Adobe vá khẩn cấp 2 lỗ hổng zero-day cho phép RCE không xác thực trong AEM Forms

Kaya · 10:33

Mới đây, Adobe đã phát hành bản cập nhật khẩn cấp để khắc phục hai lỗ hổng bảo mật trong sản phẩm Adobe Experience Manager (AEM) Forms on JEE, sau khi nhóm nghiên cứu công bố chuỗi khai thác cho phép tin tặc thực thi mã từ xa mà không cần xác thực.

Vụ việc này làm dấy lên mối lo ngại về quy trình vá lỗi chậm trễ của Adobe, khi hai trong số ba lỗ hổng này đã không được khắc phục sau hơn 90 ngày kể từ khi được cảnh báo. Và đặc biệt, có lỗ hổng được đánh giá ở mức cao nhất (CVSS 10) và có thể gây rủi ro rất lớn cho các hệ thống doanh nghiệp, đặc biệt là nơi triển khai dịch vụ trực tuyến xử lý biểu mẫu.

Ba lỗ hổng được báo cáo cho Adobe vào ngày 28/4/2025, tuy nhiên Adobe chỉ vá một trong số đó vào ngày 5/8/2025, còn lại hai lỗ hổng quan trọng khác vẫn chưa được xử lý sau hơn 3 tháng.

Vì lý do an toàn cộng đồng, các chuyên gia đã công bố chi tiết kỹ thuật và khai thác của chuỗi lỗi vào ngày 29/7/2025, buộc Adobe phải phát hành bản cập nhật vá lỗi ngay sau đó. Ba lỗ hổng đó là:

CVE-2025-54254 (CVSS: 10): Lỗi XXE trong dịch vụ xác thực SOAP

Lỗ hổng này nằm trong dịch vụ xác thực SOAP - một phần trong AEM Forms. Bằng cách gửi một tập tin XML đặc biệt, hacker có thể "lừa" máy chủ tiết lộ các tập tin quan trọng trong hệ thống mà không cần đăng nhập.
Đã được vá trong bản cập nhật khẩn cấp phát hành sau ngày 29/7/2025, sau khi nhà nghiên cứu công bố chi tiết khai thác.

CVE-2025-54253 (CVSS: 8,6): Lỗi cấu hình sai + bypass xác thực trong admin UI

Lỗi này nằm trong module /adminui. Adobe để chế độ phát triển bật mặc định, vốn không nên xuất hiện ở môi trường sản phẩm. Điều này cho phép kẻ tấn công gửi lệnh đặc biệt để thực thi mã tùy ý qua HTTP mà không cần đăng nhập.
Đã được vá trong bản cập nhật khẩn cấp phát hành sau ngày 29/7/2025, sau khi nhà nghiên cứu công bố chi tiết khai thác.

CVE-2025-49533: Lỗi deserialization trong FormServer

Mức độ nguy hiểm: RCE không cần xác thực
FormServer xử lý dữ liệu đầu vào mà không kiểm tra kỹ, dẫn tới việc tin tặc có thể chèn mã độc qua quá trình giải mã đối tượng Java (deserialization) để chiếm quyền điều khiển máy chủ.
Đã được vá vào 05/8/2025

Trong ba lỗ hổng được phát hiện, hai lỗ hổng sau là zero-day là CVE-2025-54253 và CVE-2025-54254 bị công bố công khai sau hơn 90 ngày không được vá, khi Adobe chỉ mới khắc phục lỗ hổng thứ ba CVE-2025-49533 vào ngày 5/8/2025.

Theo các chuyên gia, việc ba lỗi bảo mật nói trên có thể kết hợp thành một chuỗi khai thác hoàn chỉnh, cho phép tin tặc:

Tiếp cận endpoint quản trị mà không cần xác thực.
Đọc file nội bộ để lấy thông tin cấu hình, token hoặc dữ liệu nhạy cảm.
Gửi payload độc hại để chiếm quyền thực thi mã từ xa trên máy chủ.

Đặc biệt, vì đây là sản phẩm phục vụ xử lý biểu mẫu trong các ứng dụng doanh nghiệp, hậu quả của một cuộc tấn công có thể ảnh hưởng đến toàn bộ dữ liệu khách hàng, thông tin nội bộ, tài liệu nhạy cảm và hệ thống backend.

Đối tượng bị ảnh hưởng: Các tổ chức, doanh nghiệp, cơ quan chính phủ, tổ chức tài chính, bảo hiểm, y tế đang triển khai AEM Forms on JEE.

Điều kiện tấn công: Không cần tài khoản, không cần truy cập nội bộ mà chỉ cần hệ thống mở ra Internet.

Rủi ro: Một máy chủ bị chiếm quyền có thể trở thành bàn đạp để xâm nhập sâu hơn vào mạng nội bộ, gây rò rỉ dữ liệu quy mô lớn hoặc bị mã hóa tống tiền.

Để bảo vệ hệ thống, các chuyên gia khuyến cáo:

Cập nhật ngay bản vá mới nhất từ Adobe dành cho AEM Forms on JEE. Các bản vá đã được Adobe công bố.
Nếu chưa thể cập nhật ngay:
- Hạn chế truy cập từ internet tới toàn bộ nền tảng AEM Forms.
- Tắt chế độ phát triển trên Struts2.
- Kiểm tra log hệ thống để phát hiện truy cập bất thường tới /adminui, SOAP endpoint hoặc FormServer.
Thực hiện kiểm thử bảo mật định kỳ cho các hệ thống web có sử dụng AEM hoặc các nền tảng xử lý biểu mẫu.

Với khả năng cho phép RCE mà không cần xác thực, bộ ba lỗ hổng trong Adobe Experience Manager Forms, đặc biệt là hai lỗ hổng zero-day bị khai thác ngoài thực tế, đặt ra nguy cơ nghiêm trọng cho các tổ chức đang sử dụng nền tảng này.

Theo WhiteHat.vn