-
09/04/2020
-
123
-
1.481 bài viết
Lỗ hổng nghiêm trọng trong Undertow đe dọa hàng loạt hệ thống Java doanh nghiệp
Một vết nứt mang tính nền tảng vừa được phát hiện ngay trong lớp hạ tầng cốt lõi của hệ sinh thái Java Web, gây chấn động cộng đồng an ninh mạng toàn cầu vào những ngày đầu năm 2026. Undertow, máy chủ web hiệu suất cao đang vận hành những "cỗ xe tăng" của làng công nghệ doanh nghiệp như WildFly và JBoss EAP, đã chính thức xác nhận một lỗ hổng bảo mật cực kỳ nghiêm trọng.
Lỗ hổng có mã định danh là CVE-2025-12543, cho phép kẻ tấn công thao túng HTTP Host Header để đánh lừa máy chủ, từ đó phát tán nội dung độc hại thông qua cơ chế cache, dò quét mạng nội bộ và chiếm quyền phiên làm việc của người dùng. Với điểm CVSS lên tới 9.6, mức độ nguy hại được xếp hạng Critical, đây là mối đe dọa trực diện và tức thời đối với các tổ chức đang vận hành Undertow cho các hệ thống từ reverse proxy đến xử lý WebSocket.
CVE-2025-12543 bắt nguồn từ cách Undertow xử lý Host Header trong các yêu cầu HTTP. Về bản chất, Host Header được sử dụng để xác định đích đến của request và đóng vai trò quan trọng trong cơ chế định tuyến, sinh liên kết và lưu trữ nội dung. Tuy nhiên, Undertow không thực hiện kiểm tra chặt chẽ đối với giá trị header này, cho phép các giá trị giả mạo hoặc bất thường được chấp nhận và xử lý như hợp lệ. Khi kẻ tấn công kiểm soát được Host Header, máy chủ có thể bị dẫn dắt sai lệch trong cách xử lý request, kéo theo hàng loạt hệ quả dây chuyền ở các lớp phía sau.
Trong các kịch bản khai thác thực tế, kẻ xấu có thể lợi dụng CVE-2025-12543 để làm sai lệch cơ chế lưu trữ và phân phối nội dung của hệ thống cache, khiến người dùng truy cập vào một URL hợp pháp nhưng lại nhận về nội dung đã bị chỉnh sửa hoặc chèn mã độc do cache bị thao túng từ trước. Ở mức độ sâu hơn, việc điều khiển Host Header còn có thể bị lạm dụng để thực hiện các hoạt động dò quét mạng nội bộ theo kiểu SSRF, giúp đối tượng tấn công phát hiện những dịch vụ nội bộ vốn không được công khai ra Internet. Trong một số tình huống, lỗ hổng này còn tạo điều kiện để đánh cắp hoặc chiếm quyền phiên làm việc của người dùng thông qua việc thao túng cách ứng dụng sinh liên kết hoặc xử lý session.
Đáng chú ý, CVE-2025-12543 có thể bị khai thác từ xa mà không cần xác thực, làm gia tăng đáng kể mức độ rủi ro đối với các hệ thống đang phơi nhiễm trên Internet. Mặc dù một số chuỗi tấn công có thể yêu cầu tương tác hạn chế từ người dùng, chẳng hạn như truy cập vào một liên kết đã bị đầu độc, tác động tổng thể của lỗ hổng vẫn được đánh giá là nghiêm trọng do ảnh hưởng trực tiếp tới tính bảo mật và toàn vẹn của hệ thống.
Rủi ro càng trở nên đáng lo ngại hơn khi Undertow hiếm khi tồn tại như một thành phần độc lập. Đây là web server mặc định trong WildFly và JBoss Enterprise Application Platform, đồng nghĩa với việc CVE-2025-12543 có khả năng ảnh hưởng tới hàng nghìn ứng dụng Java doanh nghiệp đang vận hành trên toàn cầu. Trong những môi trường sử dụng Undertow làm reverse proxy hoặc xử lý WebSocket, chỉ một sai sót nhỏ trong khâu xác thực đầu vào cũng có thể nhanh chóng bị khuếch đại thành sự cố ở cấp độ toàn hệ thống.
Trước tình hình này, các quản trị viên và đội ngũ an ninh được khuyến nghị khẩn trương kiểm tra phiên bản Undertow đang sử dụng và áp dụng các bản vá từ nhà cung cấp ngay khi có thể. Bên cạnh việc cập nhật, việc rà soát lại cấu hình xử lý Host Header, tăng cường kiểm soát giá trị đầu vào và theo dõi các dấu hiệu bất thường trong log cũng là những bước cần thiết để giảm thiểu nguy cơ bị khai thác trong thời gian chờ vá lỗi.
Lỗ hổng có mã định danh là CVE-2025-12543, cho phép kẻ tấn công thao túng HTTP Host Header để đánh lừa máy chủ, từ đó phát tán nội dung độc hại thông qua cơ chế cache, dò quét mạng nội bộ và chiếm quyền phiên làm việc của người dùng. Với điểm CVSS lên tới 9.6, mức độ nguy hại được xếp hạng Critical, đây là mối đe dọa trực diện và tức thời đối với các tổ chức đang vận hành Undertow cho các hệ thống từ reverse proxy đến xử lý WebSocket.
CVE-2025-12543 bắt nguồn từ cách Undertow xử lý Host Header trong các yêu cầu HTTP. Về bản chất, Host Header được sử dụng để xác định đích đến của request và đóng vai trò quan trọng trong cơ chế định tuyến, sinh liên kết và lưu trữ nội dung. Tuy nhiên, Undertow không thực hiện kiểm tra chặt chẽ đối với giá trị header này, cho phép các giá trị giả mạo hoặc bất thường được chấp nhận và xử lý như hợp lệ. Khi kẻ tấn công kiểm soát được Host Header, máy chủ có thể bị dẫn dắt sai lệch trong cách xử lý request, kéo theo hàng loạt hệ quả dây chuyền ở các lớp phía sau.
Trong các kịch bản khai thác thực tế, kẻ xấu có thể lợi dụng CVE-2025-12543 để làm sai lệch cơ chế lưu trữ và phân phối nội dung của hệ thống cache, khiến người dùng truy cập vào một URL hợp pháp nhưng lại nhận về nội dung đã bị chỉnh sửa hoặc chèn mã độc do cache bị thao túng từ trước. Ở mức độ sâu hơn, việc điều khiển Host Header còn có thể bị lạm dụng để thực hiện các hoạt động dò quét mạng nội bộ theo kiểu SSRF, giúp đối tượng tấn công phát hiện những dịch vụ nội bộ vốn không được công khai ra Internet. Trong một số tình huống, lỗ hổng này còn tạo điều kiện để đánh cắp hoặc chiếm quyền phiên làm việc của người dùng thông qua việc thao túng cách ứng dụng sinh liên kết hoặc xử lý session.
Đáng chú ý, CVE-2025-12543 có thể bị khai thác từ xa mà không cần xác thực, làm gia tăng đáng kể mức độ rủi ro đối với các hệ thống đang phơi nhiễm trên Internet. Mặc dù một số chuỗi tấn công có thể yêu cầu tương tác hạn chế từ người dùng, chẳng hạn như truy cập vào một liên kết đã bị đầu độc, tác động tổng thể của lỗ hổng vẫn được đánh giá là nghiêm trọng do ảnh hưởng trực tiếp tới tính bảo mật và toàn vẹn của hệ thống.
Rủi ro càng trở nên đáng lo ngại hơn khi Undertow hiếm khi tồn tại như một thành phần độc lập. Đây là web server mặc định trong WildFly và JBoss Enterprise Application Platform, đồng nghĩa với việc CVE-2025-12543 có khả năng ảnh hưởng tới hàng nghìn ứng dụng Java doanh nghiệp đang vận hành trên toàn cầu. Trong những môi trường sử dụng Undertow làm reverse proxy hoặc xử lý WebSocket, chỉ một sai sót nhỏ trong khâu xác thực đầu vào cũng có thể nhanh chóng bị khuếch đại thành sự cố ở cấp độ toàn hệ thống.
Trước tình hình này, các quản trị viên và đội ngũ an ninh được khuyến nghị khẩn trương kiểm tra phiên bản Undertow đang sử dụng và áp dụng các bản vá từ nhà cung cấp ngay khi có thể. Bên cạnh việc cập nhật, việc rà soát lại cấu hình xử lý Host Header, tăng cường kiểm soát giá trị đầu vào và theo dõi các dấu hiệu bất thường trong log cũng là những bước cần thiết để giảm thiểu nguy cơ bị khai thác trong thời gian chờ vá lỗi.
Theo Security Online