Vào ngày 18 tháng 9 năm 2025, Orange Cert đã công khai một lỗ hổng CVE bỏ qua xác thực nghiêm trọng ảnh hưởng đến API Manager của Nokia CBIS (CloudBand Infrastructure Software) và NCS (Nokia Container Service), được định danh là CVE-2023-49564.

Với điểm CVSS 3.1 là 9.6 (AV:A/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H), CVE nghiêm trọng này đặt ra rủi ro đặc biệt lớn. Nó đe dọa các tổ chức dựa vào các nền tảng quản lý này để điều phối và bảo mật các chức năng mạng được container hóa.

Kẻ tấn công khai thác lỗ hổng có thể đi qua các điểm cuối API không giới hạn mà không cần thông tin đăng nhập hợp lệ. Điều này tiềm ẩn khả năng dẫn đến việc xâm nhập hoàn toàn các thành phần cơ sở hạ tầng nhạy cảm.

Phân tích Kỹ thuật Lỗ hổng CVE-2023-49564

Cơ chế Bỏ qua Xác thực

Lỗ hổng CVE-2023-49564 cư trú trong cơ chế xác minh xác thực bên trong container Nginx Podman. Đây là thành phần được sử dụng bởi các máy chủ CBIS 22 và NCS 22.12 Manager. Cụ thể, lớp xác thực của API thất bại trong việc xác thực đúng các tiêu đề HTTP tùy chỉnh.

Bằng cách tạo và chèn một tiêu đề có định dạng đặc biệt vào yêu cầu, một kẻ tấn công không được xác thực có thể bỏ qua tất cả các kiểm tra thông tin đăng nhập. Điều này cho phép chúng truy cập các điểm cuối (endpoints) API vốn chỉ dành riêng cho quản trị viên.

Phạm vi và Tầm ảnh hưởng của Lỗ hổng CVE

Các điểm cuối mà kẻ tấn công có thể truy cập kiểm soát các hoạt động quản lý hệ thống quan trọng. Chúng bao gồm việc thay đổi cấu hình slice mạng, triển khai các image container và truy xuất dữ liệu người thuê nhạy cảm.

Với đặc quyền rộng lớn của API, việc khai thác thành công cho phép kẻ tấn công thao túng hoặc trích xuất các tài sản có giá trị cao. Thậm chí có thể tiêm mã độc vào các container đang chạy hoặc làm gián đoạn các dịch vụ mạng trên mặt phẳng quản lý.

Thành phần service scope (S:C) của vector CVSS nhấn mạnh tác động của lỗ hổng CVE này. Nó ảnh hưởng đến cả tính bảo mật (confidentiality) và tính toàn vẹn (integrity) ở quy mô hệ thống, vượt ra ngoài phạm vi thành phần dễ bị tấn công trực tiếp.

Điều kiện Khai thác CVE Nghiêm trọng này

Sau khi xâm nhập vào mạng quản lý, các tác nhân đe dọa được hưởng các đặc quyền nâng cao mà không bị hạn chế truy cập thêm. Điều này loại bỏ hoàn toàn nhu cầu về di chuyển ngang (lateral movement) hoặc leo thang đặc quyền (privilege escalation) trong mạng.

Việc không cần tương tác người dùng (UI:N) và không yêu cầu đặc quyền (PR:N) càng đơn giản hóa quá trình khai thác. Điều kiện tiên quyết duy nhất để khai thác lỗ hổng CVE-2023-49564 là truy cập cấp mạng vào giao diện quản lý.

Giao diện quản lý thường được giới hạn trong một VLAN quản lý riêng tư để tăng cường bảo mật. Tuy nhiên, nhiều triển khai bỏ qua việc phân đoạn mạng nghiêm ngặt. Điều này có thể khiến API tiếp xúc với các mạng nội bộ rộng hơn, hoặc thậm chí là internet công cộng.

Trong những trường hợp này, các tác nhân độc hại có thể dễ dàng quét các cổng quản lý mở để xác định các phiên bản dễ bị tấn công. Sau đó, chúng có thể khởi chạy các công cụ tiêm tiêu đề tự động để giành quyền truy cập trái phép ngay lập tức vào hệ thống.

Tác động và Nguy cơ An ninh mạng

Rủi ro Chiếm quyền Điều khiển Hệ thống

Khả năng truy cập không hạn chế vào các điểm cuối API mà không cần xác thực cho phép kẻ tấn công chiếm quyền điều khiển hoàn toàn các thành phần cơ sở hạ tầng nhạy cảm. Điều này bao gồm quyền cấu hình lại, khởi động lại hoặc tắt các dịch vụ quan trọng.

Một cuộc tấn công thành công có thể dẫn đến việc kiểm soát toàn bộ các chức năng mạng được ảo hóa. Điều này gây ra sự gián đoạn nghiêm trọng hoặc thậm chí là tê liệt hoạt động của toàn bộ hệ thống. Lỗ hổng CVE này là một minh chứng rõ ràng về nguy cơ bảo mật khi các cơ chế xác thực bị bỏ qua.

Rủi ro Rò rỉ Dữ liệu và Gián đoạn Dịch vụ

Việc khai thác thành công lỗ hổng CVE-2023-49564 cho phép truy cập vào dữ liệu người thuê nhạy cảm. Hậu quả là có thể dẫn đến rò rỉ dữ liệu quy mô lớn, bao gồm thông tin cá nhân, cấu hình hệ thống hoặc dữ liệu kinh doanh độc quyền.

Ngoài ra, khả năng tiêm mã độc hoặc thao túng cấu hình mạng có thể làm gián đoạn nghiêm trọng các dịch vụ thiết yếu. Điều này không chỉ ảnh hưởng đến khả năng cung cấp dịch vụ mà còn gây tổn hại nghiêm trọng đến danh tiếng của tổ chức. Đây thực sự là một CVE nghiêm trọng đòi hỏi hành động khẩn cấp.

Các Hệ thống Bị Ảnh hưởng bởi Lỗ hổng CVE

Nokia đã xác nhận rằng lỗ hổng CVE-2023-49564 ảnh hưởng đến các cài đặt CBIS 22 và NCS 22.12 đang chạy cấu hình API Manager mặc định. Các tổ chức sử dụng các phiên bản cũ hơn hoặc các phiên bản được biên dịch tùy chỉnh cũng có thể dễ bị tấn công nếu chúng sử dụng cùng một logic xác thực Nginx Podman.

Điều này nhấn mạnh tầm quan trọng của việc kiểm tra toàn diện tất cả các phiên bản được triển khai. Chi tiết về lỗ hổng CVE và các thông tin liên quan có thể được tìm thấy trong khuyến nghị bảo mật chính thức của Nokia:

• Nokia Product Security Advisory CVE-2023-49564

Biện pháp Khắc phục và Phòng ngừa

Cập nhật Bản vá Bảo mật Khẩn cấp

Để khắc phục lỗ hổng CVE-2023-49564, Nokia đã phát hành các bản vá bảo mật cho cả hai sản phẩm bị ảnh hưởng. Đó là CBIS 22 FP1 MP1.2 và NCS 22.12 MP3. Các quản trị viên được khuyến nghị áp dụng các bản cập nhật này ngay lập tức để khôi phục việc xác thực tiêu đề và thực thi xác thực đúng cách.

Bản vá này hoạt động bằng cách thay thế hình ảnh container Nginx Podman dễ bị tấn công bằng một phiên bản đã được tăng cường bảo mật. Phiên bản mới này được thiết kế để từ chối các tiêu đề trái phép và thực hiện xác minh mã thông báo phiên mạnh mẽ trước khi cấp quyền truy cập API. Đây là bước quan trọng nhất để bảo vệ hệ thống khỏi CVE nghiêm trọng này.

Các Biện pháp Bảo vệ Bổ sung

• Phân đoạn mạng nghiêm ngặt: Triển khai tường lửa hoặc ACLs (Access Control Lists) để thực thi các hạn chế cấp IP nghiêm ngặt trên mạng quản lý. Mặc dù phương pháp này giảm bề mặt tấn công, nó không giải quyết được điểm yếu xác thực cơ bản, do đó cần kết hợp với các biện pháp khác.
• Kiểm soát truy cập Zero Trust: Áp dụng các nguyên tắc Zero Trust, đảm bảo rằng tất cả các yêu cầu truy cập được xác minh rõ ràng. Điều này áp dụng cho mọi yêu cầu, bất kể chúng đến từ đâu trong mạng hay đã được xác thực trước đó.
• Kiểm tra cấu hình API định kỳ: Thường xuyên kiểm tra và kiểm toán cấu hình API để phát hiện mọi sai sót hoặc lỗ hổng tiềm ẩn. Việc này giúp đảm bảo rằng không có cửa hậu hoặc cấu hình sai có thể bị khai thác.
• Giám sát hoạt động bất thường: Triển khai các hệ thống giám sát để liên tục theo dõi các mẫu truy cập bất thường hoặc các yêu cầu API đáng ngờ. Các hệ thống phát hiện xâm nhập (IDS) có thể cảnh báo sớm về một cuộc tấn công đang diễn ra hoặc đã xảy ra.

Bằng cách kết hợp các biện pháp thực hành tốt nhất này với việc triển khai bản vá bảo mật kịp thời, các doanh nghiệp có thể giảm đáng kể khả năng bị xâm nhập từ CVE-2023-49564.

Việc khám phá ra lỗ hổng CVE này bởi Orange Cert nhấn mạnh những thách thức dai dẳng trong việc bảo mật các chức năng mạng được container hóa và giao diện quản lý của chúng. Khi triển khai 5G và Edge tăng tốc, tính toàn vẹn và bảo mật của các API điều phối trở nên tối quan trọng.

Lỗ hổng nghiêm trọng này là một lời nhắc nhở rõ ràng cho các nhà điều hành về sự cần thiết phải duy trì quản lý bản vá và kỷ luật phân đoạn mạng nghiêm ngặt. Đây là cách duy nhất để bảo vệ vững chắc cơ sở hạ tầng viễn thông và CNTT quan trọng trước các mối đe dọa.