Các nhà nghiên cứu an ninh mạng vừa công bố chi tiết về hai lỗ hổng bảo mật (nay đã được vá) trong SAP GUI (Giao diện người dùng đồ họa) cho Windows và Java. Nếu khai thác thành công, những lỗ hổng này có thể cho phép kẻ tấn công tiếp cận thông tin nhạy cảm trong một số điều kiện nhất định.

Các lỗ hổng, được theo dõi là CVE-2025-0055 và CVE-2025-0056 (điểm CVSS: 6.0), đã được SAP vá như một phần của bản cập nhật hàng tháng cho tháng 1 năm 2025.

Jonathan Stross, nhà nghiên cứu của Pathlock, cho biết: “Nghiên cứu phát hiện ra rằng lịch sử nhập liệu của SAP GUI được lưu trữ không an toàn, cả trong phiên bản Java và Windows”.

Lịch sử người dùng SAP GUI cho phép người dùng truy cập các giá trị đã nhập trước đó trong các trường nhập liệu, với mục tiêu tiết kiệm thời gian và giảm lỗi. Thông tin lịch sử này được lưu trữ cục bộ trên thiết bị. Nó có thể bao gồm tên người dùng, ID quốc gia, số an sinh xã hội (SSN), số tài khoản ngân hàng và tên bảng SAP nội bộ.

Các lỗ hổng được Pathlock xác định bắt nguồn từ tính năng lịch sử nhập liệu này, cho phép kẻ tấn công có quyền quản trị hoặc quyền truy cập vào thư mục người dùng của nạn nhân trên hệ điều hành để truy cập dữ liệu trong một thư mục được xác định trước dựa trên biến thể SAP GUI.

• SAP GUI cho Windows – %APPDATA%\LocalLow\SAPGUI\Cache\History\SAPHistory.db
• SAP GUI cho Java – %APPDATA%\LocalLow\SAPGUI\Cache\History hoặc $HOME/.SAPGUI/Cache/History (Windows hoặc Linux) và $HOME/Library/Preferences/SAP/Cache/History (macOS)

Vấn đề là các dữ liệu nhập vào được lưu trong tệp cơ sở dữ liệu bằng cách sử dụng lược đồ mã hóa dựa trên XOR yếu trong trường hợp SAP GUI cho Windows, điều này khiến chúng dễ dàng giải mã với nỗ lực tối thiểu. Ngược lại, SAP GUI cho Java lưu trữ các mục lịch sử này ở dạng chưa được mã hóa dưới dạng các đối tượng được tuần tự hóa Java.

Do đó, tùy thuộc vào dữ liệu người dùng cung cấp trong quá khứ, thông tin được tiết lộ có thể bao gồm mọi thứ từ dữ liệu không quan trọng đến dữ liệu cực kỳ nhạy cảm, do đó ảnh hưởng đến tính bảo mật của ứng dụng.

Stross nói: “Bất kỳ ai có quyền truy cập vào máy tính đều có khả năng truy cập vào tệp lịch sử và tất cả thông tin nhạy cảm mà nó lưu trữ”. “Vì dữ liệu được lưu trữ cục bộ và được mã hóa yếu (hoặc hoàn toàn không được mã hóa), nên việc đánh cắp thông tin thông qua các cuộc tấn công bằng cách tiêm HID (chẳng hạn như USB Rubber Ducky) hoặc lừa đảo trở thành một mối đe dọa thực sự.”

Pathlock cũng chỉ ra rằng hai lỗ hổng này đóng vai trò là nền tảng cho lỗ hổng tiết lộ thông tin thứ ba (CVE-2025-0059, điểm CVSS: 6.0) trong SAP NetWeaver Application Server ABAP, dựa trên SAP GUI cho HTML. Tuy nhiên, nó không có bản vá.

Để giảm thiểu mọi rủi ro tiềm ẩn liên quan đến việc tiết lộ thông tin, bạn nên tắt chức năng lịch sử nhập liệu và xóa cơ sở dữ liệu hiện có hoặc các tệp đối tượng được tuần tự hóa khỏi các thư mục nói trên.

Citrix vá CVE-2025-5777

Thông tin này được đưa ra khi Citrix đã vá một lỗ hổng bảo mật được đánh giá là nghiêm trọng trong NetScaler ADC (CVE-2025-5777, điểm CVSS: 9.3) mà những kẻ đe dọa có thể khai thác để giành quyền truy cập vào các thiết bị dễ bị tấn công.

Thiếu sót này bắt nguồn từ việc xác thực đầu vào không đầy đủ, có thể cho phép kẻ tấn công trái phép lấy các mã thông báo phiên hợp lệ từ bộ nhớ thông qua các yêu cầu không đúng định dạng, vượt qua hiệu quả các biện pháp bảo vệ xác thực. Tuy nhiên, điều này chỉ hoạt động khi Netscaler được định cấu hình làm máy chủ ảo Gateway hoặc AAA.

Lỗ hổng này đã được nhà nghiên cứu bảo mật Kevin Beaumont đặt tên mã là Citrix Bleed 2, do có nhiều điểm tương đồng với CVE-2023-4966 (điểm CVSS: 9.4), lỗ hổng đã bị khai thác tích cực trong tự nhiên hai năm trước.

Nó đã được giải quyết trong các phiên bản sau –

• NetScaler ADC và NetScaler Gateway 14.1-43.56 và các bản phát hành sau này
• NetScaler ADC và NetScaler Gateway 13.1-58.32 và các bản phát hành sau này của 13.1
• NetScaler ADC 13.1-FIPS và 13.1-NDcPP 13.1-37.235 và các bản phát hành sau này của 13.1-FIPS và 13.1-NDcPP
• NetScaler ADC 12.1-FIPS 12.1-55.328 và các bản phát hành sau này của 12.1-FIPS

Secure Private Access tại chỗ hoặc các triển khai Secure Private Access Hybrid sử dụng các phiên bản NetScaler cũng bị ảnh hưởng bởi các lỗ hổng này. Citrix khuyến nghị người dùng chạy các lệnh sau để chấm dứt tất cả các phiên ICA và PCoIP đang hoạt động sau khi tất cả các thiết bị NetScaler đã được nâng cấp –

kill icaconnection -all
kill pcoipConnection -all

Công ty cũng đang kêu gọi khách hàng của NetScaler ADC và NetScaler Gateway phiên bản 12.1 và 13.0 chuyển sang phiên bản được hỗ trợ vì chúng hiện đã hết tuổi thọ (EOL) và không còn được hỗ trợ.

Mặc dù không có bằng chứng nào cho thấy lỗ hổng này đã được vũ khí hóa, nhưng Giám đốc điều hành của watchTowr, Benjamin Harris cho biết nó “đáp ứng tất cả các tiêu chí” về mối quan tâm của kẻ tấn công và việc khai thác có thể sắp xảy ra.

Benjamin Harris, Giám đốc điều hành tại watchTowr, nói với The Hacker News: “CVE-2025-5777 đang trở nên nghiêm trọng như CitrixBleed, một lỗ hổng đã gây ra sự tàn phá cho người dùng cuối của các thiết bị Citrix Netscaler vào năm 2023 và hơn thế nữa như là vectơ vi phạm ban đầu cho nhiều sự cố cấp cao”.

“Các chi tiết xung quanh CVE-2025-5777 đã lặng lẽ thay đổi kể từ khi tiết lộ ban đầu, với các điều kiện tiên quyết hoặc hạn chế khá quan trọng bị xóa khỏi mô tả CVE của NVD – cụ thể, nhận xét rằng lỗ hổng này nằm trong Giao diện quản lý ít được tiếp xúc hơn hiện đã bị xóa – khiến chúng tôi tin rằng lỗ hổng này gây đau đớn hơn đáng kể so với tín hiệu đầu tiên.”

Cập nhật

ReliaQuest đã tiết lộ rằng họ đã “quan sát thấy các dấu hiệu khai thác” CVE-2025-5777 để có được quyền truy cập ban đầu vào các mạng mục tiêu.

Điều này bao gồm các phiên web Citrix bị xâm phạm từ thiết bị NetScaler, với xác thực được cấp mà người dùng không biết, cho thấy bỏ qua MFA. Công ty an ninh mạng cũng cho biết họ đã phát hiện hành vi dưới đây –

• Sử dụng lại phiên trên nhiều IP, bao gồm các kết hợp địa chỉ IP dự kiến và đáng ngờ
• Các truy vấn LDAP liên quan đến các hoạt động trinh sát Active Directory
• Nhiều phiên bản của công cụ “ADExplorer64.exe” trên toàn bộ môi trường đã được sử dụng để truy vấn các nhóm và quyền ở cấp độ miền, cũng như nhiều bộ điều khiển miền
• Các phiên Citrix có nguồn gốc từ địa chỉ IP lưu trữ trung tâm dữ liệu, bao gồm cả những địa chỉ liên kết với DataCamp, ám chỉ việc sử dụng các dịch vụ VPN tiêu dùng

Beaumont, trong một bài đăng được chia sẻ trên Mastodon, chỉ ra rằng nếu lỗ hổng đang bị khai thác, các cuộc tấn công “có thể” được thực hiện bởi một nhóm ransomware.

(Câu chuyện đã được cập nhật sau khi xuất bản với thông tin chi tiết từ ReliaQuest.)

Giải thích thuật ngữ:

• CVE (Common Vulnerabilities and Exposures): Là một danh sách các lỗ hổng bảo mật đã được công khai, mỗi lỗ hổng được gán một mã định danh duy nhất.
• CVSS (Common Vulnerability Scoring System): Là một tiêu chuẩn mở để đánh giá mức độ nghiêm trọng của các lỗ hổng bảo mật.
• NetScaler ADC (Application Delivery Controller): Là một giải pháp giúp tối ưu hóa và bảo mật việc phân phối ứng dụng.
• NetScaler Gateway: Một giải pháp cho phép truy cập từ xa an toàn vào các ứng dụng và dữ liệu.
• XOR (Exclusive OR): Một phép toán logic thường được sử dụng trong mã hóa.
• HID (Human Interface Device): Các thiết bị giao diện người dùng như bàn phím và chuột, có thể bị lợi dụng để tấn công.
• USB Rubber Ducky: Một thiết bị USB giả dạng bàn phím để tự động thực hiện các lệnh tấn công.
• MFA (Multi-Factor Authentication): Xác thực đa yếu tố, một phương pháp bảo mật yêu cầu người dùng cung cấp nhiều hơn một hình thức xác minh để truy cập vào tài khoản hoặc hệ thống.
• LDAP (Lightweight Directory Access Protocol): Một giao thức để truy cập và quản lý thông tin thư mục.
• Active Directory: Một dịch vụ thư mục của Microsoft được sử dụng để quản lý người dùng, máy tính và các tài nguyên khác trong mạng.