Nền tảng Quản lý Truy cập Đặc quyền (PAM) toàn diện Securden Unified PAM, được thiết kế để lưu trữ, quản lý và giám sát thông tin xác thực trên các danh tính con người, máy móc và AI, gần đây đã trở thành mục tiêu của một loạt các hoạt động red teaming liên tục. Các nhà nghiên cứu bảo mật đã phát hiện bốn lỗ hổng CVE nghiêm trọng trong nền tảng này, tiềm ẩn nguy cơ khai thác nghiêm trọng.

Những lỗ hổng này bao gồm bỏ qua xác thực, tải lên tệp không hạn chế, tấn công path traversal và rủi ro hạ tầng chia sẻ. Chúng có thể cho phép kẻ tấn công truy cập mật khẩu nhạy cảm, thực thi mã tùy ý hoặc xâm nhập vào các gateway đa người thuê (multi-tenant gateways).

Phân Tích Các Lỗ Hổng CVE Nghiêm Trọng trong Securden Unified PAM

Các lỗ hổng được xác định bởi nhóm của Rapid7, bao gồm Aaron Herndon và Marcus Chang, trong quá trình thử nghiệm tấn công mô phỏng. Điều này nhấn mạnh tính dễ bị tổn thương của nền tảng như một mục tiêu giá trị cao cho các tác nhân đe dọa.

Các phiên bản bị ảnh hưởng là từ 9.0.x đến 11.3.1. Bản vá đã có sẵn trong phiên bản 11.4.4 sau quá trình phối hợp nhanh chóng giữa Rapid7 và Securden.

CVE-2025-53118: Lỗ Hổng Bỏ Qua Xác Thực (Authentication Bypass)

Vấn đề nghiêm trọng nhất là CVE-2025-53118 với điểm CVSS 9.4 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L). Lỗ hổng này cho phép kẻ tấn công không cần xác thực bỏ qua cơ chế xác thực.

Kẻ tấn công thực hiện điều này bằng cách thao túng session cookies và CSRF tokens lấy được từ các endpoint cụ thể như /thirdparty-access và /get_csrf_token. Kỹ thuật này cấp quyền kiểm soát các chức năng sao lưu của quản trị viên, chẳng hạn như kích hoạt xuất mật khẩu được mã hóa qua endpoint /configure_schedule.

Các tham số như SCHEDULE_ENCRYPTED_HTML_BACKUP có thể được sử dụng. Kẻ tấn công có thể chỉ định cụm mật khẩu và vị trí đầu ra tùy chỉnh.

Các vị trí này bao gồm chia sẻ SMB từ xa hoặc webroot /static/ của ứng dụng, tạo điều kiện cho việc rò rỉ các bản sao lưu đã giải mã chứa mật khẩu, bí mật và session tokens.

Trong trường hợp tài khoản superadmin bị vô hiệu hóa, kẻ tấn công vẫn có thể ép buộc sao lưu toàn bộ cơ sở dữ liệu bằng cách sử dụng DATABASE_BACKUP làm schedule_type.

Điều này cho phép trích xuất active Django session cookies để tấn công chiếm quyền phiên (session hijacking) và sau đó là lấy thông tin xác thực thông qua các giao diện ứng dụng hợp pháp. Để khai thác, cần bỏ qua header X-Requested-With nhằm tránh lỗi máy chủ.

Mặc dù tên tệp được đặt theo ngày và có thể đoán được một phần, phương pháp này cho phép sao lưu lặp lại cứ vài phút một lần. Điều này nhằm nắm bắt các phiên người dùng hợp lệ, làm tăng nguy cơ tấn công giả mạo. Tham khảo thêm về tấn công chiếm quyền phiên tại GBHackers.

Chuỗi Lỗ Hổng CVE-2025-53119 và CVE-2025-53120: Tải Lên Tệp Không Hạn Chế và Tấn Công Path Traversal

Nghiêm trọng hơn, CVE-2025-53119 (CVSS 7.5: AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N) và CVE-2025-53120 (CVSS 9.4: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L) giới thiệu các lỗ hổng CVE tải lên tệp không hạn chế không cần xác thực và tấn công path traversal.

Các lỗ hổng này tồn tại trong endpoint /accountapp/upload_web_recordings_from_api_server. Lỗ hổng đầu tiên cho phép tải lên các tệp tùy ý, bao gồm mã nhị phân hoặc script độc hại, vào thư mục web recordings của máy chủ mà không có bất kỳ xác thực loại tệp nào.

Lỗ hổng thứ hai khai thác các tham số có thể duyệt qua như file_name và relative_path để ghi đè các tệp quan trọng trong thư mục cấu hình hoặc web root.

Ví dụ, kẻ tấn công có thể thay thế các script mặc định như postgresBackup.bat bằng các payload reverse shell. Điều này sẽ kích hoạt thực thi mã từ xa (Remote Code Execution – RCE) trong quá trình sao lưu cơ sở dữ liệu định kỳ.

Các thử nghiệm cho thấy chúng có thể bị khai thác từ phiên bản 11.1.x trở đi, mặc dù không phải trong 9.0.1. Việc kết hợp chúng với lỗ hổng bỏ qua xác thực làm tăng nguy cơ lên RCE không cần xác thực.

Điều này cho phép thực thi lệnh hệ điều hành có đặc quyền trên máy chủ. Chuỗi tấn công này làm nổi bật việc thiếu kiểm soát đầu vào và kiểm soát truy cập không đầy đủ của nền tảng.

Nó có thể dẫn đến việc thỏa hiệp toàn bộ máy chủ. Để biết thêm về các cảnh báo tương tự, có thể tham khảo CISA cảnh báo về các lỗ hổng Controlid idSecure.

CVE-2025-6737: Rủi Ro Hạ Tầng Chia Sẻ (Shared Infrastructure Risk)

Lỗ hổng thứ tư, CVE-2025-6737 (CVSS 7.2: AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:L/A:N), xuất phát từ cổng Remote Vendor Gateway của Securden. Cổng này chia sẻ các khóa SSH, access tokens và hạ tầng đám mây trên nhiều người thuê.

Rapid7 đã quan sát thấy các reverse SSH tunnels được thiết lập bằng một khóa tĩnh (tunnel-user-key.pem) tới một máy chủ chung. Ví dụ, IP 18.217.245.55 trên cổng 443, làm lộ các phiên bản PAM nội bộ thông qua thông tin xác thực được chia sẻ. Điều này được ghi nhận trong bài viết của Rapid7 tại Rapid7 Blog.

Thiết lập đa người thuê này cho phép truy cập cấp thấp vào gateway, có khả năng kích hoạt khai thác chéo khách hàng thông qua các tunnels bị chặn hoặc liệt kê netstat các IP đã kết nối.

Các nhật ký trong reversetunnelcreator.log đã tiết lộ các kết nối lạ. Bằng cách giám sát các sự kiện tệp, các nhà nghiên cứu đã bắt được khóa tạm thời trong quá trình khởi động lại dịch vụ, xác nhận việc thiếu cô lập.

Các Chỉ Dẫn Khai Thác (Exploitation Details) và IOCs Tiềm Năng

Để hiểu rõ hơn về các chỉ dẫn khai thác, chúng ta hãy đi sâu vào chi tiết kỹ thuật từng bước. Các lỗ hổng này cho phép kẻ tấn công mạng kiểm soát hệ thống một cách đáng kể.

Khai thác CVE-2025-53118

Kẻ tấn công không cần xác thực có thể thao túng session cookies và CSRF tokens. Điều này thực hiện bằng cách gửi yêu cầu đến /thirdparty-access và /get_csrf_token.

Sau đó, sử dụng các thông tin này để kích hoạt chức năng sao lưu quản trị viên. Đặc biệt là tạo bản sao lưu mật khẩu được mã hóa qua endpoint /configure_schedule với tham số SCHEDULE_ENCRYPTED_HTML_BACKUP.

POST /configure_schedule HTTP/1.1
Host: securden.example.com
Cookie: sessionid=YOUR_SESSION_ID
X-CSRFToken: YOUR_CSRF_TOKEN
Content-Type: application/x-www-form-urlencoded
X-Requested-With: (omit this header to bypass server error)

schedule_type=SCHEDULE_ENCRYPTED_HTML_BACKUP&output_path=/static/&passphrase=YOUR_PASSPHRASE

Khi superadmin bị vô hiệu hóa, kẻ tấn công có thể buộc sao lưu toàn bộ cơ sở dữ liệu với schedule_type=DATABASE_BACKUP để trích xuất session cookies. Điều này dẫn đến việc chiếm quyền truy cập.

Khai thác CVE-2025-53119 và CVE-2025-53120

Các lỗ hổng này kết hợp cho phép tải lên tệp tùy ý và thực hiện path traversal. Kẻ tấn công có thể tải lên các tệp độc hại, ví dụ như reverse shell payload, vào thư mục web recordings.

Endpoint mục tiêu là /accountapp/upload_web_recordings_from_api_server. Sau đó, lợi dụng path traversal để ghi đè các tệp hệ thống quan trọng, chẳng hạn như postgresBackup.bat.

Khi các lệnh sao lưu tự động chạy, payload sẽ được kích hoạt, dẫn đến RCE không cần xác thực.

POST /accountapp/upload_web_recordings_from_api_server HTTP/1.1
Host: securden.example.com
Content-Type: multipart/form-data; boundary=----------WebKitFormBoundaryABCDEF

------------WebKitFormBoundaryABCDEF
Content-Disposition: form-data; name="file_name"; filename="../../../../../../Program Files/PostgreSQL/13/bin/postgresBackup.bat"
Content-Type: application/octet-stream

(reverse shell payload here)
------------WebKitFormBoundaryABCDEF--

IOCs Tiềm Năng

• Địa chỉ IP:18.217.245.55 (máy chủ chung cho reverse SSH tunnels)
• Tên tệp khóa:tunnel-user-key.pem (khóa tĩnh dùng cho reverse SSH tunnels)
• Nhật ký: Các mục lạ trong reversetunnelcreator.log
• Tên tệp bị ghi đè:postgresBackup.bat hoặc các tệp cấu hình/script hệ thống khác
• Các yêu cầu không có header X-Requested-With: Đến các endpoint quản trị như /configure_schedule.

Tác Động và Khuyến Nghị Bảo Mật

Securden, dưới sự lãnh đạo của CEO Bala Venkatramani, đã nhanh chóng khắc phục tất cả các vấn đề trong phiên bản 11.4.4. Điều này nhấn mạnh cam kết của họ đối với bảo mật thông qua sự hợp tác với các nhà nghiên cứu.

Khách hàng được khuyến nghị cập nhật ngay lập tức. Những lỗ hổng CVE này có thể tạo điều kiện cho việc triển khai mã độc tống tiền (ransomware), rò rỉ dữ liệu hoặc các cuộc tấn công chuỗi cung ứng trong các môi trường dựa vào PAM để quản trị thông tin xác thực.

Việc tiết lộ của Rapid7 phù hợp với chính sách của họ, củng cố giá trị của việc thực hiện red teaming liên tục. Mục tiêu là để xác định các mối đe dọa mới nổi trước khi chúng bị khai thác bởi các tác nhân độc hại. Việc cập nhật bản vá là cực kỳ quan trọng.