Cơ quan An ninh Cơ sở Hạ tầng và An ninh mạng (CISA) đã ban hành cảnh báo khẩn cấp về một lỗ hổng CVE nghiêm trọng trong Git (CVE-2025-48384) cho phép ghi tập tin tùy ý. Lỗ hổng này đã được ghi nhận trong các chiến dịch khai thác đang diễn ra, đòi hỏi sự chú ý cao độ từ các quản trị viên và đội ngũ bảo mật.

Giới Thiệu Lỗ Hổng CVE-2025-48384 trong Git

CISA đã đưa CVE-2025-48384 vào danh mục các lỗ hổng đã bị khai thác (Known Exploited Vulnerabilities Catalog), nhấn mạnh mức độ nguy hiểm và sự cần thiết phải hành động ngay lập tức. Bạn có thể xem danh sách này tại CISA KEV Catalog.

Đây là một lỗ hổng CVE đặc biệt nguy hiểm trong các môi trường mà người dùng sao chép hoặc cập nhật kho lưu trữ từ các nguồn không đáng tin cậy.

Lỗ hổng này bắt nguồn từ việc Git xử lý không nhất quán ký tự xuống dòng (Carriage Return – CR) trong các tập tin cấu hình của nó. Điều này tiềm ẩn nguy cơ cho phép các tác nhân đe dọa thực thi mã độc trong quá trình vận hành kho lưu trữ.

Để biết thêm chi tiết kỹ thuật về lỗ hổng CVE-2025-48384, bạn có thể tham khảo thông tin từ NVD: NVD – CVE-2025-48384.

Cơ Chế Kỹ Thuật của Lỗ Hổng

Khi Git đọc một giá trị cấu hình, nó sẽ loại bỏ bất kỳ ký tự xuống dòng (Carriage Return – CR) và ký tự xuống dòng mới (Line Feed – LF) nào ở cuối chuỗi (CRLF).

Ngược lại, khi ghi một mục cấu hình, các giá trị có ký tự CR ở cuối chuỗi sẽ không được trích dẫn. Hậu quả là ký tự CR bị mất khi cấu hình được đọc lại sau đó.

Sự không nhất quán trong việc xử lý ký tự CR này tạo ra một kẽ hở cho phép kẻ tấn công thao túng các đường dẫn tập tin, dẫn đến việc ghi tập tin tùy ý.

Kỹ Thuật Khai Thác Lỗ Hổng và Remote Code Execution

Kẻ tấn công có thể tạo ra một kho lưu trữ độc hại với đường dẫn submodule chứa ký tự CR ở cuối. Trong quá trình khởi tạo, Git sẽ diễn giải đường dẫn bị thay đổi này.

Khi đó, Git sẽ kiểm xuất submodule đến một vị trí không mong muốn. Nếu một liên kết tượng trưng (symbolic link) hướng đường dẫn bị thay đổi đến thư mục hook của submodule, quá trình khai thác sẽ tiếp tục.

Nếu kho lưu trữ độc hại bao gồm một hook post-checkout có thể thực thi, Git sẽ vô tình thực thi script của kẻ tấn công ngay sau khi submodule được kiểm xuất. Kỹ thuật này cho phép kẻ tấn công đạt được remote code execution trên hệ thống của nạn nhân.

Đây là một phương thức khai thác nguy hiểm, biến lỗ hổng CVE này thành cửa ngõ cho nhiều cuộc tấn công mạng tiếp theo.

Tác Động và Rủi Ro An Ninh Mạng Nghiêm Trọng

Một khi mã độc được thực thi trên các máy trạm phát triển, kẻ tấn công có thể leo thang đặc quyền. Họ cũng có thể di chuyển ngang trong mạng hoặc triển khai ransomware và các phần mềm độc hại khác.

Điều này gây ra rủi ro bảo mật đáng kể cho toàn bộ hạ tầng phát triển. CISA cảnh báo rằng lỗ hổng này đặc biệt nguy hiểm trong các môi trường nơi người dùng thường xuyên clone hoặc cập nhật các kho lưu trữ từ các nguồn không đáng tin cậy.

Các cuộc tấn công mạng thông qua lỗ hổng CVE-2025-48384 có thể dẫn đến việc kiểm soát hoàn toàn hệ thống. Mặc dù chưa rõ liệu lỗ hổng này đã được tận dụng trong các chiến dịch ransomware cụ thể hay chưa, nhưng nguy cơ thực thi mã từ xa đòi hỏi hành động khắc phục ngay lập tức.

Các quản trị viên được khuyến nghị xử lý lỗ hổng CVE này với mức độ ưu tiên cao, do tiềm năng gây ảnh hưởng đến toàn bộ hạ tầng phát triển.

Biện Pháp Giảm Thiểu và Cập Nhật Bản Vá Bảo Mật

Để giảm thiểu rủi ro từ lỗ hổng CVE-2025-48384, các tổ chức nên thực hiện các biện pháp sau:

• Cập nhật Git lên các phiên bản đã được vá lỗi ngay lập tức. Đây là hành động quan trọng nhất để áp dụng bản vá bảo mật này.
• Đội ngũ bảo mật cần xác minh rằng các pipeline Continuous Integration/Continuous Deployment (CI/CD) xác thực các định nghĩa submodule.
• Đồng thời, không cho phép các ký tự không mong muốn trong đường dẫn của submodule.
• Hệ thống phòng thủ mạng, chẳng hạn như hệ thống phát hiện xâm nhập (IDS), cần được cấu hình để kiểm tra lưu lượng truy cập giao thức Git. Mục đích là để tìm kiếm các dấu hiệu bất thường cho thấy sự khai thác lỗ hổng này.
• Tránh sao chép hoặc cập nhật kho lưu trữ từ các nguồn không đáng tin cậy để giảm thiểu phơi nhiễm.

Các đội ngũ phát triển và chuyên gia vận hành bảo mật phải coi CVE-2025-48384 là một ưu tiên hàng đầu. Với việc khai thác đang diễn ra và tiềm năng chèn mã thông qua các hoạt động của Git, việc khắc phục nhanh chóng và thực thi chính sách nghiêm ngặt là điều cần thiết.

Điều này giúp bảo vệ chống lại các cuộc tấn công mạng dựa trên kho lưu trữ độc hại và đảm bảo an toàn cho hệ thống.