-
09/04/2020
-
110
-
1.019 bài viết
Lỗ hổng 0-day nghiêm trọng trong HashiCorp Vault cho phép thực thi mã từ xa
Một loạt lỗ hổng 0-day nghiêm trọng vừa được phát hiện trong HashiCorp Vault – nền tảng quản lý bí mật cốt lõi của hàng nghìn hệ thống bảo mật trên toàn cầu. Báo cáo của nhóm nghiên cứu CYATA đầu tháng 8/2025 cho thấy kẻ tấn công có thể khai thác chuỗi lỗi logic để vượt xác thực, leo thang đặc quyền và cuối cùng thực thi mã độc từ xa ngay trên máy chủ Vault.
Chuỗi lỗ hổng lần này bắt nguồn từ các sai sót trong logic xác thực và định tuyến yêu cầu của Vault. Qua kiểm tra mã nguồn thủ công, nhóm nghiên cứu đã phát hiện Vault có thể bị lợi dụng để vượt qua cơ chế khóa tài khoản trong backend như userpass và LDAP thông qua các biến thể tên người dùng chứa khoảng trắng hoặc chữ hoa.Trong một số cấu hình LDAP phổ biến, nếu trường username_as_alias được bật nhưng EntityID không trùng khớp, Vault có thể vô tình bỏ qua lớp bảo vệ xác thực đa yếu tố (TOTP). Điều này cho phép kẻ tấn công đăng nhập mà không cần mã OTP, phá vỡ rào cản quan trọng cuối cùng trong chuỗi xác thực.
Bên cạnh đó, quá trình xác thực máy chủ thông qua chứng chỉ cũng tồn tại lỗ hổng khi Vault không kiểm tra đầy đủ trường Common Name (CN), dẫn đến khả năng giả mạo danh tính máy chỉ với một cặp khóa công khai hợp lệ. Khi đã chiếm được token quản trị, kẻ tấn công có thể tận dụng lỗi chuẩn hóa trong xử lý tên chính sách để gán cho mình quyền root chỉ bằng cách thêm khoảng trắng hoặc viết hoa tên policy.
Kỹ thuật tấn công đạt tới thực thi mã từ xa bằng cách khai thác chính hệ thống audit log của Vault. Audit backend có thể được cấu hình để ghi log ra tệp với quyền thực thi và một tiền tố chứa đoạn mã shell. Khi có bất kỳ request nào được gửi đến Vault, log sẽ được ghi ra file với nội dung do attacker kiểm soát. Tiếp đó, audit backend dạng TCP được sử dụng để lấy lại chính xác nội dung payload và tính toán hash SHA256 phù hợp với yêu cầu đăng ký plugin.
Quy trình khai thác được bắt đầu bằng việc gọi endpoint /v1/sys/plugins/catalog/:type/:name với một tên plugin không tồn tại, từ đó nhận được lỗi chứa đường dẫn tuyệt đối đến thư mục plugin. Audit backend được cấu hình như sau:
Sau đó, Vault tạo tệp /opt/vault/plugins/evil.sh với nội dung shell tùy ý. Cuối cùng, attacker gọi lệnh:
Vault sẽ nạp plugin mới và thực thi mã độc trong chính tiến trình hệ thống.
HashiCorp đã hợp tác với CYATA để phát hành bản vá và công bố chín mã CVE liên quan. Các lỗ hổng chính bao gồm:
“Đây không phải lỗi tràn bộ nhớ hay điều kiện cạnh tranh, mà là những lỗi logic tinh vi nằm sâu trong các lớp xác thực, định danh và thực thi chính sách của Vault,” nhóm nghiên cứu nhấn mạnh. Một số lỗi tồn tại gần 10 năm nhưng chưa từng bị phát hiện, dù đường khai thác thực tế lại tương đối rõ ràng khi đã hiểu cơ chế. Phát hiện lần này đặt dấu hỏi lớn về độ tin cậy của những hệ thống được xem là “trụ cột niềm tin” trong hạ tầng số, nơi một điểm yếu có thể dẫn đến việc chiếm quyền toàn bộ.
Chuỗi lỗ hổng lần này bắt nguồn từ các sai sót trong logic xác thực và định tuyến yêu cầu của Vault. Qua kiểm tra mã nguồn thủ công, nhóm nghiên cứu đã phát hiện Vault có thể bị lợi dụng để vượt qua cơ chế khóa tài khoản trong backend như userpass và LDAP thông qua các biến thể tên người dùng chứa khoảng trắng hoặc chữ hoa.Trong một số cấu hình LDAP phổ biến, nếu trường username_as_alias được bật nhưng EntityID không trùng khớp, Vault có thể vô tình bỏ qua lớp bảo vệ xác thực đa yếu tố (TOTP). Điều này cho phép kẻ tấn công đăng nhập mà không cần mã OTP, phá vỡ rào cản quan trọng cuối cùng trong chuỗi xác thực.
Bên cạnh đó, quá trình xác thực máy chủ thông qua chứng chỉ cũng tồn tại lỗ hổng khi Vault không kiểm tra đầy đủ trường Common Name (CN), dẫn đến khả năng giả mạo danh tính máy chỉ với một cặp khóa công khai hợp lệ. Khi đã chiếm được token quản trị, kẻ tấn công có thể tận dụng lỗi chuẩn hóa trong xử lý tên chính sách để gán cho mình quyền root chỉ bằng cách thêm khoảng trắng hoặc viết hoa tên policy.
Kỹ thuật tấn công đạt tới thực thi mã từ xa bằng cách khai thác chính hệ thống audit log của Vault. Audit backend có thể được cấu hình để ghi log ra tệp với quyền thực thi và một tiền tố chứa đoạn mã shell. Khi có bất kỳ request nào được gửi đến Vault, log sẽ được ghi ra file với nội dung do attacker kiểm soát. Tiếp đó, audit backend dạng TCP được sử dụng để lấy lại chính xác nội dung payload và tính toán hash SHA256 phù hợp với yêu cầu đăng ký plugin.
Quy trình khai thác được bắt đầu bằng việc gọi endpoint /v1/sys/plugins/catalog/:type/:name với một tên plugin không tồn tại, từ đó nhận được lỗi chứa đường dẫn tuyệt đối đến thư mục plugin. Audit backend được cấu hình như sau:
Mã:
audit "file" {
log_path = "/opt/vault/plugins/evil.sh"
prefix = "#!/bin/bash\n$(cat /tmp/secret_payload)\n"
mode = "0755"
}Sau đó, Vault tạo tệp /opt/vault/plugins/evil.sh với nội dung shell tùy ý. Cuối cùng, attacker gọi lệnh:
Mã:
vault write sys/plugins/catalog/secret/evil \
sha256="<hash>" command="evil.sh"Vault sẽ nạp plugin mới và thực thi mã độc trong chính tiến trình hệ thống.
HashiCorp đã hợp tác với CYATA để phát hành bản vá và công bố chín mã CVE liên quan. Các lỗ hổng chính bao gồm:
- CVE-2025-6004: Bypass khóa tài khoản bằng cách chèn khoảng trắng hoặc thay đổi chữ hoa, dẫn đến khả năng brute-force không giới hạn và dò tên người dùng
- CVE-2025-6011: Sự khác biệt về thời gian xử lý bcrypt với user không tồn tại cho phép xác thực tên người dùng và tấn công xác suất cao
- CVE-2025-6003: Bỏ qua xác thực TOTP khi username_as_alias=true và EntityID không khớp, khiến cơ chế MFA bị vô hiệu hóa
- CVE-2025-6016: Lỗi tổng hợp trong xử lý TOTP cho phép brute-force mã hợp lệ, vượt qua giới hạn dùng một lần
- CVE-2025-6037: Thiếu kiểm tra tên Common Name (CN) trong xác thực chứng chỉ khiến kẻ tấn công có thể giả mạo máy chủ bằng khóa công khai hợp lệ
- CVE-2025-5999: Không chuẩn hóa tên chính sách giúp kẻ tấn công gán các giá trị như " root" hoặc "ROOT" để leo thang đặc quyền
- VCE-2025-6000: Lạm dụng tiền tố trong audit log để tạo plugin độc, từ đó thực thi mã từ xa mà không cần khai thác lỗ hổng bộ nhớ
“Đây không phải lỗi tràn bộ nhớ hay điều kiện cạnh tranh, mà là những lỗi logic tinh vi nằm sâu trong các lớp xác thực, định danh và thực thi chính sách của Vault,” nhóm nghiên cứu nhấn mạnh. Một số lỗi tồn tại gần 10 năm nhưng chưa từng bị phát hiện, dù đường khai thác thực tế lại tương đối rõ ràng khi đã hiểu cơ chế. Phát hiện lần này đặt dấu hỏi lớn về độ tin cậy của những hệ thống được xem là “trụ cột niềm tin” trong hạ tầng số, nơi một điểm yếu có thể dẫn đến việc chiếm quyền toàn bộ.
Theo Cyber Security News