Người dùng QNAP khẩn trương cập nhật, ASP.NET tồn tại lỗ hổng nghiêm trọng nhất trong lịch sử

Cảnh báo khẩn cấp từ QNAP, cho biết công cụ sao lưu Windows NetBak PC Agent của hãng đang bị ảnh hưởng bởi một lỗ hổng bảo mật nghiêm trọng trong ASP.NET Core (CVE-2025-55315). QNAP kêu gọi toàn bộ người dùng ngay lập tức thực hiện cập nhật để vá lỗi này.
CVE-2025-55315 là lỗ hổng vượt qua cơ chế bảo mật tồn tại trong máy chủ web Kestrel thuộc nền tảng ASP.NET Core của Microsoft.

QNAP cho biết, vì NetBak PC Agent khi cài đặt sẽ tự động đi kèm và phụ thuộc vào các thành phần của ASP.NET Core, nên những thiết bị Windows chưa được cập nhật hệ thống kịp thời sẽ có nguy cơ cao bị tấn công.

Khai thác lỗ hổng này, kẻ tấn công có quyền hạn thấp có thể thực hiện kiểu tấn công HTTP Request Smuggling (buôn lậu yêu cầu HTTP), dẫn đến hàng loạt hậu quả nghiêm trọng như:

• Đánh cắp thông tin xác thực của người dùng khác,
• Bỏ qua các cơ chế kiểm soát bảo mật ở tầng giao diện,
• Chiếm quyền truy cập trái phép vào dữ liệu nhạy cảm.

Theo quản lý dự án bảo mật của Microsoft, đây là lỗ hổng nghiêm trọng nhất trong lịch sử của ASP.NET Core.

QNAP cảnh báo thêm rằng, nếu bị khai thác thành công, kẻ tấn công có thể:

• Đăng nhập bằng danh tính của người dùng khác (leo thang đặc quyền),
• Vượt qua cơ chế bảo vệ chống tấn công CSRF (Cross-Site Request Forgery),
• Thực hiện tấn công chèn mã độc (Injection Attacks),
• Truy cập, thay đổi hoặc phá hoại dữ liệu trên máy chủ,
• Và thậm chí gây ra tình trạng từ chối dịch vụ (DoS), đe dọa trực tiếp đến an toàn dữ liệu cá nhân và doanh nghiệp.

QNAP khuyến cáo mạnh mẽ người dùng kiểm tra và cập nhật ngay hệ thống Windows của mình, đảm bảo đã cài đặt phiên bản ASP.NET Core mới nhất từ Microsoft.

Hãng cũng cung cấp hai phương án khắc phục cụ thể:

1. Gỡ cài đặt và cài lại hoàn toàn NetBak PC Agent, để hệ thống tự động lấy các thành phần ASP.NET Core mới nhất.
2. Truy cập trang chính thức của .NET 8.0, tải về và tự cài đặt thủ công gói ASP.NET Core Runtime (Hosting Bundle) mới nhất từ Microsoft.

Method 1: Reinstall NetBak PC Agent

1. Uninstall the existing NetBak PC Agent.
   Go to "Settings > Apps > Installed apps", locate NetBak PC Agent, and uninstall it
   
   
2. Download the latest version.
   Go to NetBak PC Agent to download the latest installer.
   
3. Install NetBak PC Agent.
   The installer will automatically download and install the latest ASP.NET Core runtime components.

Method 2: Manually Update ASP.NET Core

1. Visit the .NET 8.0 download page.
2. Download and install the latest ASP.NET Core Runtime (Hosting Bundle).
   Note: As of October 2025, the latest version is 8.0.21
   
3. Restart the application or system after installation.

Nhấn để mở rộng...

Lỗ hổng bảo mật CVE-2025-55315 trong ASP.NET Core được đánh giá là nghiêm trọng nhất từng ghi nhận, ảnh hưởng trực tiếp đến công cụ NetBak PC Agent của QNAP. Nếu không cập nhật, người dùng có thể bị đánh cắp dữ liệu, chiếm quyền tài khoản, hoặc tấn công hệ thống. QNAP yêu cầu người dùng cập nhật gấp ASP.NET Core hoặc cài lại phần mềm để bảo đảm an toàn.