Một lỗ hổng CVE nghiêm trọng đã được phát hiện trong Apache bRPC, cho phép kẻ tấn công thực hiện các cuộc tấn công từ chối dịch vụ (Denial of Service – DoS) từ xa, gây sập dịch vụ thông qua mạng. Cảnh báo CVE này đặc biệt nguy hiểm vì nó ảnh hưởng đến tất cả các phiên bản của Apache bRPC trước 1.14.1, đe dọa sự ổn định của nhiều hệ thống đang hoạt động.

Phân tích Chi tiết Lỗ hổng CVE-2025-54472

Lỗ hổng này, được định danh chính thức là CVE-2025-54472, có nguồn gốc từ việc xử lý cấp phát bộ nhớ không đúng cách trong thành phần phân tích giao thức Redis của Apache bRPC. Cụ thể hơn, vấn đề nằm ở khả năng cấp phát bộ nhớ không giới hạn bên trong trình phân tích giao thức Redis của Apache bRPC. Đây là một lỗ hổng CVE đặc biệt nguy hiểm, tạo ra một rủi ro bảo mật đáng kể cho bất kỳ tổ chức nào đang sử dụng framework RPC hiệu suất cao này, vốn rất phổ biến trong các kiến trúc vi dịch vụ và hệ thống phân tán.

Nhà nghiên cứu bảo mật Tyler Zars là người đã phát hiện và báo cáo chi tiết về lỗ hổng này. Theo đánh giá của Apache Security Team, lỗ hổng được phân loại với mức độ nghiêm trọng “important” (quan trọng). Để tìm hiểu sâu hơn về báo cáo gốc và quá trình công bố, bạn có thể tham khảo nguồn chính thức từ Apache:
Apache bRPC Security Advisory

Sự ảnh hưởng của lỗ hổng CVE này là rất rộng. Nó tác động đến các triển khai Apache bRPC trên mọi nền tảng, không phân biệt hệ điều hành hay môi trường triển khai. Điều này làm cho nó trở thành một mối quan tâm lớn, đòi hỏi sự chú ý khẩn cấp từ toàn bộ cộng đồng mã nguồn mở và các nhà phát triển.

Cơ chế Gốc của Việc Cấp phát Bộ nhớ và Khai thác

Vấn đề cơ bản của CVE nghiêm trọng này nằm ở cách trình phân tích giao thức Redis của bRPC xử lý và phân tích dữ liệu mạng. Khi thực hiện quá trình phân tích các thông điệp giao thức Redis, hệ thống sẽ cấp phát bộ nhớ cho các mảng hoặc chuỗi. Kích thước cấp phát này được xác định trực tiếp bởi các giá trị số nguyên nhận được từ luồng truyền thông mạng đến.

Kẻ tấn công có thể dễ dàng khai thác hành vi này bằng cách tạo ra các gói dữ liệu độc hại được thiết kế riêng. Những gói này chứa các giá trị số nguyên cực kỳ lớn. Khi trình phân tích bRPC cố gắng xử lý, nó buộc hệ thống phải cố gắng cấp phát một lượng bộ nhớ khổng lồ. Điều này nhanh chóng dẫn đến lỗi cấp phát bộ nhớ (bad allocation errors), gây cạn kiệt tài nguyên hệ thống và cuối cùng là làm sập dịch vụ, dẫn đến một cuộc tấn công mạng từ chối dịch vụ thành công.

Nền tảng kỹ thuật của lỗ hổng CVE này cho thấy một thiếu sót nghiêm trọng trong các thực hành xác thực đầu vào. Trình phân tích Redis của bRPC đọc các giá trị số nguyên từ lưu lượng mạng đến và sử dụng các giá trị này để xác định kích thước cấp phát bộ nhớ mà không thực hiện bất kỳ kiểm tra giới hạn (bounds checking) đầy đủ nào. Việc thiếu kiểm soát này cho phép kẻ tấn công điều khiển lượng bộ nhớ được cấp phát một cách tùy ý.

Khi kẻ tấn công truyền các gói chứa số nguyên quá khổ, trình phân tích không có cơ chế để giới hạn hoặc từ chối yêu cầu, dẫn đến việc cố gắng cấp phát lượng bộ nhớ vượt quá khả năng của hệ thống. Đây là nguyên nhân trực tiếp dẫn đến việc cạn kiệt tài nguyên và chấm dứt hoạt động của dịch vụ Apache bRPC bị ảnh hưởng.

Đánh giá Lỗ hổng trong Phiên bản 1.14.0

Một điểm đặc biệt đáng lo ngại khác là việc Apache bRPC phiên bản 1.14.0, mặc dù được phát hành với mục đích giải quyết vấn đề cấp phát bộ nhớ thông qua việc thêm giới hạn, nhưng vẫn còn dễ bị tấn công. Điều này là do các lỗi trong quá trình triển khai các biện pháp bảo vệ.

Mã kiểm tra giới hạn trong phiên bản 1.14.0 chứa các lỗ hổng đối với các cuộc tấn công tràn số nguyên (integer overflow). Những lỗ hổng này cho phép những kẻ tấn công tinh vi vượt qua các biện pháp bảo vệ được thiết kế. Khi một giá trị số nguyên vượt quá giới hạn được định nghĩa, nó có thể “tràn” và được hiểu thành một giá trị nhỏ hơn hoặc lớn hơn một cách không mong muốn, từ đó lách qua các cơ chế kiểm tra.

Điều này có ý nghĩa quan trọng đối với các tổ chức. Ngay cả những đơn vị đã thực hiện cập nhật lên phiên bản 1.14.0 với niềm tin rằng vấn đề bảo mật đã được giải quyết vẫn tiếp tục đối mặt với rủi ro từ lỗ hổng CVE này. Mặc dù các phạm vi số nguyên cụ thể gây ra lỗ hổng CVE này có thể khác nhau giữa phiên bản 1.14.0 và các bản phát hành trước đó, nguy cơ tiềm ẩn vẫn tồn tại và đòi hỏi hành động khắc phục.

Các Kịch bản Triển khai Bị Ảnh hưởng bởi Lỗ hổng CVE

Các tổ chức sử dụng Apache bRPC có thể bị phơi nhiễm với rủi ro trong ít nhất hai kịch bản triển khai chính từ lỗ hổng CVE này:

• Khi Apache bRPC được cấu hình và triển khai như một máy chủ Redis, cung cấp các dịch vụ mạng cho các client không đáng tin cậy. Trong trường hợp này, các client độc hại có thể gửi các gói Redis độc hại.
• Hoặc khi Apache bRPC được sử dụng như một client Redis, kết nối với các dịch vụ Redis có khả năng bị xâm phạm. Nếu dịch vụ Redis bị chiếm đoạt, nó có thể gửi các phản hồi độc hại tới client bRPC.

Biện pháp Khắc phục và Cập nhật Bảo mật Khẩn cấp

Các nhà phát triển Apache đã nhanh chóng cung cấp hai phương pháp khắc phục chính để bảo vệ các tổ chức bị ảnh hưởng. Khuyến nghị quan trọng nhất để phòng ngừa lỗ hổng CVE này là nâng cấp ngay lập tức lên Apache bRPC phiên bản 1.14.1. Phiên bản này đã được vá lỗi triệt để, triển khai kiểm tra giới hạn phù hợp (proper bounds checking) và giải quyết tận gốc các lỗ hổng cấp phát bộ nhớ cơ bản.

Ngoài ra, đối với các trường hợp không thể nâng cấp toàn bộ hệ thống ngay lập tức, các tổ chức có thể lựa chọn áp dụng thủ công bản vá bảo mật. Bản vá này có sẵn thông qua một pull request trên GitHub. Đây là một giải pháp thay thế tạm thời nhưng hiệu quả để giảm thiểu rủi ro.

Chi tiết Bản vá và Tùy chỉnh Cấu hình

Bản sửa lỗi đã được triển khai thiết lập một giới hạn cấp phát bộ nhớ tối đa mặc định là 64MB cho mỗi thao tác bên trong trình phân tích Redis. Đây là một biện pháp an toàn quan trọng, giúp ngăn chặn các cuộc tấn công nhằm cạn kiệt tài nguyên hệ thống thông qua việc cấp phát bộ nhớ quá mức.

Tuy nhiên, các tổ chức có thể có các yêu cầu đặc thù, nơi họ cần xử lý các yêu cầu hoặc phản hồi Redis có kích thước vượt quá ngưỡng 64MB mặc định. Trong những trường hợp này, cần phải sửa đổi cờ cấu hình redis_max_allocation_size. Việc điều chỉnh này cho phép hệ thống đáp ứng các yêu cầu cụ thể về kích thước dữ liệu mà vẫn duy trì được các biện pháp bảo vệ an ninh, miễn là giá trị mới được đặt trong giới hạn an toàn hợp lý. Ví dụ cấu hình để điều chỉnh giới hạn:

# Cấu hình trong tệp cài đặt Apache bRPC (ví dụ: bprc.conf hoặc trong mã nguồn ứng dụng)
# Đặt giới hạn cấp phát bộ nhớ tối đa cho trình phân tích Redis
# Giá trị được tính bằng byte. Ví dụ: 64MB tương đương 67108864 byte.
# Nếu cần giá trị lớn hơn, hãy điều chỉnh cẩn thận.
FLAGS_redis_max_allocation_size = 67108864

Để kiểm tra chi tiết mã nguồn của bản vá và các đóng góp liên quan đến việc khắc phục lỗ hổng này, bạn có thể truy cập trực tiếp vào pull request trên GitHub:
GitHub Pull Request #3050: Fixes memory allocation in Redis parser

Việc nhanh chóng áp dụng các bản vá và cập nhật lên phiên bản mới nhất là hành động tối quan trọng. Điều này giúp bảo vệ hệ thống của bạn khỏi các mối đe dọa tiềm tàng từ lỗ hổng CVE này và đảm bảo an toàn thông tin tổng thể.