Mới đây, Adobe đã phát hành bản cập nhật khẩn cấp để khắc phục hai lỗ hổng bảo mật trong sản phẩm Adobe Experience Manager (AEM) Forms on JEE, sau khi nhóm nghiên cứu công bố chuỗi khai thác cho phép tin tặc thực thi mã từ xa mà không cần xác thực.
Vụ việc này làm dấy lên mối lo ngại về quy trình vá lỗi chậm trễ của Adobe, khi hai trong số ba lỗ hổng này đã không được khắc phục sau hơn 90 ngày kể từ khi được cảnh báo. Và đặc biệt, có lỗ hổng được đánh giá ở mức cao nhất (CVSS 10) và có thể gây rủi ro rất lớn cho các hệ thống doanh nghiệp, đặc biệt là nơi triển khai dịch vụ trực tuyến xử lý biểu mẫu.
Ba lỗ hổng được báo cáo cho Adobe vào ngày 28/4/2025, tuy nhiên Adobe chỉ vá một trong số đó vào ngày 5/8/2025, còn lại hai lỗ hổng quan trọng khác vẫn chưa được xử lý sau hơn 3 tháng.
Vì lý do an toàn cộng đồng, các chuyên gia đã công bố chi tiết kỹ thuật và khai thác của chuỗi lỗi vào ngày 29/7/2025, buộc Adobe phải phát hành bản cập nhật vá lỗi ngay sau đó. Ba lỗ hổng đó là:
CVE-2025-54254 (CVSS: 10): Lỗi XXE trong dịch vụ xác thực SOAP
Theo các chuyên gia, việc ba lỗi bảo mật nói trên có thể kết hợp thành một chuỗi khai thác hoàn chỉnh, cho phép tin tặc:
Đối tượng bị ảnh hưởng: Các tổ chức, doanh nghiệp, cơ quan chính phủ, tổ chức tài chính, bảo hiểm, y tế đang triển khai AEM Forms on JEE.
Điều kiện tấn công: Không cần tài khoản, không cần truy cập nội bộ mà chỉ cần hệ thống mở ra Internet.
Rủi ro: Một máy chủ bị chiếm quyền có thể trở thành bàn đạp để xâm nhập sâu hơn vào mạng nội bộ, gây rò rỉ dữ liệu quy mô lớn hoặc bị mã hóa tống tiền.
Để bảo vệ hệ thống, các chuyên gia khuyến cáo:
Vụ việc này làm dấy lên mối lo ngại về quy trình vá lỗi chậm trễ của Adobe, khi hai trong số ba lỗ hổng này đã không được khắc phục sau hơn 90 ngày kể từ khi được cảnh báo. Và đặc biệt, có lỗ hổng được đánh giá ở mức cao nhất (CVSS 10) và có thể gây rủi ro rất lớn cho các hệ thống doanh nghiệp, đặc biệt là nơi triển khai dịch vụ trực tuyến xử lý biểu mẫu.
Ba lỗ hổng được báo cáo cho Adobe vào ngày 28/4/2025, tuy nhiên Adobe chỉ vá một trong số đó vào ngày 5/8/2025, còn lại hai lỗ hổng quan trọng khác vẫn chưa được xử lý sau hơn 3 tháng.
CVE-2025-54254 (CVSS: 10): Lỗi XXE trong dịch vụ xác thực SOAP
- Lỗ hổng này nằm trong dịch vụ xác thực SOAP - một phần trong AEM Forms. Bằng cách gửi một tập tin XML đặc biệt, hacker có thể "lừa" máy chủ tiết lộ các tập tin quan trọng trong hệ thống mà không cần đăng nhập.
- Đã được vá trong bản cập nhật khẩn cấp phát hành sau ngày 29/7/2025, sau khi nhà nghiên cứu công bố chi tiết khai thác.
- Lỗi này nằm trong module /adminui. Adobe để chế độ phát triển bật mặc định, vốn không nên xuất hiện ở môi trường sản phẩm. Điều này cho phép kẻ tấn công gửi lệnh đặc biệt để thực thi mã tùy ý qua HTTP mà không cần đăng nhập.
- Đã được vá trong bản cập nhật khẩn cấp phát hành sau ngày 29/7/2025, sau khi nhà nghiên cứu công bố chi tiết khai thác.
- Mức độ nguy hiểm: RCE không cần xác thực
- FormServer xử lý dữ liệu đầu vào mà không kiểm tra kỹ, dẫn tới việc tin tặc có thể chèn mã độc qua quá trình giải mã đối tượng Java (deserialization) để chiếm quyền điều khiển máy chủ.
- Đã được vá vào 05/8/2025
Theo các chuyên gia, việc ba lỗi bảo mật nói trên có thể kết hợp thành một chuỗi khai thác hoàn chỉnh, cho phép tin tặc:
- Tiếp cận endpoint quản trị mà không cần xác thực.
- Đọc file nội bộ để lấy thông tin cấu hình, token hoặc dữ liệu nhạy cảm.
- Gửi payload độc hại để chiếm quyền thực thi mã từ xa trên máy chủ.
Đối tượng bị ảnh hưởng: Các tổ chức, doanh nghiệp, cơ quan chính phủ, tổ chức tài chính, bảo hiểm, y tế đang triển khai AEM Forms on JEE.
Điều kiện tấn công: Không cần tài khoản, không cần truy cập nội bộ mà chỉ cần hệ thống mở ra Internet.
Rủi ro: Một máy chủ bị chiếm quyền có thể trở thành bàn đạp để xâm nhập sâu hơn vào mạng nội bộ, gây rò rỉ dữ liệu quy mô lớn hoặc bị mã hóa tống tiền.
Để bảo vệ hệ thống, các chuyên gia khuyến cáo:
- Cập nhật ngay bản vá mới nhất từ Adobe dành cho AEM Forms on JEE. Các bản vá đã được Adobe công bố.
- Nếu chưa thể cập nhật ngay:
- Hạn chế truy cập từ internet tới toàn bộ nền tảng AEM Forms.
- Tắt chế độ phát triển trên Struts2.
- Kiểm tra log hệ thống để phát hiện truy cập bất thường tới /adminui, SOAP endpoint hoặc FormServer.
- Thực hiện kiểm thử bảo mật định kỳ cho các hệ thống web có sử dụng AEM hoặc các nền tảng xử lý biểu mẫu.
Theo WhiteHat.vn
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview