng mật khẩu. Điều này trao toàn quyền kiểm soát cơ sở dữ liệu cho kẻ tấn công, cho phép họ truy cập, sửa đổi hoặc xóa tất cả dữ liệu có trong đó.

Khả năng khai thác lỗ hổng này rất cao do không yêu cầu xác thực và quy trình sao lưu/khôi phục đơn giản, biến nó thành một công cụ cực kỳ mạnh mẽ để đánh cắp dữ liệu quy mô lớn và toàn quyền kiểm soát thông tin tài chính của đô thị.

Tác động và Rủi ro bảo mật sâu rộng đối với các hệ thống đô thị

Hậu quả của việc khai thác thành công các lỗ hổng CVE này vượt xa phạm vi rò rỉ dữ liệu đơn thuần. Nếu bị khai thác, kẻ tấn công có thể truy cập vào toàn bộ cơ sở dữ liệu của thành phố, gây ra một chuỗi các tác động tiêu cực:

• Lộ thông tin nhạy cảm quy mô lớn: Kẻ tấn công có thể tiếp cận không chỉ thông tin nhận dạng cá nhân (PII) của công dân như số An sinh xã hội, tên, địa chỉ, mà còn toàn bộ hồ sơ tài chính, ngân sách, thông tin thuế và các dữ liệu chính phủ bí mật khác.
• Thao túng và phá hoại dữ liệu: Ngoài nguy cơ đánh cắp dữ liệu, việc sở hữu các bản sao lưu cơ sở dữ liệu còn cho phép các tác nhân độc hại sửa đổi, xóa bỏ hoặc thậm chí chèn thêm dữ liệu vào hồ sơ tài chính. Hành vi này có thể làm tổn hại nghiêm trọng đến dấu vết kiểm toán, phá vỡ tính toàn vẹn và độ tin cậy của các hoạt động tài chính đô thị, dẫn đến gian lận tài chính hoặc làm sai lệch báo cáo.
• Hậu quả pháp lý, tài chính và uy tín: Việc rò rỉ dữ liệu nhạy cảm của công dân và chính quyền có thể gây ra các hậu quả pháp lý nghiêm trọng, bao gồm các khoản phạt lớn từ các cơ quan quản lý (ví dụ: GDPR, CCPA nếu áp dụng), chi phí khắc phục sự cố, và bồi thường thiệt hại. Đồng thời, uy tín của các tổ chức chính quyền địa phương sẽ bị thiệt hại nặng nề, làm suy giảm nghiêm trọng lòng tin của công chúng vào khả năng bảo vệ thông tin của chính quyền và hệ thống an ninh mạng của họ.

Những rủi ro bảo mật này đe dọa trực tiếp đến tính liên tục hoạt động và tính toàn vẹn của các dịch vụ công, đòi hỏi phản ứng khẩn cấp và toàn diện.

Khuyến nghị và Biện pháp giảm thiểu lỗ hổng hiệu quả

CERT/CC khuyến nghị mạnh mẽ và khẩn cấp việc cập nhật ngay lập tức phần mềm Workhorse lên phiên bản 1.9.4.48019. Đây là biện pháp khắc phục triệt để nhất và được ưu tiên hàng đầu để vá các lỗ hổng CVE đã được phát hiện và loại bỏ các vectơ tấn công tiềm năng.

Đối với các tổ chức chưa thể triển khai ngay lập tức bản vá bảo mật này, cần xem xét và áp dụng đồng thời một số chiến lược giảm thiểu rủi ro sau đây để tăng cường an toàn thông tin cho hệ thống:

• Hạn chế quyền truy cập NTFS nghiêm ngặt: Thiết lập các quyền NTFS (New Technology File System) chặt chẽ để giới hạn quyền truy cập vào các thư mục chứa ứng dụng và đặc biệt là các tệp cấu hình. Đảm bảo rằng chỉ những người dùng và quy trình được ủy quyền với mức đặc quyền tối thiểu mới có thể đọc hoặc sửa đổi các tệp nhạy cảm này.
• Chuyển sang xác thực Windows cho SQL Server: Thay vì sử dụng xác thực SQL (SQL Authentication) dựa trên tên người dùng/mật khẩu, hãy kích hoạt mã hóa SQL Server với xác thực Windows (Windows Authentication). Phương pháp này tích hợp chặt chẽ với hệ thống Active Directory, cung cấp một phương pháp quản lý danh tính tập trung, an toàn hơn và loại bỏ hoàn toàn nhu cầu lưu trữ thông tin đăng nhập trong các tệp cấu hình plaintext.
• Vô hiệu hóa chức năng sao lưu không cần thiết trong ứng dụng: Nếu chức năng sao lưu trực tiếp từ giao diện người dùng của ứng dụng không thực sự cần thiết cho hoạt động hàng ngày, hãy tìm cách vô hiệu hóa nó ở cấp độ nhà cung cấp hoặc thông qua các tùy chọn cấu hình. Việc loại bỏ hoàn toàn vectơ tấn công mà CVE-2025-9040 khai thác sẽ ngăn chặn kẻ tấn công tạo bản sao lưu trái phép.
• Triển khai phân đoạn mạng và quy tắc tường lửa chặt chẽ: Áp dụng các nguyên tắc phân đoạn mạng (network segmentation) để cách ly các máy chủ cơ sở dữ liệu và ứng dụng nhạy cảm khỏi các phần còn lại của mạng doanh nghiệp. Đồng thời, thiết lập các quy tắc tường lửa nghiêm ngặt để chỉ cho phép lưu lượng truy cập từ các địa chỉ IP và cổng được cho phép đến cơ sở dữ liệu, giảm thiểu bề mặt tấn công và khả năng truy cập trái phép.

Việc kết hợp nhiều lớp bảo vệ (defense-in-depth) sẽ tăng cường đáng kể tính bảo mật tổng thể cho hệ thống, giảm thiểu khả năng bị khai thác từ các lỗ hổng này và nâng cao khả năng phục hồi trước các mối đe dọa mạng.

Nguồn gốc phát hiện các lỗ hổng bảo mật nghiêm trọng

Các lỗ hổng CVE được mô tả ở trên đã được phát hiện trong quá trình kiểm toán bảo mật và cài đặt máy chủ bởi chuyên gia James Harrold thuộc Sparrow IT Solutions. Sự phát hiện kịp thời này đã giúp cộng đồng bảo mật và các tổ chức liên quan có biện pháp ứng phó.

Cảnh báo bảo mật chính thức, được tài liệu hóa chi tiết bởi Timur Snoke của CERT/CC, đã được công bố rộng rãi vào ngày 19 tháng 8 năm 2025 dưới dạng **Vulnerability Note VU#706118**.

Việc công bố này nhấn mạnh tính chất cực kỳ nghiêm trọng của các lỗ hổng ảnh hưởng đến các hệ thống chính phủ đô thị trên toàn quốc, kêu gọi các tổ chức liên quan hành động khẩn cấp để bảo vệ dữ liệu công dân và tài chính, đảm bảo **an toàn thông tin** cho các hệ thống trọng yếu.