Cảnh báo khẩn: Lỗi Apache HTTP/2 cho phép tấn công RCE chỉ với 1 kết nối

[WhiteHat Team]

Lỗ hổng vừa được phát hiện trong máy chủ web phổ biến Apache HTTP Server đang khiến cộng đồng an ninh mạng đặc biệt lo ngại. Lỗi này không chỉ có thể gây gián đoạn dịch vụ mà còn mở ra khả năng thực thi mã từ xa, đe dọa trực tiếp đến các hệ thống đang vận hành trên nền tảng web phổ biến nhất thế giới.
​

Ảnh: Internet​

Lỗ hổng được định danh CVE-2026-23918, có điểm CVSS 8,8, ảnh hưởng đến Apache HTTP Server phiên bản 2.4.66 và đã được vá trong phiên bản 2.4.67. Đây là lỗi dạng “double free” xảy ra trong module xử lý HTTP/2 (mod_http2), cụ thể trong quá trình dọn dẹp tài nguyên của các stream kết nối.

Theo phân tích kỹ thuật, nguyên nhân xuất phát từ việc cùng một vùng nhớ bị giải phóng hai lần do logic xử lý không đồng bộ giữa các callback trong thư viện HTTP/2. Khi một client gửi liên tiếp một gói HEADERS và ngay sau đó là RST_STREAM với mã lỗi khác 0, hệ thống sẽ kích hoạt hai callback khác nhau nhưng đều dẫn đến cùng một hàm dọn dẹp stream. Điều này khiến con trỏ bộ nhớ bị đưa vào danh sách dọn dẹp hai lần, và khi hệ thống thực hiện giải phóng, lần thứ hai sẽ truy cập vào vùng nhớ đã bị giải phóng trước đó.

Về mặt khai thác, kịch bản tấn công có thể diễn ra theo hai hướng. Thứ nhất là tấn công từ chối dịch vụ (DoS), vốn được đánh giá là rất dễ thực hiện. Kẻ tấn công chỉ cần một kết nối TCP và gửi đúng hai frame HTTP/2 là có thể khiến tiến trình xử lý bị crash. Dù Apache có cơ chế tự khởi động lại tiến trình, nhưng nếu attacker duy trì tần suất gửi yêu cầu, dịch vụ sẽ liên tục bị gián đoạn.

Nguy hiểm hơn, lỗ hổng này còn có thể bị khai thác để thực thi mã từ xa. Trong kịch bản này, attacker lợi dụng việc tái sử dụng vùng nhớ (mmap) để chèn cấu trúc giả vào vị trí bộ nhớ đã bị giải phóng. Sau đó, chúng điều hướng luồng thực thi của chương trình tới hàm system() nhằm chạy các lệnh tùy ý trên máy chủ. Một yếu tố quan trọng giúp việc khai thác khả thi là vùng nhớ scoreboard của Apache thường có địa chỉ ổn định trong suốt vòng đời tiến trình, ngay cả khi có cơ chế ASLR.

Tuy nhiên, để đạt được RCE, kẻ tấn công cần thêm các điều kiện như rò rỉ thông tin bộ nhớ (info leak) và kỹ thuật heap spray, khiến việc khai thác phức tạp hơn so với DoS. Dù vậy, các thử nghiệm trong môi trường lab cho thấy việc khai thác thành công có thể diễn ra chỉ trong vài phút.

Phạm vi ảnh hưởng của lỗ hổng này là rất rộng, bởi mod_http2 được bật mặc định trong nhiều bản build Apache và HTTP/2 hiện đang được sử dụng phổ biến trong môi trường production. Đặc biệt, các hệ thống sử dụng Apache Portable Runtime (APR) với cơ chế cấp phát bộ nhớ mmap – vốn là mặc định trên các hệ thống như Debian hoặc image Docker chính thức – sẽ có nguy cơ cao hơn đối với kịch bản RCE. Ngược lại, cấu hình MPM prefork không bị ảnh hưởng bởi lỗ hổng này.

Rủi ro khi bị khai thác không chỉ dừng ở việc gián đoạn dịch vụ mà còn có thể dẫn đến việc kiểm soát hoàn toàn máy chủ web, từ đó mở rộng tấn công sang các hệ thống backend, đánh cắp dữ liệu hoặc cài mã độc.

Để phòng tránh, bản vá đã được Apache Software Foundation phát hành trong phiên bản 2.4.67 và được coi là biện pháp khắc phục bắt buộc. Các chuyên gia an ninh mạng khuyến nghị:​

• Cập nhật ngay Apache HTTP Server lên phiên bản 2.4.67 hoặc mới hơn​
• Kiểm tra cấu hình mod_http2 và cân nhắc tạm thời vô hiệu hóa nếu chưa thể vá​
• Giám sát log để phát hiện các mẫu request HTTP/2 bất thường​
• Triển khai WAF hoặc IDS để phát hiện hành vi khai thác​
• Rà soát môi trường sử dụng APR mmap allocator để đánh giá mức độ rủi ro​

Theo The Hacker News​