-
09/04/2020
-
128
-
1.778 bài viết
Lộ 2 lỗ hổng Apache Traffic Server: Nguy cơ sập hệ thống và tấn công ẩn qua proxy
Đầu tháng 4/2026, một cảnh báo đáng chú ý tới cộng động an ninh mạng khi Apache Software Foundation phát hành bản cập nhật khẩn cấp nhằm khắc phục hai lỗ hổng trong Apache Traffic Server (ATS). Đây là một trong những hệ thống proxy và cache web hiệu năng cao, được triển khai rộng rãi trong các hạ tầng doanh nghiệp và dịch vụ trực tuyến quy mô lớn.
Điểm đáng lo ngại là hai lỗ hổng này không chỉ có thể khiến hệ thống ngừng hoạt động tức thì mà còn trực tiếp tạo điều kiện cho các kỹ thuật tấn công tinh vi như HTTP request smuggling - một dạng tấn công khó phát hiện và có thể âm thầm vượt qua nhiều lớp kiểm soát bảo mật.
Lỗ hổng xuất hiện trong thành phần cốt lõi của hệ thống proxy
Theo thông tin công bố, hai lỗ hổng được phát hiện bởi các nhà nghiên cứu bảo mật Masakazu Kitajo và Katsutoshi Ikenoya. Điểm chung của chúng nằm ở cơ chế xử lý các yêu cầu HTTP có chứa dữ liệu phần thân.
Các phiên bản bị ảnh hưởng trải dài trên cả hai nhánh chính của ATS, bao gồm dòng 9.x (từ 9.0.0 đến 9.2.12) và 10.x (từ 10.0.0 đến 10.1.1). Điều này cho thấy phạm vi ảnh hưởng không hề nhỏ, đặc biệt trong bối cảnh ATS thường được sử dụng làm lớp trung gian xử lý lưu lượng truy cập trong nhiều hệ thống doanh nghiệp.
Các phiên bản bị ảnh hưởng trải dài trên cả hai nhánh chính của ATS, bao gồm dòng 9.x (từ 9.0.0 đến 9.2.12) và 10.x (từ 10.0.0 đến 10.1.1). Điều này cho thấy phạm vi ảnh hưởng không hề nhỏ, đặc biệt trong bối cảnh ATS thường được sử dụng làm lớp trung gian xử lý lưu lượng truy cập trong nhiều hệ thống doanh nghiệp.
Lỗi xử lý POST request có thể khiến hệ thống sập hoàn toàn
Lỗ hổng đầu tiên, định danh CVE-2025-58136, thuộc nhóm lỗi kiểm soát luồng xử lý không chính xác. Về bản chất, lỗi này phát sinh trong quá trình ATS xử lý các yêu cầu POST khi gặp điều kiện dữ liệu đặc biệt.
Khi bị khai thác, hệ thống có thể rơi vào trạng thái lỗi không thể phục hồi, dẫn đến việc máy chủ bị sập hoàn toàn. Điều đáng nói là quá trình khai thác không đòi hỏi bất kỳ hình thức xác thực, quyền truy cập hay tương tác người dùng nào. Một yêu cầu độc hại được gửi từ xa cũng đủ để khiến hệ thống ngừng hoạt động. Với điểm số CVSS 3,1 lỗ hổng này trở thành công cụ tiềm năng cho các cuộc tấn công từ chối dịch vụ nhằm vào hạ tầng doanh nghiệp.
Khi bị khai thác, hệ thống có thể rơi vào trạng thái lỗi không thể phục hồi, dẫn đến việc máy chủ bị sập hoàn toàn. Điều đáng nói là quá trình khai thác không đòi hỏi bất kỳ hình thức xác thực, quyền truy cập hay tương tác người dùng nào. Một yêu cầu độc hại được gửi từ xa cũng đủ để khiến hệ thống ngừng hoạt động. Với điểm số CVSS 3,1 lỗ hổng này trở thành công cụ tiềm năng cho các cuộc tấn công từ chối dịch vụ nhằm vào hạ tầng doanh nghiệp.
Nguy cơ tấn công âm thầm từ lỗi “diễn giải sai” request HTTP
Trái ngược với lỗ hổng gây sập hệ thống, lỗ hổng thứ hai mang mã CVE-2025-65114 lại nguy hiểm ở tính chất âm thầm và khó phát hiện. Lỗi này thuộc nhóm diễn giải không nhất quán request HTTP, xuất phát từ việc ATS xử lý không chính xác dữ liệu dạng chunked encoding trong phần thân của request.
Sự sai lệch trong cách phân tích dữ liệu giữa proxy và máy chủ backend tạo ra một “khoảng trống logic”, nơi kẻ tấn công có thể chèn thêm các yêu cầu độc hại mà không bị phát hiện. Đây chính là cơ sở cho kỹ thuật HTTP request smuggling.
Khi khai thác thành công, kẻ tấn công có thể vượt qua các lớp kiểm soát bảo mật, thực hiện các yêu cầu trái phép, đầu độc bộ nhớ cache hoặc thậm chí đánh cắp dữ liệu của những người dùng khác cùng truy cập hệ thống. Nguy hiểm hơn, các hoạt động này thường không để lại dấu vết rõ ràng trong log truyền thống.
Sự sai lệch trong cách phân tích dữ liệu giữa proxy và máy chủ backend tạo ra một “khoảng trống logic”, nơi kẻ tấn công có thể chèn thêm các yêu cầu độc hại mà không bị phát hiện. Đây chính là cơ sở cho kỹ thuật HTTP request smuggling.
Khi khai thác thành công, kẻ tấn công có thể vượt qua các lớp kiểm soát bảo mật, thực hiện các yêu cầu trái phép, đầu độc bộ nhớ cache hoặc thậm chí đánh cắp dữ liệu của những người dùng khác cùng truy cập hệ thống. Nguy hiểm hơn, các hoạt động này thường không để lại dấu vết rõ ràng trong log truyền thống.
Hai hướng tấn công khác nhau nhưng tạo thành rủi ro kép
Điểm đáng chú ý là hai lỗ hổng này đại diện cho hai hướng tấn công hoàn toàn khác nhau. Một bên cho phép gây gián đoạn dịch vụ ngay lập tức, trong khi bên còn lại mở ra khả năng kiểm soát ngầm và khai thác lâu dài.
Trong môi trường thực tế, sự kết hợp của hai lỗ hổng này có thể tạo ra rủi ro kép. Kẻ tấn công có thể vừa gây áp lực lên hệ thống bằng các cuộc tấn công từ chối dịch vụ, vừa âm thầm khai thác dữ liệu hoặc duy trì truy cập trái phép mà không bị phát hiện.
Trong môi trường thực tế, sự kết hợp của hai lỗ hổng này có thể tạo ra rủi ro kép. Kẻ tấn công có thể vừa gây áp lực lên hệ thống bằng các cuộc tấn công từ chối dịch vụ, vừa âm thầm khai thác dữ liệu hoặc duy trì truy cập trái phép mà không bị phát hiện.
Phạm vi ảnh hưởng rộng trong hạ tầng doanh nghiệp
Không giống các ứng dụng thông thường, Apache Traffic Server đóng vai trò là thành phần trung gian quan trọng trong nhiều kiến trúc hệ thống, từ CDN nội bộ, reverse proxy cho đến các nền tảng xử lý lưu lượng lớn. Do đó, khi xảy ra lỗ hổng, tác động không chỉ dừng ở một ứng dụng đơn lẻ mà có thể lan rộng ra toàn bộ hệ thống phía sau. Đặc biệt, với các hệ thống được công khai trên Internet, nguy cơ bị khai thác từ xa là hoàn toàn hiện hữu.
Dù hiện chưa ghi nhận mã khai thác công khai, giới chuyên gia nhận định đây là mục tiêu có giá trị cao và khả năng bị vũ khí hóa trong thời gian ngắn là rất lớn.
Dù hiện chưa ghi nhận mã khai thác công khai, giới chuyên gia nhận định đây là mục tiêu có giá trị cao và khả năng bị vũ khí hóa trong thời gian ngắn là rất lớn.
Bản vá đã có nhưng cần hành động khẩn cấp
Trước mức độ nghiêm trọng của vấn đề, Apache đã phát hành bản vá chính thức vào ngày 02/4/2026. Các tổ chức đang sử dụng ATS được khuyến nghị nâng cấp ngay lên phiên bản 9.2.13 đối với nhánh 9.x và 10.1.2 đối với nhánh 10.x.
Trong trường hợp chưa thể cập nhật ngay, lỗ hổng CVE-2025-58136 có thể được giảm thiểu bằng cách vô hiệu hóa tham số cấu hình liên quan đến bộ đệm request. Tuy nhiên, với lỗ hổng request smuggling, không tồn tại biện pháp khắc phục tạm thời và việc nâng cấp là giải pháp duy nhất.
Các chuyên gia cũng nhấn mạnh tầm quan trọng của việc rà soát hệ thống, đặc biệt là các instance ATS đang được mở ra Internet, đồng thời tăng cường giám sát các bất thường trong quá trình xử lý request HTTP.
Trong trường hợp chưa thể cập nhật ngay, lỗ hổng CVE-2025-58136 có thể được giảm thiểu bằng cách vô hiệu hóa tham số cấu hình liên quan đến bộ đệm request. Tuy nhiên, với lỗ hổng request smuggling, không tồn tại biện pháp khắc phục tạm thời và việc nâng cấp là giải pháp duy nhất.
Các chuyên gia cũng nhấn mạnh tầm quan trọng của việc rà soát hệ thống, đặc biệt là các instance ATS đang được mở ra Internet, đồng thời tăng cường giám sát các bất thường trong quá trình xử lý request HTTP.
Theo Cyber Press