Một vấn đề bảo mật nghiêm trọng đã được phát hiện trong Kibana CrowdStrike Connector, được định danh là lỗ hổng CVE-2025-37728, cho phép kẻ tấn công truy cập các thông tin xác thực CrowdStrike đã lưu trữ. Lỗi này tác động đến nhiều phiên bản của Kibana và có khả năng làm lộ thông tin xác thực trên các không gian (spaces) khác nhau trong cùng một triển khai. Elastic đã phát hành các bản cập nhật để giải quyết triệt để lỗ hổng CVE này và khuyến nghị người dùng nâng cấp hệ thống của mình ngay lập tức.

Phân tích kỹ thuật lỗ hổng CVE-2025-37728

Nguyên nhân gốc của lỗ hổng CVE-2025-37728 phát sinh từ cơ chế bảo vệ không đủ cho các thông tin xác thực được lưu trữ trong CrowdStrike Connector. Khi một CrowdStrike Connector được tạo trong một không gian làm việc (workspace) hoặc một không gian (space) cụ thể trong Kibana, các thông tin xác thực cần thiết để truy cập API của CrowdStrike sẽ được lưu vào bộ nhớ cache của hệ thống. Đây là một phần của quá trình hoạt động bình thường của connector để tối ưu hiệu suất.

Cơ chế khai thác và rò rỉ dữ liệu

Một người dùng độc hại, đã có quyền truy cập vào một không gian khác trong Kibana, có thể khai thác cơ chế lưu trữ cache này. Bằng cách lợi dụng điểm yếu trong việc quản lý bộ nhớ cache, kẻ tấn công có thể truy xuất các thông tin xác thực thuộc về một không gian khác, nơi connector đã được cấu hình. Sự thiếu sót trong việc cách ly thông tin xác thực giữa các không gian khác nhau chính là yếu tố cốt lõi dẫn đến khả năng rò rỉ dữ liệu nhạy cảm này.

Vấn đề này tác động đến bất kỳ phiên bản Kibana nào sử dụng CrowdStrike Connector. Khi bị khai thác, nó có thể dẫn đến việc tiết lộ trái phép các thông tin xác thực API của CrowdStrike, tạo ra một cánh cửa cho kẻ tấn công truy cập vào các tài nguyên và dịch vụ được bảo vệ.

Đánh giá mức độ ảnh hưởng và rủi ro bảo mật

Mặc dù lỗ hổng CVE-2025-37728 không cho phép kẻ tấn công trực tiếp sửa đổi hoặc xóa dữ liệu trên hệ thống bị ảnh hưởng, hậu quả của việc thông tin xác thực bị lộ là đáng kể. Các thông tin xác thực CrowdStrike API bị rò rỉ có thể được sử dụng để truy vấn các API của CrowdStrike. Điều này cho phép kẻ tấn công thu thập dữ liệu về mối đe dọa, thông tin tình báo về các sự kiện an ninh, và thậm chí có khả năng thao túng các quy trình săn lùng mối đe dọa (threat hunting workflows) trong môi trường CrowdStrike.

Việc thao túng các quy trình săn lùng mối đe dọa có thể bao gồm việc thay đổi các truy vấn, điều chỉnh các ngưỡng cảnh báo, hoặc làm sai lệch kết quả phân tích. Điều này có thể khiến hệ thống bảo mật nội bộ bỏ qua các hoạt động đáng ngờ, che giấu các cuộc tấn công đang diễn ra, hoặc cung cấp thông tin sai lệch cho các nhà phân tích bảo mật.

Rủi ro được phân loại là Trung bình với điểm CVSSv3.1 là 5.4. Điểm số này cho thấy việc khai thác thành công đòi hỏi đặc quyền hạn chế (Low Privileges) và một số tương tác của người dùng (User Interaction). Tuy nhiên, hậu quả tiềm tàng là mất một phần tính bảo mật (Partial Confidentiality Loss), vì thông tin nhạy cảm (credentials) có thể bị tiết lộ.

Các phiên bản Kibana bị ảnh hưởng

Lỗ hổng CVE này ảnh hưởng đến tất cả các phiên bản Kibana không được hỗ trợ và được hỗ trợ mà bao gồm CrowdStrike Connector, trước khi các bản phát hành được vá lỗi được tung ra. Điều này bao gồm các thiết lập mà người dùng quản lý nhiều không gian (spaces) để tổ chức bảng điều khiển (dashboards), cảnh báo (alerts), và các connector khác. Bất kỳ phiên bản Kibana nào được cấu hình với CrowdStrike Connector và đang chạy phiên bản bị ảnh hưởng đều dễ bị tổn thương.

Biện pháp khắc phục và cập nhật bản vá

Elastic đã chính thức khắc phục lỗ hổng CVE-2025-37728 này trong các phiên bản được vá lỗi sau: 8.18.8, 8.19.5, 9.0.8, và 9.1.5. Người dùng đang chạy các phiên bản Kibana bị ảnh hưởng nên tiến hành nâng cấp lên một trong các bản phát hành này ngay lập tức để loại bỏ nguy cơ. Cần lưu ý rằng không có biện pháp thay thế (workaround) hoặc giảm thiểu tạm thời nào được cung cấp cho vấn đề này, do đó cập nhật bản vá là biện pháp hiệu quả duy nhất và bắt buộc.

Thông tin chi tiết về bản vá có thể được tìm thấy trong thông báo bảo mật chính thức của Elastic, cung cấp hướng dẫn đầy đủ về các bản sửa lỗi và phiên bản liên quan. Để truy cập thông tin này, vui lòng tham khảo: Elastic Security Advisory ESA-2025-19.

Các bước sau khi cập nhật bản vá

Sau khi hoàn tất quá trình nâng cấp lên phiên bản Kibana đã được vá lỗi, quản trị viên hệ thống nên thực hiện các bước sau để đảm bảo an toàn tối đa và giảm thiểu mọi rủi ro tiềm ẩn:

• Rà soát cấu hình connector: Kiểm tra lại tất cả các cấu hình của CrowdStrike Connector để đảm bảo chúng hoạt động chính xác và không có dấu hiệu bất thường nào sau quá trình nâng cấp.
• Xoay vòng thông tin xác thực: Đây là bước quan trọng nhất. Cần xoay vòng (rotate) bất kỳ thông tin xác thực CrowdStrike API nào có thể đã bị lộ trong quá trình lỗ hổng còn tồn tại. Việc này bao gồm việc tạo khóa API mới và thu hồi các khóa cũ.
• Kiểm tra và xác minh phiên bản: Xác nhận lại phiên bản Kibana hiện tại đã được nâng cấp chính xác lên một trong các bản phát hành đã được vá lỗi (8.18.8, 8.19.5, 9.0.8, hoặc 9.1.5).
• Phối hợp với nhóm bảo mật: Làm việc chặt chẽ với đội ngũ an ninh mạng của bạn để xác minh tình trạng an toàn của CrowdStrike Connector và cân nhắc các biện pháp bảo mật bổ sung cho các khóa API của CrowdStrike.
• Theo dõi thông báo: Tiếp tục theo dõi kênh thông báo bảo mật của Elastic (Elastic Security Announcements) để biết thêm bất kỳ hướng dẫn hoặc cập nhật nào liên quan đến lỗ hổng CVE này hoặc các vấn đề bảo mật khác trong tương lai.

Việc tuân thủ nghiêm ngặt các hướng dẫn về cập nhật bản vá và các bước sau cập nhật là cực kỳ quan trọng để bảo vệ hệ thống khỏi những nguy cơ tiềm ẩn từ việc rò rỉ dữ liệu thông tin xác thực và duy trì an toàn thông tin tổng thể.