Nghiên cứu bảo mật gần đây của Mattia “0xbro” Brollo đã công bố một loạt lỗ hổng CVE nghiêm trọng trong hệ thống CRM vtenext, phiên bản 25.02 và các phiên bản cũ hơn. Những lỗ hổng này cho phép kẻ tấn công không cần xác thực có thể bỏ qua hoàn toàn cơ chế đăng nhập và thực thi mã tùy ý trên các cài đặt bị ảnh hưởng, gây ra rủi ro bảo mật đáng kể.

Phân Tích Các Lỗ Hổng Nghiêm Trọng trong vtenext CRM

Mặc dù vtenext đã âm thầm vá một trong số các lỗ hổng này trong phiên bản 25.02.1, hai vector tấn công nguy hiểm tương đương vẫn chưa được xử lý. Điều này đặt vô số doanh nghiệp nhỏ và vừa trên toàn thế giới vào tình thế rủi ro bảo mật cao do các lỗ hổng CVE chưa được vá.

Chuỗi Tấn Công Bỏ Qua Xác Thực (Authentication Bypass Chain)

Vector tấn công đầu tiên là một chuỗi bỏ qua xác thực, lạm dụng lỗ hổng cross-site scripting (XSS) phản ánh trong module HomeWidgetBlockList. Tại đây, các giá trị widgetId không được làm sạch và được trả về với header Content-Type: text/html. Đây là một dạng lỗ hổng CVE phổ biến trong các ứng dụng web.

Kẻ tấn công có thể chèn payload JavaScript qua yêu cầu POST hoặc, do thao tác phương thức HTTP, qua các yêu cầu GET mà không cần kiểm tra token CSRF.

Một lỗi rò rỉ thông tin đi kèm trong module Touch sau đó làm lộ cookie phiên của nạn nhân, vô hiệu hóa cờ HttpOnly và cấp khả năng chiếm đoạt phiên.

Mã Proof-of-Concept (PoC) minh họa cách payload <img onerror> được chèn có thể trích xuất PHPSESSID về máy chủ do kẻ tấn công kiểm soát.

SQL Injection và Rò Rỉ Dữ liệu Nhạy Cảm

Vector tấn công thứ hai kết hợp cùng một lỗ hổng XSS và khả năng bỏ qua CSRF với một lỗ hổng SQL Injection trong tệp modules/Fax/EditView.php. Chuỗi này tạo ra một lỗ hổng CVE phức tạp.

Ở đây, các tên trường do người dùng cung cấp được chèn trực tiếp vào các truy vấn SQL, ngay cả khi các prepared statements được sử dụng trên danh nghĩa. Điều này cho phép kẻ tấn công trích xuất dữ liệu tùy ý.

Ngoài việc đọc thông tin đăng nhập của người dùng, lỗ hổng này còn có thể thu thập token đặt lại mật khẩu từ bảng vte_userauthtoken. Điều này cho phép tấn công bẻ khóa token offline hoặc đặt lại mật khẩu trực tiếp qua các điểm cuối khôi phục của CRM.

Lỗ Hổng Đặt Lại Mật Khẩu Tùy Ý (Arbitrary Password Reset)

Lỗ hổng mạnh nhất, đã được vá âm thầm trong vtenext 25.02.1 nhưng vẫn còn tồn tại ở những nơi khác, là lỗ hổng đặt lại mật khẩu tùy ý trong tệp hub/rpwd.php. Đây là một lỗ hổng CVE cực kỳ nguy hiểm.

Kẻ tấn công có thể gửi một yêu cầu POST được tạo thủ công để gọi hành động change_password mà không yêu cầu token hợp lệ hoặc mật khẩu hiện tại của nạn nhân.

Bằng cách truyền bất kỳ tham số user_name và confirm_new_password nào, kẻ tấn công kích hoạt một cập nhật cơ sở dữ liệu trực tiếp, đặt mật khẩu mới cho tài khoản mục tiêu và vô hiệu hóa các token hiện có.

Đường Dẫn tới Thực Thi Mã Từ Xa (Remote Code Execution)

Sau khi khai thác các lỗ hổng CVE trên và xác thực thành công, có thể là với quyền quản trị viên, kẻ tấn công có nhiều con đường để đạt được remote code execution (RCE).

Khai Thác Local File Inclusion (LFI)

Các lỗ hổng CVE dạng Local File Inclusion (LFI) trong các module khác nhau cho phép duyệt và bao gồm các tệp .php tùy ý trên đĩa.

Trong các môi trường có framework PEAR được cài đặt, kẻ tấn công có thể bao gồm pearcmd.php để ghi các script backdoor vào thư mục gốc web.

# Ví dụ khái niệm về việc bao gồm file với pearcmd.php
# (Lưu ý: lệnh thực tế sẽ phụ thuộc vào đường dẫn và cấu hình hệ thống)
GET /path/to/vtenext/index.php?module=SomeLFIModule&action=View&file=../../../../pearcmd.php HTTP/1.1

Lạm Dụng Chức Năng Tải Lên Module

Ngoài ra, chức năng tải lên module hợp pháp cũng có thể bị lạm dụng. Bằng cách nhập một module tùy chỉnh chứa một web shell đơn giản, quản trị viên có thể bị lừa cấp RCE liên tục trong CRM. Đây là một rủi ro bảo mật nghiêm trọng dẫn đến việc kiểm soát hoàn toàn hệ thống.

Phản Hồi từ Nhà Cung Cấp và Khuyến Nghị Bảo Mật

Lịch sử tiết lộ của Mattia “0xbro” Brollo tiết lộ ba tháng liên hệ không thành công với nhà cung cấp. Cuối cùng, vtenext đã phát hành một “bản vá âm thầm” cho lỗ hổng đặt lại mật khẩu vào ngày 24 tháng 7 năm 2025, mà không có xác nhận hay ghi công.

Trong một phản hồi muộn vào ngày 13 tháng 8, vtenext đổ lỗi cho các lỗi giao tiếp là do bộ lọc thư rác và lưu ý rằng một số vấn đề đã được vá trong quá trình đánh giá VAPT của bên thứ ba.

Với việc không có chính sách tiết lộ phối hợp, hai vector tấn công quan trọng vẫn còn tồn tại trong hàng triệu dòng mã cũ. Để giảm thiểu rủi ro bảo mật này, các tổ chức đang sử dụng vtenext phải thực hiện cập nhật bản vá ngay lập tức lên phiên bản 25.02.1.

Cần xác minh rằng các điểm cuối CSRF, XSS và đặt lại mật khẩu được bảo mật đúng cách. Cho đến khi các khai thác còn lại được vá, người dùng CRM, đặc biệt là các doanh nghiệp nhỏ và vừa có nguồn lực hạn chế, vẫn tiếp xúc với rủi ro chiếm đoạt tài khoản hoàn toàn và xâm nhập máy chủ từ xa do các lỗ hổng CVE này gây ra.