Một bản tin bảo mật quan trọng đã được công bố, giải quyết ba lỗ hổng CVE AWS-LC riêng biệt trong AWS-LC, thư viện mã hóa đa năng, mã nguồn mở của AWS. Các lỗ hổng này có thể cho phép kẻ tấn công chưa được xác thực bỏ qua xác minh chuỗi chứng chỉ và khai thác kênh bên thời gian, đe dọa tính toàn vẹn mã hóa trên các môi trường bị ảnh hưởng.

Tổng quan về Cảnh báo CVE nghiêm trọng trong AWS-LC

Bản tin, được công bố vào ngày 2 tháng 3 năm 2026, làm nổi bật các lỗ hổng ảnh hưởng đến thư viện mã hóa AWS-LC. Thư viện này đóng vai trò quan trọng trong việc đảm bảo an toàn cho các giao tiếp và dữ liệu trong nhiều dịch vụ và ứng dụng dựa trên AWS.

Nếu không được vá kịp thời, các lỗ hổng CVE AWS-LC này có thể dẫn đến việc xâm phạm nghiêm trọng các hoạt động mã hóa, ảnh hưởng đến tính bảo mật của dữ liệu và hệ thống. Chúng cho phép kẻ tấn công vượt qua các cơ chế bảo vệ cốt lõi, tiềm ẩn nguy cơ lớn cho người dùng và các hệ thống phụ thuộc.

Các lỗ hổng mới được phát hiện chủ yếu nhắm mục tiêu vào hàm PKCS7_verify() trong thư viện AWS-LC, một chức năng quan trọng để xác thực chứng chỉ và chữ ký số. Ngoài ra, một lỗ hổng kênh bên cũng đã được xác định, ảnh hưởng đến quá trình xác minh thẻ AES-CCM, một thuật toán mã hóa được sử dụng rộng rãi.

Phân tích Chi tiết các Lỗ hổng CVE

CVE-2026-3336: Lỗi Bỏ qua Xác thực Chứng chỉ PKCS7

Lỗ hổng CVE-2026-3336 liên quan đến việc xác thực chứng chỉ không đúng cách khi hàm PKCS7_verify() xử lý các đối tượng PKCS7 chứa nhiều người ký. Trong trường hợp này, hệ thống chỉ kiểm tra tính hợp lệ của người ký cuối cùng trong chuỗi.

Điều này tạo ra một kẽ hở nghiêm trọng: kẻ tấn công có thể chèn một chứng chỉ độc hại hoặc giả mạo vào giữa chuỗi, đảm bảo rằng chứng chỉ cuối cùng vẫn hợp lệ theo cách cục bộ, trong khi các phần quan trọng khác của chuỗi đã bị thao túng. Hậu quả là một chứng chỉ không đáng tin cậy vẫn có thể vượt qua quá trình xác minh, dẫn đến việc chấp nhận các kết nối hoặc dữ liệu không an toàn.

Việc bỏ qua xác thực chứng chỉ có thể bị khai thác để thực hiện các cuộc tấn công man-in-the-middle (MitM) hoặc mạo danh, cho phép kẻ tấn công chặn và sửa đổi thông tin mà không bị phát hiện. Đây là một lỗ hổng CVE AWS-LC ảnh hưởng trực tiếp đến tính toàn vẹn của giao tiếp và xác thực danh tính.

CVE-2026-3338: Lỗi Bỏ qua Xác minh Chữ ký PKCS7

Tương tự như CVE-2026-3336, lỗ hổng CVE-2026-3338 cũng nằm trong quá trình xử lý PKCS7. Lỗ hổng này cho phép các tác nhân đe dọa bỏ qua hoàn toàn xác minh chữ ký khi xử lý các đối tượng PKCS7 có chứa thuộc tính đã được xác thực (Authenticated Attributes).

Các thuộc tính đã được xác thực trong PKCS7 thường bao gồm các thông tin quan trọng như hàm băm của dữ liệu hoặc thời gian ký, được bảo vệ bằng chữ ký số để đảm bảo tính toàn vẹn. Việc bỏ qua xác minh chữ ký trên các thuộc tính này có nghĩa là kẻ tấn công có thể thay đổi các thuộc tính đó mà không làm mất hiệu lực của chữ ký tổng thể.

Điều này có thể dẫn đến việc thực thi mã độc, chấp nhận dữ liệu đã bị giả mạo hoặc cấp phép không đúng cách. Cả hai lỗ hổng CVE AWS-LC liên quan đến PKCS7 đều cực kỳ nguy hiểm và cần được ưu tiên khắc phục ngay lập tức để duy trì tính bảo mật của các giao dịch và dữ liệu được ký số.

CVE-2026-3337: Lỗ hổng Kênh Bên Thời gian AES-CCM

Ngoài các lỗ hổng PKCS7, CVE-2026-3337 giới thiệu một lỗ hổng kênh bên thời gian trong quá trình xác minh thẻ AES-CCM. Đây là một lỗ hổng tinh vi, cho phép kẻ tấn công chưa được xác thực khai thác thông tin rò rỉ từ thời gian xử lý.

Khi một hệ thống thực hiện giải mã và xác minh thẻ AES-CCM, thời gian cần thiết để xử lý có thể thay đổi nhỏ tùy thuộc vào tính chính xác của thẻ xác thực. Bằng cách đo lường cẩn thận thời gian hệ thống phản hồi hoặc xử lý dữ liệu trong quá trình giải mã, kẻ tấn công có thể phân tích những sự khác biệt nhỏ này để suy ra liệu thẻ xác thực có hợp lệ hay không.

Việc này làm suy yếu độ tin cậy tổng thể của mã hóa, cho phép kẻ tấn công có thể xác định liệu một phần của thông điệp mã hóa có chính xác hay không, ngay cả khi không có khóa giải mã. Thông tin rò rỉ này, dù nhỏ, có thể được tích lũy và sử dụng để tấn công toàn bộ hệ thống hoặc giải mã dữ liệu nhạy cảm thông qua các cuộc tấn công suy đoán. Chi tiết bổ sung về lỗ hổng CVE AWS-LC này có thể được tìm thấy tại NVD NIST.

Tầm ảnh hưởng và Các Phiên bản bị ảnh hưởng

Các lỗ hổng CVE AWS-LC này nếu không được vá có thể dẫn đến những hậu quả nghiêm trọng, bao gồm khả năng kẻ tấn công thực hiện các cuộc tấn công giả mạo (spoofing), can thiệp vào dữ liệu (tampering), hoặc thậm chí chiếm quyền điều khiển các hệ thống dựa trên AWS-LC thông qua việc bỏ qua xác thực mã hóa. Những rủi ro này đặc biệt cao trong các môi trường yêu cầu tính toàn vẹn và bảo mật cao.

Các phiên bản cụ thể của AWS-LC và các thư viện liên quan đã được xác định là bị ảnh hưởng, bao gồm:

• AWS-LC: Các phiên bản từ 1.21.0 đến dưới 1.69.0 (<1.69.0)
• AWS-LC-FIPS: Các phiên bản từ 3.0.0 đến dưới 3.2.0 (<3.2.0)
• aws-lc-sys: Các phiên bản từ 0.14.0 đến dưới 0.38.0 (<0.38.0)
• aws-lc-sys-fips: Các phiên bản từ 0.13.0 đến dưới 0.13.12 (<0.13.12)

Tất cả các phiên bản trên đã được vá và AWS khuyến nghị người dùng nên ưu tiên nâng cấp để đảm bảo an toàn cho hệ thống của mình.

Biện pháp Khắc phục và Cập nhật bản vá bảo mật

AWS khuyến nghị mạnh mẽ tất cả khách hàng nên nâng cấp lên các phiên bản chính mới nhất của AWS-LC ngay lập tức để giải quyết triệt để các lỗ hổng CVE AWS-LC đã được công bố. Việc trì hoãn việc áp dụng bản vá có thể khiến hệ thống tiếp tục gặp rủi ro bị khai thác.

Thông tin chi tiết về bản tin bảo mật này, bao gồm các khuyến nghị và liên kết tải xuống bản vá, có sẵn tại Bản tin Bảo mật AWS.

Khuyến nghị Nâng cấp Chính thức

Hiện tại, không có giải pháp khắc phục tạm thời nào được biết đến hoặc khuyến nghị cho các lỗ hổng bỏ qua PKCS7_verify (CVE-2026-3336 và CVE-2026-3338). Điều này có nghĩa là các tổ chức phải áp dụng các bản cập nhật phần mềm được cung cấp càng sớm càng tốt để loại bỏ hoàn toàn các điểm yếu này. Việc thực hiện cập nhật bản vá bảo mật là biện pháp duy nhất và hiệu quả nhất.

Các bản vá này không chỉ sửa lỗi mà còn tăng cường khả năng chống chịu của thư viện trước các kiểu tấn công tương tự trong tương lai, đảm bảo tính toàn vẹn và độ tin cậy của các hoạt động mã hóa.

Giải pháp Tạm thời cho Lỗ hổng Kênh Bên AES-CCM (CVE-2026-3337)

Đối với lỗ hổng kênh bên thời gian AES-CCM (CVE-2026-3337), một giải pháp tạm thời tồn tại cho các cấu hình cụ thể, giúp giảm thiểu rủi ro trong khi chờ đợi việc nâng cấp lên phiên bản vá đầy đủ.

Các khách hàng đang sử dụng AES-CCM với các tham số cụ thể sau có thể giảm thiểu vấn đề bằng cách định tuyến AES-CCM thông qua API EVP AEAD, thay vì sử dụng trực tiếp các hàm AES-CCM bị ảnh hưởng:

• Với tham số M=4, L=2, cần sử dụng triển khai EVP_aead_aes_128_ccm_bluetooth.
• Với tham số M=8, L=2, cần sử dụng triển khai EVP_aead_aes_128_ccm_bluetooth_8.
• Với tham số M=16, L=2, cần sử dụng triển khai EVP_aead_aes_128_ccm_matter.

Đây là các hàm trong thư viện OpenSSL (mà AWS-LC có thể sử dụng hoặc tương thích) được thiết kế để xử lý các thuật toán mã hóa xác thực với dữ liệu liên kết (Authenticated Encryption with Associated Data – AEAD) một cách an toàn hơn, tránh các lỗ hổng kênh bên.

Việc chuyển đổi sang sử dụng các API EVP AEAD này sẽ định tuyến các hoạt động AES-CCM qua một đường dẫn mã hóa an toàn hơn, giúp che giấu thông tin thời gian xử lý mà kẻ tấn công có thể khai thác. Tuy nhiên, việc cập nhật bản vá bảo mật đầy đủ vẫn là phương pháp khuyến nghị lâu dài và toàn diện nhất.

// Ví dụ định tuyến AES-CCM qua API EVP AEAD
// Đối với cấu hình M=4, L=2
const EVP_AEAD *aead_alg = EVP_aead_aes_128_ccm_bluetooth();
// Sử dụng aead_alg cho các hoạt động mã hóa/giải mã AES-CCM

// Đối với cấu hình M=8, L=2
// const EVP_AEAD *aead_alg = EVP_aead_aes_128_ccm_bluetooth_8();

// Đối với cấu hình M=16, L=2
// const EVP_AEAD *aead_alg = EVP_aead_aes_128_ccm_matter();

Quá trình Phát hiện và Công bố

Các lỗ hổng CVE-2026-3336 và CVE-2026-3337 đã được nhóm nghiên cứu AISLE phát hiện và công bố. Quá trình này được thực hiện thông qua một quy trình công bố lỗ hổng phối hợp với AWS, đảm bảo rằng các thông tin được chia sẻ một cách có trách nhiệm.

Sự hợp tác giữa các nhà nghiên cứu bảo mật và các nhà cung cấp phần mềm là rất quan trọng để đảm bảo rằng các lỗ hổng CVE AWS-LC được giải quyết một cách có trách nhiệm và hiệu quả, giảm thiểu rủi ro cho người dùng cuối. Quy trình công bố phối hợp cho phép AWS phát triển và phát hành các bản vá trước khi thông tin về lỗ hổng được công khai rộng rãi.

Điều này giúp cộng đồng bảo mật và người dùng có đủ thời gian để chuẩn bị và áp dụng các bản vá cần thiết, giảm thiểu rủi ro bị khai thác trong môi trường thực tế. Việc minh bạch trong việc công bố các lỗ hổng CVE AWS-LC cũng là yếu tố then chốt để xây dựng lòng tin và tăng cường an ninh mạng tổng thể.