ClawHub trở thành mục tiêu tấn công nhờ lỗ hổng xếp hạng tải xuống

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
128
1.731 bài viết
ClawHub trở thành mục tiêu tấn công nhờ lỗ hổng xếp hạng tải xuống
WhiteHat Team
Các nhà nghiên cứu từ Silverfort vừa phát hiện một lỗ hổng nghiêm trọng trong ClawHub - marketplace plugin của hệ sinh thái OpenClaw. Lỗ hổng này cho phép kẻ tấn công lợi dụng cơ chế xếp hạng dựa trên lượt tải để đẩy một plugin độc hại lên vị trí đầu tiên trong danh mục của nó. Khi khai thác, plugin chứa backdoor có thể xuất hiện như phổ biến và đáng tin cậy, khiến người dùng cài đặt hàng loạt và biến gói này thành điểm khởi đầu cho các cuộc tấn công chuỗi cung ứng quy mô toàn cầu.
clawhub.png

ClawHub là kho lưu trữ plugin công khai của OpenClaw, nơi bất kỳ ai cũng có thể đăng tải plugin mở rộng cho các agent, từ quản lý lịch, workflow email đến tìm kiếm web. Giống nhiều kho lưu trữ công khai khác, người dùng và agent thường đánh giá độ an toàn dựa trên số lượt tải, coi mức độ phổ biến là tín hiệu quan trọng khi quyết định cài đặt. Điều này khiến ClawHub trở thành mục tiêu hấp dẫn cho kẻ tấn công muốn chèn plugin độc hại vào marketplace đông đúc và dựa vào “bằng chứng xã hội” để thúc đẩy lây nhiễm.

Theo Silverfort, ClawHub có cơ chế kiểm soát lượt tải, giới hạn theo IP và người dùng, nhằm tránh số liệu bị thổi phồng từ các lượt tải lặp lại trong một giờ. Tuy nhiên, phân tích mã nguồn mở cho thấy tồn tại mutation download.increment riêng biệt, bỏ qua toàn bộ cơ chế kiểm soát và bị phơi bày công khai dưới dạng endpoint RPC, thay vì chỉ dùng nội bộ. Hàm này không yêu cầu xác thực, không giới hạn tần suất, cũng không kiểm tra quyền, cho phép bất kỳ ai biết ID plugin và URL triển khai có thể tăng số lượt tải tùy ý bằng các yêu cầu tự động.

Để chứng minh mức độ ảnh hưởng, các nhà nghiên cứu tạo ra một plugin giả hợp pháp mang tên “Outlook Graph Integration”, quảng cáo giúp agent OpenClaw lập lịch và quản lý email. Bên trong plugin là payload exfiltration dữ liệu nhẹ, khi thực thi sẽ thu thập username và tên miền đầy đủ của client, gửi về máy chủ do nhóm kiểm soát. Mặc dù trong PoC payload nhẹ, nhưng hoàn toàn có thể mở rộng để lấy token, biến môi trường hoặc file nhạy cảm.

Sau khi đăng tải plugin độc hại, nhóm lập script gọi liên tục hàm downloads.increment, làm tràn backend thống kê và nhanh chóng đẩy plugin lên đầu danh mục với hàng chục nghìn lượt tải giả. Khi số liệu bị thổi phồng khiến plugin trông như chuẩn mực cho mục đích sử dụng, người dùng thực và agent OpenClaw bắt đầu cài đặt và thực thi hàng loạt. Chỉ trong 6 ngày, plugin này đã được thực thi khoảng 3.900 lần tại hơn 50 thành phố trên thế giới, bao gồm nhiều công ty, mỗi lần âm thầm thu thập dữ liệu định danh cơ bản.

Vì các agent OpenClaw thường chạy với quyền cao và hành động thay người điều khiển. Nếu một payload nguy hiểm hơn được cài đặt, nó có thể mở rộng thành con đường tấn công toàn diện. Kẻ tấn công có thể di chuyển sang các hệ thống khác trong mạng, đánh cắp thông tin đăng nhập và thu thập dữ liệu về môi trường hoạt động, từ đó mở rộng phạm vi tấn công.

Lỗ hổng đặc biệt nguy hiểm bởi các agent OpenClaw thường dựa vào thứ hạng plugin trên ClawHub khi tự động chọn plugin. Khi agent tìm “công cụ tốt nhất” để quản lý email và lịch, nó tham khảo ClawHub qua CLI, cân nhắc mô tả ngữ nghĩa và điểm số nội bộ và cuối cùng ưu tiên plugin độc hại do lượt tải bị thổi phồng. Sự kiện này cho thấy các pipeline ra quyết định tự động có thể vô tình củng cố số liệu bị thao túng, khiến agent cài đặt chính xác plugin mà kẻ tấn công muốn chúng tin tưởng.

Phân tích của Silverfort chỉ ra rằng các backend tập trung RPC như Convex cần thiết lập ranh giới bảo mật nghiêm ngặt cho các hàm công khai. Trong trường hợp này, một hàm vốn chỉ dùng nội bộ lại bị phơi bày công khai, cho phép gọi trực tiếp qua URL triển khai mà không kiểm soát truy cập, vi phạm hướng dẫn của Convex yêu cầu tất cả các hàm công khai phải thực thi xác thực rõ ràng. Những sai sót kiểu này thường xảy ra khi logic backend và phơi bày mạng gắn chặt với nhau, đặc biệt trong các dự án phát triển nhanh, nơi tốc độ được ưu tiên hơn việc đánh giá bảo mật cấu trúc.

Silverfort đã báo cáo vấn đề với đội ClawHub và OpenClaw vào ngày 16/3/2026, kèm chi tiết tác động và PoC. Các maintainer phản hồi nhanh và trong khoảng 24 giờ đã phát hành bản vá, đóng đường đi increment công khai và củng cố logic tải xuống trong môi trường sản xuất.

Hiện lỗ hổng đã được khắc phục, ngăn việc lợi dụng lượt tải để tăng uy tín, dù các thao túng trước đây trong hệ sinh thái vẫn cho thấy các chỉ số dựa trên danh tiếng rất dễ bị khai thác. Để bảo vệ người dùng OpenClaw trước các plugin độc hại, Silverfort phát hành ClawNet, một plugin bảo mật mã nguồn mở. Theo hãng, ClawNet can thiệp vào quá trình cài đặt plugin, sử dụng LLM cục bộ để quét nội dung SKILL.md và các script, nhận diện những mẫu đáng ngờ trước khi cho phép cài đặt. Nhờ tích hợp trực tiếp vào vòng lặp của agent, ClawNet đảm bảo các kiểm tra không bị bỏ qua và cung cấp hàng rào bảo vệ thời gian thực cho những plugin chưa được tin cậy hoặc bị chỉnh sửa trên marketplace ClawHub.

Theo Cyber Press
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Lỗ hổng nghiêm trọng Spring Cloud Config làm rò rỉ dữ liệu và gây ra SSRF
  • NetScaler vá gấp hai lỗ hổng nghiêm trọng có thể bị khai thác từ xa
  • Trivy bị lợi dụng trong tấn công chuỗi cung ứng: Lộ bí mật CI/CD, mã độc lan qua npm
  • Lỗ hổng trong ScreenConnect có thể bị lợi dụng để chiếm quyền hệ thống
  • Lỗ hổng nghiêm trọng trong SharePoint cho phép tin tặc thực thi mã từ xa
  • Telegram giả mạo phát tán mã độc nhiều tầng, chạy trực tiếp trong RAM
    • Thẻ
    clawhub clawnet lỗ hổng bảo mật openclaw plugin độc hại supply chain attack
    Bên trên