Các nhà nghiên cứu tại Cyata đã công bố chín lỗ hổng zero-day chưa từng được biết đến trước đây trong HashiCorp Vault. HashiCorp Vault là một nền tảng quản lý bí mật mã nguồn mở được sử dụng rộng rãi, đóng vai trò then chốt trong bảo mật hạ tầng.

Những lỗ hổng này cho phép kẻ tấn công bỏ qua xác thực, leo thang đặc quyền và thực thi mã từ xa (RCE). Khả năng này có thể dẫn đến việc chiếm quyền điều khiển hoàn toàn các hệ thống quản lý bí mật.

Tổng Quan về Lỗ Hổng Zero-Day trong HashiCorp Vault

Các lỗ hổng được gán mã CVE thông qua quy trình tiết lộ có trách nhiệm và đã được vá lỗi với sự hợp tác của HashiCorp. Chúng bắt nguồn từ các lỗi logic tinh vi, vốn rất khó phát hiện, trong các thành phần cốt lõi của Vault.

Cụ thể, các vấn đề này nằm trong các backend xác thực, cơ chế thực thi xác thực đa yếu tố (MFA), chuẩn hóa chính sách bảo mật và cách xử lý các plugin.

Những điểm yếu này ảnh hưởng đến cả phiên bản mã nguồn mở (Open Source) và phiên bản doanh nghiệp (Enterprise) của HashiCorp Vault. Chúng làm nổi bật những điểm yếu mang tính hệ thống trong mô hình tin cậy của nền tảng.

Đặc biệt, các cấu hình sai có thể khuếch đại rủi ro đáng kể, tiềm ẩn nguy cơ gây tổn hại nghiêm trọng, thậm chí là làm lộ bí mật toàn bộ hạ tầng nếu bị khai thác thành công.

Việc phát hiện ra các lỗ hổng zero-day này là một lời nhắc nhở quan trọng về tầm quan trọng của việc kiểm tra logic sâu rộng.

Các Lỗ Hổng Liên Quan Đến Xác Thực

Bỏ Qua Cơ Chế Khóa Tài Khoản và Liệt Kê Người Dùng

Các vấn đề xác thực trải dài nhiều phương thức, bắt đầu với backend userpass. CVE-2025-6004 cho phép kẻ tấn công bỏ qua cơ chế khóa tài khoản hiệu quả.

Điều này được thực hiện thông qua việc sử dụng các biến thể chữ hoa/chữ thường của tên người dùng. Kỹ thuật này giúp đặt lại bộ đếm lỗi đăng nhập liên tục, từ đó tạo điều kiện thuận lợi cho các cuộc tấn công brute-force mật khẩu mà không bị khóa tài khoản.

Tương tự, CVE-2025-6011 giới thiệu khả năng liệt kê tên người dùng hợp lệ dựa trên thời gian phản hồi (timing-based username enumeration). Lỗ hổng này xảy ra do sự không nhất quán trong quá trình so sánh hàm băm bcrypt.

Thông qua việc phân tích thời gian phản hồi, kẻ tấn công có thể xác định liệu một tên người dùng có tồn tại trên hệ thống hay không, làm lộ thông tin người dùng một cách thụ động.

Khai Thác trong Tích Hợp LDAP

Trong các tích hợp LDAP, CVE-2025-6004 (cũng là CVE đã đề cập ở trên, nhưng áp dụng cho LDAP) khai thác sự không khớp trong chuẩn hóa đầu vào giữa Vault và các máy chủ LDAP bên ngoài.

Lỗ hổng này cho phép kẻ tấn công thử hàng tỷ biến thể mật khẩu bằng cách thay đổi chữ hoa, chữ thường và việc thêm khoảng trắng vào chuỗi mật khẩu. Phương thức này vô hiệu hóa hiệu quả các cơ chế bảo vệ chống brute-force mật khẩu được thiết lập trong Vault.

Các Lỗ Hổng Bỏ Qua Xác Thực Đa Yếu Tố (MFA)

Bỏ Qua MFA theo Thực Thể

CVE-2025-6003 cho phép bỏ qua MFA trong các cấu hình nơi tùy chọn username_as_alias được bật và thực thi MFA ở cấp độ thực thể (entity-level enforcement). Nguyên nhân là do lỗi trong quá trình phân giải ID thực thể.

Khi đó, hệ thống không kích hoạt các yêu cầu thử thách MFA cần thiết, cho phép kẻ tấn công đăng nhập chỉ với một yếu tố xác thực duy nhất.

Suy Yếu Bảo Vệ TOTP MFA

Một tập hợp các lỗ hổng tổng hợp, được gán dưới CVE-2025-6016, làm suy yếu nghiêm trọng các biện pháp bảo vệ TOTP MFA (Time-based One-Time Password). Các vấn đề này bao gồm:

• Liệt kê mã đã sử dụng: Thông qua các thông báo lỗi được trả về, kẻ tấn công có thể xác định các mã TOTP đã được sử dụng trước đó.
• Bỏ qua cơ chế sử dụng một lần: Lỗ hổng này xảy ra thông qua việc thêm khoảng trắng vào mã TOTP. Nó khai thác sự khác biệt giữa logic xác thực và cơ chế lưu trữ vào bộ nhớ đệm của Vault, cho phép sử dụng lại mã.
• Né tránh giới hạn tốc độ: Kẻ tấn công có thể vượt qua giới hạn tốc độ (rate-limiting) bằng cách lợi dụng độ lệch thời gian (time skew) hoặc chuyển đổi thực thể người dùng.

Những lỗ hổng này cho phép brute-force mã MFA trong các cửa sổ hiệu lực đã được định sẵn, làm giảm đáng kể hiệu quả của yếu tố xác thực thứ hai và làm suy yếu khả năng bảo vệ của MFA.

Vấn Đề Xác Thực Dựa Trên Chứng Chỉ

Xác thực dựa trên chứng chỉ cũng chịu ảnh hưởng từ lỗ hổng zero-dayCVE-2025-6037. Trong chế độ không phải CA (non-CA mode), HashiCorp Vault chỉ xác minh khóa công khai của chứng chỉ mà không kiểm tra đầy đủ chuỗi tin cậy.

Điều này cho phép kẻ tấn công có quyền truy cập vào khóa riêng tư của một chứng chỉ có thể giả mạo Tên Chung (CNs) trong chứng chỉ. Bằng cách đó, chúng có thể mạo danh các thực thể khác.

Khi mạo danh thành công, kẻ tấn công sẽ kế thừa các chính sách và đặc quyền liên quan đến thực thể đó, tạo điều kiện cho việc di chuyển ngang (lateral movement) không bị phát hiện trong môi trường mạng của tổ chức.

Leo Thang Đặc Quyền và Thực Thi Mã Từ Xa (RCE)

Leo Thang Đặc Quyền qua Chuẩn Hóa Chính Sách

Leo thang đặc quyền được thực hiện thông qua CVE-2025-5999, một lỗ hổng zero-day khác khai thác sự không khớp trong chuẩn hóa chính sách của Vault. Mặc dù hệ thống xác thực từ chối các gán quyền “root” chính xác, nhưng các biến thể như ” root” hoặc “ROOT” lại vượt qua các kiểm tra ban đầu.

Tuy nhiên, khi chạy ở thời điểm thực thi, các biến thể này lại được chuẩn hóa thành quyền root đầy đủ. Điều này cho phép người dùng quản trị có được quyền kiểm soát không giới hạn trên hệ thống, vượt qua các giới hạn chính sách ban đầu.

Thực Thi Mã Từ Xa (RCE) qua Ghi Nhật Ký Kiểm Toán (CVE-2025-6000)

Đỉnh điểm là CVE-2025-6000, lỗ hổng RCE công khai đầu tiên được biết đến trong HashiCorp Vault. Lỗ hổng này cho phép kẻ tấn công chiếm quyền điều khiển hệ thống bằng cách lợi dụng tính năng ghi nhật ký kiểm toán.

Chuỗi tấn công bao gồm các bước sau:

1. Lạm dụng ghi nhật ký kiểm toán: Kẻ tấn công ghi các payload thực thi (executable payloads) vào thư mục plugin của Vault. Thông tin về các lỗi này có thể bị lộ qua thông báo lỗi.
2. Thiết lập chế độ thực thi: Kẻ tấn công thiết lập quyền thực thi cho các payload này.
3. Thu thập hàm băm: Sử dụng các backend kép, kẻ tấn công thu thập các hàm băm cần thiết.
4. Tải dưới dạng plugin: Các payload sau đó được tải vào Vault dưới dạng plugin hợp lệ.
5. Thực thi mã tùy ý: Việc tải plugin này dẫn đến việc thực thi mã tùy ý (arbitrary code execution) với quyền của dịch vụ Vault.

Đáng chú ý, chuỗi lỗ hổng này đã tồn tại gần một thập kỷ và tận dụng các tính năng đáng tin cậy của Vault mà không cần đến các lỗi hỏng bộ nhớ (memory corruption). Một số lỗ hổng được phát hiện đã tồn tại tám đến chín năm.

Cyata đã chứng minh các đường tấn công từ bỏ qua xác thực ban đầu đến leo thang đặc quyền root và RCE, nhắm vào các phương thức userpass, LDAP và chứng chỉ.

Tác Động và Nguy Cơ Hậu Khai Thác

Các rủi ro sau khai thác là rất nghiêm trọng. Chúng bao gồm khả năng tấn công ransomware thông qua việc xóa hoặc làm hỏng các khóa mã hóa quan trọng được lưu trữ trong Vault.

Ngoài ra, kẻ tấn công có thể duy trì sự hiện diện ẩn danh (stealthy persistence) trong hệ thống bằng cách lật đổ các nhóm kiểm soát hoặc cấu hình bảo mật.

Theo báo cáo của Cyata, phương pháp nghiên cứu của họ đã tập trung vào việc xem xét mã thủ công (manual code review) đối với quy trình xử lý yêu cầu và logic nhận dạng. Phương pháp này đã giúp phát hiện ra các lỗ hổng zero-day tinh vi mà các công cụ quét lỗ hổng tự động đã bỏ sót.

Để biết thêm chi tiết về phương pháp và các phát hiện sâu hơn, bạn đọc có thể tham khảo báo cáo gốc của Cyata tại: Cracking the Vault: How We Found Zero-Day Flaws in HashiCorp Vault.

Biện Pháp Giảm Thiểu và Khuyến Nghị

Để bảo vệ hệ thống khỏi các lỗ hổng zero-day vừa được công bố, các tổ chức cần khẩn cấp cập nhật bản vá lên các phiên bản đã được vá lỗi của HashiCorp Vault. Đây là bước quan trọng nhất và bắt buộc để khắc phục các lỗ hổng này.

Ngoài ra, cần kiểm tra kỹ lưỡng các cấu hình hiện có để tìm kiếm các cài đặt dễ bị tổn thương, chẳng hạn như việc bật tùy chọn username_as_alias hoặc các chính sách cấp quyền quá lỏng lẻo.

Việc rà soát và thắt chặt các chính sách truy cập là cần thiết để giảm thiểu bề mặt tấn công. Cuối cùng, việc tăng cường giám sát các nỗ lực xác thực bất thường là một biện pháp phòng ngừa quan trọng.

Điều này giúp phát hiện sớm các dấu hiệu của việc chiếm quyền điều khiển hoặc xâm nhập trái phép vào hệ thống.

Việc công bố những lỗ hổng logic phức tạp này nhấn mạnh rằng các lỗi trong các “điểm neo” tin cậy như Vault có thể làm suy yếu toàn bộ mô hình bảo mật của một tổ chức. Điều này đòi hỏi việc thực thi nghiêm ngặt danh tính và chính sách trong mọi khía cạnh của quản lý bí mật.