Tweet
Chào anh em,
Cộng đồng bảo mật vừa đón nhận một tin tức khá nghiêm trọng liên quan đến nền tảng AI doanh nghiệp của ServiceNow. Một lỗ hổng được đánh giá ở mức Critical, định danh là CVE-2026-0542, vừa được công bố và vá khẩn cấp. Lỗ hổng này cho phép kẻ tấn công thực thi mã từ xa (Remote Code Execution) mà hoàn toàn không cần bất kỳ thông tin xác thực nào (Unauthenticated).
Với những anh em nào đang quản trị hoặc triển khai hệ thống ServiceNow cho doanh nghiệp, đây là lúc cần rà soát lại hệ thống ngay lập tức. Dưới đây là phần tóm tắt các thông tin kỹ thuật cốt lõi:
1. Bản chất lỗ hổng (Vulnerability Details)
Môi trường Sandbox vốn được ServiceNow thiết kế để cô lập các đoạn mã không đáng tin cậy, hạn chế tài nguyên và ngăn chặn việc truy cập trái phép vào các thành phần hệ thống lõi. Tuy nhiên, thông qua CVE-2026-0542, kẻ tấn công có thể lợi dụng các điều kiện cụ thể để phá vỡ các giới hạn (Sandbox Escape) và thực thi mã độc hại trực tiếp bên trong ServiceNow Sandbox.
Do không yêu cầu xác thực, kẻ tấn công chỉ cần gửi một request được chế tạo đặc biệt từ xa là đã có thể kích hoạt chuỗi khai thác. Mặc dù chi tiết mã khai thác (Proof of Concept) chưa được công bố rộng rãi để tránh bị lợi dụng, nhưng rủi ro mà nó mang lại là cực kỳ lớn.
2. Đánh giá tác động (Impact Assessment)
Nếu khai thác thành công lỗ hổng RCE này, kẻ tấn công có thể:
Rất may là hãng đã có phản ứng khá nhanh nhạy. Theo thông báo bảo mật chính thức có mã KB2693566, ServiceNow đã âm thầm triển khai Security Patch cho toàn bộ các khách hàng sử dụng dịch vụ Cloud (Hosted Customer Instances) vào ngày 06/01/2026.
Tuy nhiên, đối với các doanh nghiệp triển khai hệ thống dưới dạng Self-hosted, anh em bắt buộc phải tự cập nhật thủ công:
Tính đến thời điểm hãng phát hành thông báo, chưa có dấu hiệu nào cho thấy CVE-2026-0542 bị khai thác trong thực tế (In the wild). Tuy nhiên, với mức độ nghiêm trọng của một lỗi Unauthenticated RCE, các nhóm tin tặc (Threat Actors) chắc chắn đang ráo riết dịch ngược bản vá để tạo ra Exploit.
Anh em làm SysAdmin hay Blue Team rà soát lại hệ thống ngay nhé!
Cộng đồng bảo mật vừa đón nhận một tin tức khá nghiêm trọng liên quan đến nền tảng AI doanh nghiệp của ServiceNow. Một lỗ hổng được đánh giá ở mức Critical, định danh là CVE-2026-0542, vừa được công bố và vá khẩn cấp. Lỗ hổng này cho phép kẻ tấn công thực thi mã từ xa (Remote Code Execution) mà hoàn toàn không cần bất kỳ thông tin xác thực nào (Unauthenticated).
Với những anh em nào đang quản trị hoặc triển khai hệ thống ServiceNow cho doanh nghiệp, đây là lúc cần rà soát lại hệ thống ngay lập tức. Dưới đây là phần tóm tắt các thông tin kỹ thuật cốt lõi:
1. Bản chất lỗ hổng (Vulnerability Details)
- Định danh: CVE-2026-0542
- Loại lỗ hổng: Unauthenticated Remote Code Execution.
- Vị trí phát sinh: Lỗ hổng nằm sâu bên trong môi trường Sandbox của nền tảng ServiceNow AI.
Môi trường Sandbox vốn được ServiceNow thiết kế để cô lập các đoạn mã không đáng tin cậy, hạn chế tài nguyên và ngăn chặn việc truy cập trái phép vào các thành phần hệ thống lõi. Tuy nhiên, thông qua CVE-2026-0542, kẻ tấn công có thể lợi dụng các điều kiện cụ thể để phá vỡ các giới hạn (Sandbox Escape) và thực thi mã độc hại trực tiếp bên trong ServiceNow Sandbox.
Do không yêu cầu xác thực, kẻ tấn công chỉ cần gửi một request được chế tạo đặc biệt từ xa là đã có thể kích hoạt chuỗi khai thác. Mặc dù chi tiết mã khai thác (Proof of Concept) chưa được công bố rộng rãi để tránh bị lợi dụng, nhưng rủi ro mà nó mang lại là cực kỳ lớn.
2. Đánh giá tác động (Impact Assessment)
Nếu khai thác thành công lỗ hổng RCE này, kẻ tấn công có thể:
- Đạt được trạng thái Full System Compromise trên phiên bản ServiceNow bị ảnh hưởng.
- Truy cập, sửa đổi hoặc đánh cắp toàn bộ dữ liệu nhạy cảm được xử lý bởi nền tảng AI này.
- Cấy ghép Backdoor, triển khai Ransomware hoặc Spyware để duy trì quyền truy cập lâu dài (Persistence).
- Sử dụng chính máy chủ ServiceNow làm bàn đạp để thực hiện Lateral Movement sang các hệ thống nội bộ khác của doanh nghiệp.
Rất may là hãng đã có phản ứng khá nhanh nhạy. Theo thông báo bảo mật chính thức có mã KB2693566, ServiceNow đã âm thầm triển khai Security Patch cho toàn bộ các khách hàng sử dụng dịch vụ Cloud (Hosted Customer Instances) vào ngày 06/01/2026.
Tuy nhiên, đối với các doanh nghiệp triển khai hệ thống dưới dạng Self-hosted, anh em bắt buộc phải tự cập nhật thủ công:
- Ngay lập tức truy cập cổng hỗ trợ của hãng và kiểm tra xem hệ thống của mình đã nằm trong January Patching Program hay chưa.
- Nếu chưa, hãy tải và áp dụng các Security Patch mới nhất được đề cập trong tư vấn KB2693566 để đóng kín lỗ hổng này.
Tính đến thời điểm hãng phát hành thông báo, chưa có dấu hiệu nào cho thấy CVE-2026-0542 bị khai thác trong thực tế (In the wild). Tuy nhiên, với mức độ nghiêm trọng của một lỗi Unauthenticated RCE, các nhóm tin tặc (Threat Actors) chắc chắn đang ráo riết dịch ngược bản vá để tạo ra Exploit.
Anh em làm SysAdmin hay Blue Team rà soát lại hệ thống ngay nhé!