Phát hiện lỗ hổng nghiêm trọng trong Webmin cho phép chiếm quyền điều khiển từ xa

Một lỗ hổng bảo mật nguy hiểm vừa được phát hiện trong Webmin – công cụ quản trị hệ thống từ xa phổ biến trên các máy chủ Linux/Unix cho phép kẻ tấn công có thể leo thang đặc quyền và thực thi mã từ xa nếu khai thác thành công. Lỗ hổng này được đánh giá có mức độ nghiêm trọng cao với điểm CVSS 8.8 và đã được gán mã định danh là CVE-2025-2774.

Lỗ hổng xuất phát từ việc xử lý không đúng các chuỗi ký tự điều khiển CRLF (Carriage Return Line Feed) trong các yêu cầu CGI của Webmin. Khi một người dùng đã xác thực gửi yêu cầu đặc biệt, họ có thể chèn mã độc để thao túng phản hồi của máy chủ Webmin, từ đó thực thi các lệnh tùy ý với đặc quyền root.

Điều đáng lo ngại là việc khai thác lỗ hổng không yêu cầu bất kỳ đặc quyền đặc biệt nào ngoài quyền đăng nhập bình thường vào Webmin, điều mà nhiều quản trị viên thường cho phép trong mạng nội bộ. Webmin, với hơn 1 triệu lượt cài đặt hàng năm, là mục tiêu có giá trị cao đối với những kẻ tấn công muốn xâm nhập vào mạng doanh nghiệp, thông qua việc khai tác lỗ hổng này có thể dẫn đến các mối nguy hiểm tiềm tàng sau:

Các chuyên gia cảnh báo rằng lỗ hổng này có thể trở thành mục tiêu tấn công quy mô lớn trong thời gian tới khi thông tin khai thác được phổ biến rộng rãi. Các chuyên gia cũng cho biết răng, lỗ hổng này sẽ ảnh hưởng đến tất cả các bản cài đặt Webmin trước phiên bản 2.302 được phát hành vào ngày 10/3/2025. Người dùng được khuyến cáo cập nhật ngay để đảm bảo an toàn cho hệ thống.

Webmin trước đây đã từng gặp phải các vấn đề bảo mật nghiêm trọng, bao gồm lỗ hổng nâng cấp đặc quyền vào năm 2024 (CVE-2024-12828) và sự cố backdoor vào năm 2021. Các nhà nghiên cứu bảo mật nhấn mạnh rằng các lỗ hổng CRLF injection thường xuất phát từ việc xác thực đầu vào không đầy đủ, điều này cho thấy sự cần thiết của việc kiểm tra mã nghiêm ngặt trong các công cụ hạ tầng quan trọng.

Phát biểu tại Phiên họp Ban chấp hành, GS, TSKH. Hoàng Văn Huây, Nguyên Thứ trưởng Bộ Khoa học và Công nghệ bày tỏ niềm tự hào với những thành tựu của VBA hơn hai năm qua, đồng thời nhấn mạnh: "Việt Nam đang đứng trước cơ hội lớn để bứt phá trong lĩnh vực khoa học, công nghệ, đổi mới sáng tạo và chuyển đổi số quốc gia sau khi Bộ Chính trị công bố Nghị quyết 57/NQ-TW ngày 22/12/2024. VBA cần thay đổi để có thể đạt được những mốc mới mạnh mẽ hơn trong sự nghiệp phát triển khoa học công nghệ của đất nước. Tôi tin tưởng rằng một đội ngũ lãnh đạo kế cận đầy nhiệt huyết và khát vọng, VBA sẽ tiếp tục tiên phong góp phần đưa ngành công nghiệp Blockchain tại Việt Nam lên một tầm cao mới".

Năm 2025 là cột mốc quan trọng khi VBA tiếp tục đồng hành cùng các cơ quan quản lý nhà nước và cộng đồng Blockchain thực hiện các mục tiêu của Bộ Chính trị theo Nghị quyết số 57-NQ/TW và Chiến lược Blockchain Quốc gia số 1236/QĐ-TTg của Thủ tướng Chính phủ. Những quyết định then chốt này không chỉ từng bước định hình khung pháp lý, mà còn thúc đẩy đổi mới sáng tạo và phát triển bền vững cho Việt Nam hội nhập vào xu hướng công nghệ blockchain toàn cầu.

Tại phiên họp, Ban Chấp hành đã thông qua nhiều nội dung quan trọng khác và thông qua quyết định bầu bổ sung hai Phó Chủ tịch Hiệp hội là ông Phan Chiến Thắng, Chủ tịch HĐQT kiêm Tổng Giám đốc Công ty Cổ phần Công nghệ Viễn thông ELCOM và bà Nguyễn Vân Hiền, Tổng Thư ký Hiệp hội Blockchain Việt Nam. Sau khi bổ sung, VBA có 03 Phó Chủ tịch gồm: ông Nguyễn Trọng Khang, ông Phan Chiến Thắng và bà Nguyễn Vân Hiền.