Khi "lá chắn" bảo mật hóa cửa hậu: Loạt lỗ hổng nghiêm trọng đe dọa hệ thống email doanh nghiệp

2 ngày trước
5 phút đọc

Trong thế giới công nghệ, các công cụ bảo mật được ví như những tấm lá chắn vững chắc bảo vệ tài sản số của tổ chức. Tuy nhiên, một thực tế đáng lo ngại vừa được phơi bày khi chính hệ thống phòng thủ lại trở thành con đường mở lối cho kẻ xấu.

Gần đây, các nhà nghiên cứu đã tìm thấy một loạt điểm yếu nghiêm trọng nằm ngay trong SEPPMail Secure E-Mail Gateway – giải pháp vốn được rất nhiều tổ chức, doanh nghiệp tin dùng để kiểm soát, mã hóa và bảo vệ luồng thư điện tử nội bộ của mình.

Nguy cơ biến công cụ bảo vệ thành lối vào cho tin tặc

Thay vì thực hiện đúng vai trò ngăn chặn các hiểm họa từ Internet, những lỗ hổng mới bị phát hiện đã biến hệ thống này thành một chiếc "cửa hậu" đắt giá cho tin tặc. Kẻ tấn công có thể lợi dụng những sơ hở này để thâm nhập sâu vào hệ thống, đọc trộm toàn bộ nội dung thư điện tử lưu thông qua gateway (hệ thống cổng kết nối trung gian), bí mật cài đặt các công cụ chiếm quyền điều khiển lâu dài và kiểm soát máy chủ từ xa mà không cần sở hữu bất kỳ tài khoản hợp lệ nào.

*Một loạt điểm yếu nghiêm trọng nằm ngay trong SEPPMail Secure E-Mail Gateway vừa được phát hiện*

Theo báo cáo từ các chuyên gia, có tổng cộng ít nhất 7 lỗi bảo mật đã lộ diện. Trong số đó, mối đe dọa đáng sợ nhất là lỗ hổng cho phép đối tượng xấu tự ý ghi tệp tin trực tiếp lên hệ thống và kích hoạt các đoạn mã độc từ xa mà bỏ qua được bước xác thực danh tính.

Để thực hiện điều này, tin tặc chỉ cần gửi các yêu cầu (request) độc hại thông qua giao diện web nhằm ghi đè hoặc thay đổi tệp tin cấu hình của hệ thống. Sau đó, chúng ép dịch vụ quản lý nhật ký (syslog) phải tải lại cấu hình mới này, từ đó âm thầm thiết lập một kết nối ngược (reverse shell) về máy của kẻ tấn công để chiếm toàn quyền kiểm soát thiết bị một cách kín đáo.

Chi tiết về các lỗ hổng bảo mật vừa được phát hiện

Bên cạnh nguy cơ chiếm quyền điều khiển, chuỗi lỗ hổng này còn mở ra nhiều hướng khai thác nguy hiểm khác cho kẻ tấn công không cần đăng nhập, bao gồm:

Xem trộm và xóa bỏ các tệp tin bất kỳ trên máy chủ.
Bỏ qua hoàn toàn các bước kiểm tra đăng nhập thông thường để can thiệp vào các tính năng quản trị.
Chạy các lệnh điều khiển từ xa.
Làm rò rỉ các biến môi trường – nơi lưu trữ nhiều thông tin cấu hình nhạy cảm của hệ thống.

Dưới đây là danh sách chi tiết các mã lỗ hổng được ghi nhận:

CVE-2026-2743 (Điểm mức độ nghiêm trọng CVSS: 10): Nằm trong tính năng truyền tệp tin dung lượng lớn (LFT) thuộc giao diện web của người dùng SeppMail. Lỗi này cho phép tin tặc lợi dụng sơ hở trong việc duyệt đường dẫn tệp tin (path traversal) để ghi tệp tùy ý lên hệ thống, tạo tiền đề để thực thi mã độc từ xa (RCE).
CVE-2026-7864 (Điểm CVSS: 6,9): Lỗ hổng làm lộ dữ liệu cấu hình nhạy cảm của máy chủ thông qua một cổng kết nối (endpoint) công cộng không yêu cầu xác thực trên giao diện GINA mới.
CVE-2026-44125 (Điểm CVSS: 9,3): Hiện tượng thiếu kiểm tra quyền truy cập tại nhiều endpoint trên giao diện GINA mới, cho phép những kẻ tấn công từ xa dù chưa đăng nhập vẫn có thể sử dụng các tính năng vốn chỉ dành cho người dùng hợp lệ.
CVE-2026-44126 (Điểm CVSS: 9,2): Lỗi xử lý dữ liệu không an toàn (deserialization dữ liệu không tin cậy). Kẻ tấn công có thể gửi một đối tượng dữ liệu được ngụy tạo đặc biệt để ép hệ thống chạy các mã lệnh nguy hiểm mà không cần xác thực.
CVE-2026-44127 (Điểm CVSS: 8,8): Lỗi duyệt đường dẫn tệp tin tại endpoint /api.app/attachment/preview. Tin tặc không cần tài khoản vẫn có thể đọc các tệp cục bộ bừa bãi hoặc ra lệnh xóa tệp trong thư mục mục tiêu dưới quyền hạn của tiến trình "api.app".
CVE-2026-44128 (Điểm CVSS: 9,3): Lỗi chèn hàm xử lý dữ liệu (eval injection) tại tính năng /api.app/template. Do hệ thống chuyển thẳng tham số upldd do người dùng nhập vào hàm eval() của ngôn ngữ Perl mà không hề có bộ lọc hay kiểm tra an toàn, kẻ xấu có thể trực tiếp chạy mã từ xa mà không cần đăng nhập.
CVE-2026-44129 (Điểm CVSS: 8,3): Sai sót trong việc xử lý các thành phần đặc biệt của công cụ tạo mẫu (template engine). Kẻ tấn công từ xa có thể kích hoạt các biểu thức mẫu tùy ý, dẫn đến nguy cơ chạy mã độc từ xa phụ thuộc vào các tiện ích mở rộng (plugin) đang hoạt động trên hệ thống.

Tác động nghiêm trọng đến an toàn thông tin doanh nghiệp

Lý do khiến chuỗi điểm yếu này trở thành một thảm họa bảo mật nằm ở chính vị trí chiến lược của SEPPMail trong hạ tầng mạng. Thiết bị này hoạt động như một trạm gác cửa nằm chắn giữa luồng thư điện tử nội bộ của doanh nghiệp và thế giới Internet bên ngoài.

*Doanh nghiệp cần nhanh chóng thực hiện các biện pháp phòng thủ*

Một khi trạm gác này rơi vào tay tin tặc, chúng gần như sẽ nắm giữ "chìa khóa vạn năng" để thực hiện các hành vi thao túng nguy hiểm:

Theo dõi và đọc toàn bộ nội dung email của mọi nhân viên.
Giám sát các cuộc trao đổi thông tin nội bộ mang tính bảo mật.
Thu thập tất cả các tài liệu, tệp tin đính kèm có giá trị.
Lấy cắp thông tin đăng nhập hoặc tự ý kích hoạt quy trình đặt lại mật khẩu (reset password).
Biến chính gateway này thành bàn đạp vững chắc để tiếp tục tấn công sâu hơn vào mạng lưới nội bộ của doanh nghiệp.

Khuyến cáo hành động khẩn cấp cho các tổ chức

Để ngăn chặn các nguy cơ rò rỉ dữ liệu quý giá, nhà sản xuất đã phát hành các phiên bản vá lỗi an toàn. Các doanh nghiệp cần nhanh chóng kiểm tra và nâng cấp hệ thống SEPPMail của mình lên các phiên bản sau:

15.0.2.1
15.0.3
15.0.4

Bên cạnh việc cập nhật phần mềm ngay lập tức, các chuyên gia khuyến cáo bộ phận quản trị hệ thống cần rà soát lại toàn bộ nhật ký truy cập (log). Hãy đặc biệt chú ý đến những yêu cầu bất thường hướng vào các cổng kết nối API hoặc các phân hệ phụ trách tải tệp tin (upload file) để kịp thời phát hiện các dấu hiệu xâm nhập nếu có.

Chi tiết thông tin về đợt phát hiện lỗ hổng này có thể tham khảo thêm tại bài viết gốc trên The Hacker News và Zeros Day.