Một lỗ hổng bảo mật nghiêm trọng với điểm CVSS đạt 10.0(critical) đã được phát hiện trong hệ thống camera giám sát UniFi Protect, ảnh hưởng đến cả hộ gia đình và doanh nghiệp. Lỗ hổng này cho phép kẻ tấn công thực thi mã từ xa nếu có quyền truy cập vào mạng quản lý của hệ thống dẫn đến việc toàn bộ hệ thống camera bị chiếm quyền kiểm soát, dữ liệu video bị truy cập trái phép, và tiềm ẩn nguy cơ kẻ tấn công xâm nhập sâu hơn vào hạ tầng mạng nội bộ.
- Lỗ hổng CVE-2025-23123 – Mức độ nghiêm trọng cao nhất
Đây là lỗ hổng nghiêm trọng nhất, tồn tại trong firmware UniFi Protect Camera phiên bản 4.75.43 trở xuống. Nguyên nhân xuất phát từ lỗi tràn bộ đệm vùng nhớ động (heap buffer overflow), cho phép kẻ tấn công thực thi mã từ xa (Remote Code Execution – RCE) nếu có quyền truy cập vào mạng quản lý. Việc khai thác lỗ hổng này có thể dẫn đến:
- Thực thi mã tùy ý trên thiết bị camera;
- Chiếm quyền kiểm soát hệ thống giám sát;
- Nguy cơ nghe lén và xâm nhập sâu vào hạ tầng mạng nội bộ.
Tính chất nghiêm trọng của lỗ hổng đã gây lo ngại lớn trong cộng đồng người dùng, đặc biệt về nguy cơ mất quyền riêng tư và an toàn dữ liệu hình ảnh.
Khuyến cáo: Người dùng cần khẩn trương cập nhật firmware của thiết bị UniFi Protect Camera lên phiên bản 4.75.62 hoặc cao hơn để vá lỗi.
- Lỗ hổng CVE-2025-23164 :
Lỗ hổng này ảnh hưởng đến ứng dụng UniFi Protect phiên bản 5.3.41 trở xuống. Nguyên nhân do lỗi trong cơ chế xác thực liên quan đến cấp quyền truy cập qua token. Cụ thể, người dùng được chia sẻ liên kết “Share Livestream” vẫn có thể tiếp tục truy cập và xem video ngay cả khi liên kết này đã bị thu hồi, gây ra rủi ro tiềm ẩn về việc lộ thông tin giám sát.
Khuyến cáo: Cập nhật ứng dụng UniFi Protect lên phiên bản 5.3.45 hoặc mới hơn để đảm bảo các cơ chế kiểm soát truy cập hoạt động đúng cách.
Người dùng và quản trị hệ thống cần chủ động rà soát, cập nhật phần mềm kịp thời và triển khai các biện pháp bảo mật phù hợp để hạn chế tối đa rủi ro từ các lỗ hổng nêu trên.
