Lỗ hổng Terrarium: Nguy cơ “thoát sandbox”, chiếm quyền hệ thống

[WhiteHat Team]

Một lỗ hổng vừa được công bố trong công cụ sandbox Python có tên Terrarium đang khiến giới an ninh mạng đặc biệt lo ngại. Với điểm số CVSS lên tới 9,3/10, lỗ hổng này cho phép kẻ tấn công thực thi mã tùy ý và thậm chí chiếm quyền điều khiển hệ thống, làm dấy lên rủi ro lớn đối với các môi trường xử lý mã không đáng tin cậy, đặc biệt trong bối cảnh AI và lập trình tự động ngày càng phổ biến.
​

Lỗ hổng được định danh là CVE-2026-5752, tồn tại trong cơ chế cách ly của Terrarium (môi trường được thiết kế để chạy mã Python không tin cậy bên trong container). Về bản chất, đây là một lỗi “sandbox escape”, cho phép mã độc thoát khỏi môi trường bị giới hạn và tương tác trực tiếp với hệ thống chủ.

Nguyên nhân cốt lõi của lỗ hổng nằm ở cách Terrarium sử dụng Pyodide (môi trường Python chạy trên WebAssembly). Trong quá trình này, hệ thống không kiểm soát chặt chẽ việc truy cập vào chuỗi nguyên mẫu (prototype chain) của JavaScript. Điều này tạo ra một điểm yếu cho phép kẻ tấn công thực hiện kỹ thuật “prototype chain traversal”, từ đó vượt qua các ranh giới bảo mật vốn được thiết kế để cô lập mã thực thi.

Cơ chế khai thác lỗ hổng tương đối rõ ràng nhưng cực kỳ nguy hiểm. Khi kẻ tấn công có quyền đưa mã vào sandbox (dù là do người dùng nhập hoặc do hệ thống AI sinh ra), đoạn mã độc có thể lợi dụng điểm yếu trong Pyodide để truy cập vào các đối tượng cấp cao hơn trong môi trường "Node.js". Từ đó, chúng có thể thực thi các lệnh hệ thống với quyền cao nhất bên trong container. Không dừng lại ở đó, kẻ tấn công còn có khả năng truy cập các tệp nhạy cảm như “/etc/passwd”, dò quét mạng nội bộ của container, và trong một số trường hợp, có thể mở rộng tấn công ra ngoài container.

Điểm đáng chú ý là việc khai thác không yêu cầu tương tác người dùng và cũng không cần đặc quyền cao trước đó. Chỉ cần có khả năng đưa mã vào hệ thống, kẻ tấn công đã có thể kích hoạt chuỗi tấn công hoàn chỉnh. Điều này khiến lỗ hổng trở nên đặc biệt nguy hiểm trong các nền tảng cho phép chạy mã động, chẳng hạn như các hệ thống tích hợp mô hình LLM hoặc môi trường phát triển trực tuyến.

Rủi ro từ lỗ hổng này không chỉ dừng ở việc chiếm quyền hệ thống. Trong thực tế, nó có thể dẫn đến hàng loạt hệ quả nghiêm trọng như rò rỉ dữ liệu, leo thang đặc quyền, hoặc trở thành bàn đạp cho các cuộc tấn công sâu hơn vào hạ tầng doanh nghiệp. Đặc biệt, trong các môi trường multi-tenant hoặc cloud, một điểm yếu như vậy có thể ảnh hưởng dây chuyền đến nhiều dịch vụ khác.

Một vấn đề đáng lo ngại hơn là dự án Terrarium hiện không còn được duy trì tích cực, đồng nghĩa với việc khả năng xuất hiện bản vá chính thức là rất thấp. Điều này buộc các tổ chức đang sử dụng công cụ này phải chủ động triển khai các biện pháp phòng vệ thay thế thay vì chờ đợi cập nhật từ nhà phát triển.​

Giải pháp và khuyến nghị​

Trước mức độ rủi ro cao, các chuyên gia an ninh mạng khuyến nghị cần nhanh chóng đánh giá lại việc sử dụng Terrarium trong hệ thống. Nếu không thể thay thế ngay, cần hạn chế tối đa khả năng người dùng gửi mã vào sandbox, đặc biệt là từ các nguồn không đáng tin cậy.

Bên cạnh đó, việc phân tách mạng cần được áp dụng để giảm thiểu khả năng lan rộng nếu hệ thống bị xâm nhập. Các container nên được giám sát chặt chẽ để phát hiện hành vi bất thường, đồng thời giới hạn quyền truy cập chỉ cho các đối tượng cần thiết. Việc triển khai tường lửa ứng dụng web (WAF) cũng giúp phát hiện và ngăn chặn các yêu cầu khai thác lỗ hổng.

Quan trọng hơn, các tổ chức nên xem xét thay thế Terrarium bằng các giải pháp sandbox được duy trì và kiểm toán bảo mật thường xuyên. Trong bối cảnh các hệ thống AI ngày càng phụ thuộc vào việc xử lý mã động, việc lựa chọn nền tảng an toàn là yếu tố sống còn.​

Theo The Hacker News​