Cảnh báo lỗ hổng bảo mật CVE-2024-9180 trong HashiCorp Vault

HashiCorp vừa công bố lỗ hổng bảo mật CVE-2024-9180 trong phần mềm HashiCorp Vault có thể dẫn đến leo thang đặc quyền nghiêm trọng.

Lỗ hổng này liên quan đến cách Vault quản lý các bản ghi trong bộ nhớ tạm (in-memory entity cache). Một kẻ tấn công có quyền ghi vào root namespace’s identity endpoint có thể lợi dụng API của Vault để thao túng bản ghi của họ trong bộ nhớ cache, từ đó chiếm quyền kiểm soát root policy của hệ thống Vault trên node bị ảnh hưởng.

Điều này đặc biệt nghiêm trọng vì root policy có toàn quyền truy cập vào Vault, cho phép kẻ tấn công thực hiện các hành động nguy hiểm như thay đổi chính sách bảo mật hoặc truy cập dữ liệu bí mật được lưu trữ trong hệ thống.

Phạm vi tác động

Lỗ hổng này ảnh hưởng đến các phiên bản Vault Community Edition và Vault Enterprise. Dưới đây là các phiên bản bị ảnh hưởng:

  • Vault Community Edition: Từ phiên bản 1.7.7 đến 1.17.6.
  • Vault Enterprise: Từ phiên bản 1.7.7 đến 1.17.6, cùng với các phiên bản 1.16.10 và 1.15.15.

Tác động của lỗ hổng này có phần bị hạn chế:

  • Bản ghi entity bị thao túng không lan truyền qua các node khác trong cluster Vault và không được lưu trữ vào backend, nghĩa là khi máy chủ khởi động lại, bản ghi sẽ bị xóa.
  • Lỗ hổng này chỉ ảnh hưởng đến các entity trong root namespace và không ảnh hưởng đến các namespace tiêu chuẩn hay namespace quản trị.
  • Các phiên bản HCP Vault Dedicated không bị ảnh hưởng vì chúng phụ thuộc vào namespace quản trị.

Phương thức khai thác

Kẻ tấn công cần có quyền ghi vào root namespace’s identity endpoint để khai thác lỗ hổng. Sau đó, họ có thể sử dụng identity API để thay đổi bản ghi entity trong bộ nhớ cache và nâng cấp đặc quyền của mình lên root policy trên một node cụ thể. Khi đã có quyền root, kẻ tấn công có thể truy cập toàn bộ dữ liệu và kiểm soát mọi hoạt động của hệ thống Vault trên node này.

Tác động

Nếu bị khai thác thành công, lỗ hổng này cho phép kẻ tấn công:

  • Chiếm quyền kiểm soát hoàn toàn Vault: Kẻ tấn công có thể đọc, sửa đổi hoặc xóa các bí mật nhạy cảm được lưu trữ trong Vault, làm gián đoạn các hoạt động quan trọng.
  • Lợi dụng root policy để thực hiện các thay đổi về cấu hình hoặc thêm người dùng mới với quyền quản trị cao nhất.

Các dấu hiệu khai thác

Bản ghi trong Vault audit logs chứa từ khóa "root" trong mảng "identity_policy" cho thấy sự can thiệp bất thường vào quyền root.

**Kiến nghị **

HashiCorp đã phát hành các bản vá khẩn cấp để giải quyết vấn đề:

  • Vault Community Edition: Người dùng nên nâng cấp ngay lập tức lên phiên bản 1.18.0.
  • Vault Enterprise: Người dùng có thể cập nhật lên một trong các phiên bản sau: 1.18.0, 1.17.7, 1.16.11, hoặc 1.15.16, tùy thuộc vào phiên bản hiện đang sử dụng.
  • Áp dụng Sentinel EGP policies: Các chính sách này giúp kiểm soát quyền truy cập vào identity endpoint để ngăn chặn các cuộc tấn công.
  • Giám sát audit logs: Theo dõi kỹ lưỡng Vault audit logs để phát hiện bất kỳ hoạt động đáng ngờ nào liên quan đến root policy, đặc biệt là các bản ghi chứa từ khóa "root" trong identity_policy.
  • Cấu hình lại quyền truy cập: Sửa đổi các chính sách mặc định để hạn chế quyền ghi vào identity endpoint, giảm thiểu nguy cơ bị khai thác.

Nguồn: VNCERT/CC

Công ty CP Dịch vụ an toàn thông tin TP.HCM (HISSC) chuyên cung cấp các dịch vụ về an ninh mạng gồm:

  • Điện toán đám mây.

  • Mạng phân phối nội dung

  • Giám sát an toàn thông tin mạng.

  • Bảo vệ an toàn thông tin đầu cuối.

  • Sao lưu, phục hồi dữ liệu.

  • Diễn tập phòng chống tấn công mạng.

  • Kiểm tra, đánh giá an toàn thông tin mạng.

  • Đào tạo an toàn thông tin.

  • Dịch vụ khác:

    • Triển khai tích hợp giải pháp công nghệ an toàn thông tin theo yêu cầu.
    • Cho thuê thiết bị an toàn thông tin, công nghệ thông tin

Liên hệ dịch vụ: