-
09/04/2020
-
122
-
1.280 bài viết
Milvus dính lỗ hổng cho phép kẻ xấu bypass xác thực và chiếm quyền admin tức thì
Một lỗ hổng vừa được công bố trong Milvus cơ sở dữ liệu vector mã nguồn mở đang được sử dụng rộng rãi trong các hệ thống AI tạo sinh, công cụ tìm kiếm thông minh, chatbot doanh nghiệp và nhiều dịch vụ ứng dụng trí tuệ nhân tạo khác. Lỗ hổng này, mang mã CVE-2025-64513, cho phép tin tặc vượt qua toàn bộ cơ chế xác thực chỉ bằng một HTTP header được giả mạo. Điều này đồng nghĩa kẻ tấn công có thể chiếm quyền quản trị Milvus mà không cần mật khẩu, API key hay bất kỳ thông tin đăng nhập nào.
Milvus được xem như “kho não” của các hệ thống AI, nơi lưu trữ và xử lý dữ liệu vector (dạng dữ liệu giúp mô hình AI hiểu ngữ nghĩa), tìm kiếm thông minh và thực hiện suy luận. Lỗ hổng CVE-2025-64513 xuất hiện trong thành phần Milvus Proxy, nơi xử lý tất cả yêu cầu gửi đến và tiến hành xác thực trước khi vào hệ thống lõi.
Nhiều phiên bản Milvus phổ biến đều bị ảnh hưởng, bao gồm các nhánh 2.4.x, 2.5.x và 2.6.x. Những hệ thống bật tính năng xác thực càng trở nên rủi ro, bởi chính cơ chế xác thực này là điểm bị tấn công.
Cụ thể, header bị giải mã và đối chiếu với giá trị cố định @@milvus-member@@. Nếu trùng, hệ thống lập tức coi yêu cầu này là nội bộ và bỏ qua toàn bộ quy trình xác thực người dùng.
Điều này cho phép kẻ tấn công tự gửi một header “hợp lệ” bằng cách mã hóa đúng chuỗi đó, đây là hành động đơn giản đến mức bất kỳ công cụ HTTP client nào cũng làm được.
Và từ đây, tin tặc có thể:
Các tổ chức nên:
Chỉ một sai lầm nhỏ trong thiết kế bảo mật cũng có thể khiến cả hệ thống AI trở thành mục tiêu dễ dàng cho tin tặc. Khi Milvus bị vượt qua xác thực chỉ bằng một HTTP header, các tổ chức cần nhìn nhận lại cách họ bảo vệ hạ tầng AI của mình. Việc cập nhật, giám sát và áp dụng chuẩn bảo mật nghiêm ngặt không còn là lựa chọn mà là yêu cầu bắt buộc để bảo vệ tài sản dữ liệu và uy tín trong kỷ nguyên AI.
Milvus được xem như “kho não” của các hệ thống AI, nơi lưu trữ và xử lý dữ liệu vector (dạng dữ liệu giúp mô hình AI hiểu ngữ nghĩa), tìm kiếm thông minh và thực hiện suy luận. Lỗ hổng CVE-2025-64513 xuất hiện trong thành phần Milvus Proxy, nơi xử lý tất cả yêu cầu gửi đến và tiến hành xác thực trước khi vào hệ thống lõi.
Nhiều phiên bản Milvus phổ biến đều bị ảnh hưởng, bao gồm các nhánh 2.4.x, 2.5.x và 2.6.x. Những hệ thống bật tính năng xác thực càng trở nên rủi ro, bởi chính cơ chế xác thực này là điểm bị tấn công.
Lỗ hổng được phát hiện như thế nào?
Các nhà nghiên cứu nhận thấy Proxy của Milvus có một cách xác thực khó tin là tin vào một HTTP header có tên sourceId. Thay vì yêu cầu mật khẩu hoặc API key, Proxy chỉ cần kiểm tra xem header này có mang giá trị đặc biệt (đã được mã hóa Base64) trùng với chuỗi được hardcode trong mã nguồn hay không.Cụ thể, header bị giải mã và đối chiếu với giá trị cố định @@milvus-member@@. Nếu trùng, hệ thống lập tức coi yêu cầu này là nội bộ và bỏ qua toàn bộ quy trình xác thực người dùng.
Điều này cho phép kẻ tấn công tự gửi một header “hợp lệ” bằng cách mã hóa đúng chuỗi đó, đây là hành động đơn giản đến mức bất kỳ công cụ HTTP client nào cũng làm được.
Cơ chế tấn công hoạt động ra sao?
Khi request mang header giả mạo được gửi đến, hàm validSourceID trong Milvus trả về kết quả rằng đây là yêu cầu “tin cậy”. Bộ chặn xác thực ngay lập tức cho phép request đi thẳng vào hệ thống.Và từ đây, tin tặc có thể:
- Xem và trích xuất dữ liệu vector, bao gồm dữ liệu nhạy cảm của doanh nghiệp
- Chỉnh sửa hoặc thao túng dữ liệu, gây sai lệch hành vi của hệ thống AI
- Thay đổi hoặc xóa cấu hình hệ thống
- Thực thi các lệnh quản trị như GetVersion, CheckHealth, ListDatabases
Nguyên nhân sâu xa: Sai lầm thiết kế mang tính hệ thống
Sai lầm không nằm ở một lỗi lập trình nhỏ, mà chính là lỗi thiết kế bảo mật:- Tin tưởng dữ liệu do người dùng cung cấp
- Sử dụng giá trị hardcode cố định
- Không dùng cơ chế xác thực chuẩn như password, token hay API key
- Không phân loại chính xác luồng nội bộ và luồng bên ngoài
Mức độ nguy hiểm và phạm vi ảnh hưởng
CVE-2025-64513 được đánh giá nguy hiểm vì:- Dễ khai thác: Gần như không có rào cản kỹ thuật.
- Ảnh hưởng diện rộng: Milvus được dùng trong nhiều hệ thống AI doanh nghiệp.
- Gây hậu quả dài hạn: Dữ liệu vector bị sửa đổi có thể làm AI đưa ra câu trả lời sai lệch, độc hại mà không ai phát hiện kịp.
- Khó giám sát: Các request trông “hợp lệ”.
Giải pháp và khuyến nghị cho các tổ chức
Milvus đã phát hành bản vá, loại bỏ hoàn toàn cơ chế “tin vào header” và yêu cầu mọi request phải đi qua xác thực chuẩn.Các tổ chức nên:
- Cập nhật ngay hệ thống lên các phiên bản vá lỗi: 2.4.24+, 2.5.21+, 2.6.5+.
- Hạn chế truy cập vào Milvus Proxy bằng firewall hoặc VPN nếu chưa thể cập nhật.
- Kiểm tra log để phát hiện sử dụng bất thường của header sourceId.
- Giám sát các API quản trị để phát hiện hành vi lạ.
- Cấu hình WAF nhằm chặn header giả mạo hoặc yêu cầu đáng ngờ.
Chỉ một sai lầm nhỏ trong thiết kế bảo mật cũng có thể khiến cả hệ thống AI trở thành mục tiêu dễ dàng cho tin tặc. Khi Milvus bị vượt qua xác thực chỉ bằng một HTTP header, các tổ chức cần nhìn nhận lại cách họ bảo vệ hạ tầng AI của mình. Việc cập nhật, giám sát và áp dụng chuẩn bảo mật nghiêm ngặt không còn là lựa chọn mà là yêu cầu bắt buộc để bảo vệ tài sản dữ liệu và uy tín trong kỷ nguyên AI.
WhiteHat