Tin tặc khai thác lỗ hổng RCE CVE-2025-11001 dựa trên liên kết tượng trưng 7-Zip

[Starlink]

Theo khuyến cáo do NHS England Digital của Anh đưa ra vào thứ Ba, một lỗ hổng bảo mật mới được tiết lộ ảnh hưởng đến 7-Zip đã bị khai thác một cách tích cực trên thực tế.

Lỗ hổng được đề cập là CVE-2025-11001 (điểm CVSS: 7.0), cho phép kẻ tấn công từ xa thực thi mã tùy ý. Lỗ hổng này đã được khắc phục trong phiên bản 7-Zip 25.00 phát hành vào tháng 7 năm 2025.

"Lỗ hổng cụ thể này nằm trong việc xử lý các liên kết tượng trưng trong tệp ZIP. Dữ liệu được tạo ra trong tệp ZIP có thể khiến quá trình này đi đến các thư mục không mong muốn", Sáng kiến Ngày Không (ZDI) của Trend Micro cho biết trong một cảnh báo được công bố tháng trước. "Kẻ tấn công có thể lợi dụng lỗ hổng này để thực thi mã trong bối cảnh của một tài khoản dịch vụ."

Ryota Shiga của GMO Flatt Security Inc., cùng với Takumi, Kiểm toán viên AppSec được hỗ trợ bởi trí tuệ nhân tạo (AI) của công ty, đã được ghi nhận là người phát hiện và báo cáo lỗ hổng bảo mật.

Cần lưu ý rằng 7-Zip 25.00 cũng khắc phục một lỗi khác, CVE-2025-11002 (điểm CVSS: 7.0), cho phép thực thi mã từ xa bằng cách lợi dụng việc xử lý liên kết tượng trưng không đúng cách trong các tệp ZIP, dẫn đến việc duyệt thư mục. Cả hai lỗi này đều đã được phát hiện trong phiên bản 21.02.

NHS England Digital cho biết: "Việc khai thác CVE-2025-11001 đã được phát hiện trong thực tế". Tuy nhiên, hiện tại vẫn chưa có thông tin chi tiết về cách thức, đối tượng và bối cảnh khai thác.

Do tồn tại các lỗ hổng bảo mật ( PoC ), người dùng 7-Zip cần nhanh chóng áp dụng các bản sửa lỗi cần thiết càng sớm càng tốt, nếu chưa áp dụng, để có được khả năng bảo vệ tối ưu.

"Lỗ hổng này chỉ có thể bị khai thác trong bối cảnh tài khoản người dùng/dịch vụ được cấp quyền cao hơn hoặc máy tính được bật chế độ nhà phát triển", nhà nghiên cứu bảo mật Dominik (hay còn gọi là pacbypass), người đã phát hành PoC, cho biết trong một bài đăng chi tiết về các lỗ hổng. "Lỗ hổng này chỉ có thể bị khai thác trên Windows."