Cơ quan An ninh Cơ sở Hạ tầng và An ninh Mạng (CISA) đã phát đi một cảnh báo bảo mật khẩn cấp, sau khi bổ sung ba lỗ hổng CVE nghiêm trọng vào Danh mục Các Lỗ Hổng Đã Bị Khai Thác (KEV Catalog) vào ngày 25 tháng 8 năm 2025. Cảnh báo này nhấn mạnh việc khai thác tích cực hai lỗ hổng nghiêm trọng trong Citrix Session Recording và một lỗ hổng trong Git, yêu cầu các cơ quan liên bang và tổ chức tư nhân thực hiện hành động khắc phục ngay lập tức.

Cảnh Báo Khẩn Cấp về Các Lỗ Hổng CVE Bị Khai Thác

Việc CISA đưa ba lỗ hổng CVE này vào KEV Catalog là một tín hiệu rõ ràng rằng các tác nhân đe dọa đang tích cực sử dụng chúng trong các cuộc tấn công thực tế. Điều này đòi hỏi các tổ chức phải phản ứng nhanh chóng để duy trì tư thế an ninh của mình.

Danh mục KEV được thiết lập theo Chỉ thị Vận hành Ràng buộc (BOD) 22-01, đóng vai trò là kho lưu trữ sống các Lỗ hổng và Phơi nhiễm Chung (CVE) gây ra rủi ro đáng kể cho cơ sở hạ tầng của chính phủ.

Mặc dù BOD 22-01 nhắm mục tiêu cụ thể vào các cơ quan liên bang, CISA khuyến nghị mạnh mẽ tất cả các tổ chức ưu tiên khắc phục ngay lập tức các lỗ hổng CVE này như một phần của chương trình quản lý lỗ hổng toàn diện.

Chi Tiết Các Lỗ Hổng CVE Ảnh Hưởng đến Citrix Session Recording

Hai trong số các lỗ hổng CVE mới được đưa vào danh mục nhắm mục tiêu cụ thể vào cơ sở hạ tầng Citrix Session Recording. Chúng đại diện cho những rủi ro đáng kể đối với môi trường doanh nghiệp.

CVE-2024-8069: Deserialize Dữ Liệu Không Tin Cậy

CVE-2024-8069 liên quan đến một lỗ hổng deserialize dữ liệu không đáng tin cậy. Lỗ hổng này cho phép những kẻ tấn công thực thi mã độc hại bằng cách thao túng các luồng dữ liệu đã được serialize.

Loại lỗ hổng này từ lâu đã được các tác nhân đe dọa ưa chuộng. Nguyên nhân là do tiềm năng thực thi mã từ xa (Remote Code Execution – RCE) mà không cần xác thực. Việc khai thác thành công có thể dẫn đến việc chiếm quyền kiểm soát hoàn toàn hệ thống bị ảnh hưởng.

CVE-2024-8068: Quản Lý Đặc Quyền Không Chính Xác

CVE-2024-8068 tập trung vào việc quản lý đặc quyền không đúng cách trong thành phần Session Recording. Điểm yếu này cho phép kẻ tấn công leo thang đặc quyền và giành quyền truy cập trái phép vào các chức năng hệ thống nhạy cảm.

Hậu quả tiềm tàng là sự xâm nhập vào toàn bộ các phân đoạn mạng nơi cơ sở hạ tầng Citrix được triển khai. Điều này làm gia tăng đáng kể nguy cơ hệ thống bị xâm nhập và rò rỉ dữ liệu.

Lỗ Hổng CVE Trong Hệ Thống Kiểm Soát Phiên Bản Git

Lỗ hổng thứ ba, CVE-2025-48384, ảnh hưởng đến các hệ thống kiểm soát phiên bản Git thông qua một điểm yếu liên kết (link following weakness). Lỗ hổng này đặc biệt đáng lo ngại đối với các môi trường phát triển phần mềm và hệ thống quản lý mã nguồn.

CVE-2025-48384: Điểm Yếu Liên Kết

Lỗ hổng liên kết (link following weakness) trong Git có thể cho phép các tác nhân độc hại thao túng các liên kết tượng trưng (symbolic links).

Việc khai thác lỗ hổng CVE nghiêm trọng này có khả năng dẫn đến truy cập tệp trái phép hoặc thỏa hiệp kho mã nguồn. Điều này đặt ra mối đe dọa nghiêm trọng đối với tính toàn vẹn và bảo mật của các dự án phần mềm.

BOD 22-01 và Tầm Quan Trọng của KEV Catalog

Theo Chỉ thị Vận hành Ràng buộc (BOD) 22-01, các cơ quan của Chi nhánh Hành pháp Dân sự Liên bang phải khắc phục những lỗ hổng CVE này theo thời hạn quy định. Mục đích là để bảo vệ các mạng liên bang khỏi các mối đe dọa đang hoạt động.

BOD 22-01 đã thiết lập KEV Catalog như một kho lưu trữ động các Lỗ hổng và Phơi nhiễm Chung (CVE). Các lỗ hổng này được xác định là gây ra rủi ro đáng kể cho cơ sở hạ tầng của chính phủ.

Việc một lỗ hổng được thêm vào KEV Catalog phản ánh cách tiếp cận dựa trên bằng chứng của CISA đối với thông tin tình báo về mối đe dọa. Chỉ những lỗ hổng CVE có xác nhận khai thác tích cực mới được đưa vào danh mục này.

Chỉ định này là một cảnh báo mạnh mẽ rằng các tác nhân đe dọa đã và đang tận dụng những điểm yếu này trong các cuộc tấn công thực tế. Do đó, phản ứng nhanh chóng là điều cần thiết để duy trì tư thế an ninh mạng.

Biện Pháp Khắc Phục và Khuyến Nghị Của CISA

Các tổ chức đang sử dụng giải pháp Citrix Session Recording cần đánh giá ngay lập tức mức độ phơi nhiễm của mình. Họ phải triển khai các bản vá hoặc biện pháp giảm thiểu có sẵn.

Tương tự, các môi trường đang chạy các phiên bản Git bị ảnh hưởng cũng cần được chú ý kịp thời. Việc này nhằm ngăn chặn khả năng bị thỏa hiệp kho mã nguồn.

CISA nhấn mạnh rằng các loại lỗ hổng CVE này thường xuyên là vectơ tấn công cho các tác nhân mạng độc hại.

Các đội ngũ bảo mật nên tích hợp việc giám sát KEV Catalog vào quy trình quản lý lỗ hổng thông thường của họ. CISA sẽ tiếp tục mở rộng danh mục này với các lỗ hổng CVE mới bị khai thác được xác định, đáp ứng các tiêu chí rủi ro cụ thể.

Việc áp dụng kịp thời các bản vá bảo mật là bước then chốt. Điều này giúp bảo vệ hệ thống khỏi các mối đe dọa đã được xác nhận là đang bị khai thác.

Ưu tiên cập nhật bản vá không chỉ giúp tuân thủ các chỉ thị mà còn tăng cường khả năng phục hồi tổng thể của tổ chức trước các cuộc tấn công mạng.