Lỗ hổng trong SUSE Manager cho phép thực thi lệnh root mà không cần đăng nhập xác thực

[Kaya]

Một lỗ hổng bảo mật nghiêm trọng vừa được phát hiện trong SUSE Manager - công cụ quản lý hệ thống phổ biến trong nhiều tổ chức và doanh nghiệp. Lỗ hổng này cho phép tin tặc thực thi lệnh với quyền root từ xa mà không cần xác thực, gây ra nguy cơ mất kiểm soát hoàn toàn máy chủ chỉ trong vài giây.

Được định danh là CVE-2025-46811, lỗ hổng này đã được đánh giá ở mức nguy cấp với điểm CVSS lên tới 9,3. Trong bối cảnh SUSE Manager được triển khai rộng rãi trên môi trường doanh nghiệp, từ hệ thống vật lý đến container và đám mây, lỗ hổng này có thể ảnh hưởng lớn đến hàng nghìn máy chủ trên toàn thế giới.

Lỗ hổng xuất phát từ giao diện WebSocket của SUSE Manager - một thành phần dùng để gửi lệnh từ xa tới các hệ thống con (minion). Cụ thể, endpoint /rhn/websocket/minion/remote-commands không yêu cầu bất kỳ cơ chế xác thực nào. Kẻ tấn công chỉ cần có kết nối mạng tới máy chủ chạy SUSE Manager là có thể gửi lệnh với quyền root.

Điều này tương đương với việc một cánh cửa quản trị hệ thống được mở toang không khóa, cho phép hacker truy cập sâu vào toàn bộ hệ thống.

Lỗ hổng ảnh hưởng đến nhiều phiên bản SUSE Manager, bao gồm:

• SUSE Manager Container phiên bản 5.0.5.7.30.1
• Các bản hệ điều hành SLES15-SP4-Manager-Server
• SUSE Manager Server Module 4.3
• Các bản triển khai trên Azure, AWS EC2, Google Cloud Engine

Sự đa dạng của các môi trường bị ảnh hưởng cho thấy phạm vi tấn công không chỉ giới hạn trong hệ thống cục bộ, mà còn mở rộng ra cloud, hybrid cloud và cả các container quản lý tập trung.

Với quyền root, tin tặc có thể:

• Cài mã độc hoặc cửa hậu (backdoor) để truy cập lâu dài
• Xóa, thay đổi hoặc đánh cắp dữ liệu
• Sử dụng máy chủ bị xâm nhập làm bàn đạp để tấn công lan rộng (lateral movement)
• Vô hiệu hóa hệ thống bảo mật, làm gián đoạn dịch vụ
• Vì lỗ hổng không yêu cầu đặc quyền hay tương tác người dùng, nó được xếp vào nhóm dễ khai thác nhưng cực kỳ nguy hiểm, tương tự như các lỗ hổng từng gây ra sự cố quy mô lớn như Log4Shell hay Heartbleed.

Lỗi nằm ở thiếu xác thực (authentication bypass) khi xử lý các kết nối đến endpoint WebSocket dành cho thực thi lệnh. Thay vì yêu cầu token hoặc chứng thực người dùng, hệ thống mặc định cho phép bất kỳ ai gửi lệnh đến endpoint này, dẫn đến khả năng thực thi mã tùy ý với quyền root.

Việc một điểm truy cập nhạy cảm như vậy thiếu kiểm soát xác thực là sai sót nghiêm trọng trong thiết kế bảo mật của hệ thống.

Các chuyên gia khuyến cáo:

• Kiểm tra toàn bộ hệ thống có cài SUSE Manager (cả bản vật lý, container và cloud).
• Cập nhật ngay bản vá mới nhất do SUSE vừa phát hành để khắc phục CVE-2025-46811.
• Tạm thời chặn hoặc hạn chế truy cập tới endpoint /rhn/websocket/minion/remote-commands bằng tường lửa hoặc phân đoạn mạng.
• Giám sát hệ thống và nhật ký để phát hiện hoạt động bất thường liên quan đến thực thi lệnh root từ xa
• Rà soát toàn bộ các endpoint và API nhạy cảm, đảm bảo được xác thực đầy đủ.
• Thiết lập Zero Trust Architecture: Không tin cậy bất kỳ truy cập nào trừ khi được xác thực rõ ràng.
• Thường xuyên cập nhật phần mềm quản trị

Với mức độ nghiêm trọng, phạm vi ảnh hưởng rộng và khả năng khai thác dễ dàng, đây là một tình huống khẩn cấp cần hành động ngay. Việc vá lỗi và tăng cường giám sát phải được ưu tiên hàng đầu để đảm bảo an toàn cho hệ thống trước khi quá muộn.

WhiteHat​

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview