Một lỗ hổng CVE ESPHome nghiêm trọng cho phép bỏ qua xác thực trong thành phần web server ESP-IDF của ESPHome. Lỗ hổng này cấp quyền truy cập trái phép và kiểm soát thiết bị thông minh cho người dùng trên cùng mạng nội bộ mà không cần bất kỳ thông tin đăng nhập hợp lệ nào. Được phát hiện và báo cáo bởi nhà nghiên cứu bảo mật jesserockz, lỗ hổng này được định danh là CVE-2025-57808. Nó làm suy yếu Cơ chế Xác thực Cơ bản (Basic Authentication) bằng cách chấp nhận các tiêu đề Authorization rỗng hoặc không đầy đủ.

Người dùng ESPHome phiên bản 2025.8.0 được khuyến nghị nâng cấp ngay lập tức lên phiên bản 2025.8.1 để giảm thiểu rủi ro.

Phân Tích Kỹ Thuật Lỗ Hổng Xác Thực ESPHome

ESPHome là một framework mã nguồn mở phổ biến để xây dựng firmware cho các thiết bị nhà thông minh. Nền tảng này hỗ trợ xác thực HTTP Basic Authentication thông qua thành phần web_server.

Trên nền tảng ESP-IDF, cơ chế xác thực này không thể xác thực chính xác thông tin đăng nhập do client cung cấp khi giá trị base64 của tiêu đề Authorization bị rỗng hoặc bị cắt ngắn.

Nguyên Nhân Lỗ Hổng

Lỗ hổng này bắt nguồn từ việc triển khai hàm AsyncWebServerRequest::authenticate. Hàm này sử dụng độ dài của tiêu đề được cung cấp để cắt ngắn quá trình so sánh, thay vì xác minh toàn bộ chuỗi thông tin đăng nhập.

Việc so sánh chỉ các byte ban đầu của chuỗi được cung cấp với giá trị dự kiến đã dẫn đến sự cố. Máy chủ cấp quyền truy cập nếu đoạn được cung cấp khớp với tiền tố của thông tin xác thực hợp pháp.

Ngay cả một giá trị Authorization rỗng cũng có thể bỏ qua hoàn toàn quá trình kiểm tra. Điều này cho phép kẻ tấn công truy cập các điểm cuối được bảo vệ mà không cần biết tên người dùng hoặc mật khẩu.

Để biết thêm chi tiết kỹ thuật, bạn có thể tham khảo báo cáo bảo mật chính thức: GitHub Advisory GHSA-mxh2-ccgj-8635.

Cơ Chế Bỏ Qua Xác Thực

Khi gửi một giá trị base64 rỗng sau “Basic” trong tiêu đề Authorization, máy chủ xử lý sai điều này là xác thực hợp lệ và phản hồi với HTTP 200 OK. Điều này tạo điều kiện cho một cuộc tấn công mạng bỏ qua xác thực hoàn toàn.

Tác Động và Kịch Bản Khai Thác

Lỗ hổng CVE-2025-57808 có mức độ nghiêm trọng cao, gây rủi ro đáng kể cho bất kỳ thiết bị nào sử dụng ESPHome trên nền tảng ESP-IDF với thành phần web_server được bật.

Minh Họa Khai Thác Bằng Cấu Hình ESPHome

Trong một minh họa proof-of-concept, cấu hình ESPHome sau đây đã được sử dụng:

web_server:
  port: 80
  password: somereallylongpass
  username: user

Truy cập thiết bị qua trình duyệt với thông tin đăng nhập chính xác (user:somereallylongpass) sẽ thành công như dự định. Tuy nhiên, bằng cách chỉ gửi một chuỗi con của mật khẩu (ví dụ: somereally, some, hoặc thậm chí một ký tự s), kẻ tấn công vẫn có thể truy cập.

Lệnh Khai Thác Trực Tiếp

Một cách bỏ qua trực tiếp hơn có thể được thực hiện bằng lệnh curl đơn giản sau:

curl -v --header "Authorization: Basic " http://<DEVICE_IP>/

Lệnh này gửi một token base64 rỗng sau từ khóa “Basic”, lợi dụng lỗ hổng để có quyền truy cập.

Nguy Cơ Đối Với Thiết Bị Nhà Thông Minh

Kẻ tấn công có quyền truy cập mạng cục bộ có thể bỏ qua xác thực để:

• Chiếm quyền điều khiển thiết bị.
• Thực thi lệnh tùy ý.
• Thay đổi cấu hình thiết bị.
• Truy cập dữ liệu nhạy cảm hoặc chức năng đã được bảo vệ.

Nhiều hệ thống nhà thông minh hoạt động hoàn toàn trong mạng LAN riêng tư. Kẻ tấn công có thể lợi dụng các thiết bị bị xâm nhập hoặc các kỹ thuật như ARP spoofing để khai thác lỗ hổng này từ xa, ngay cả khi không biết thông tin đăng nhập hợp lệ.

Biện Pháp Khắc Phục và Khuyến Nghị Bảo Mật

Để bảo vệ hệ thống khỏi lỗ hổng CVE ESPHome này, việc thực hiện các biện pháp khắc phục là tối quan trọng.

Cập Nhật Bản Vá Bảo Mật

Những người duy trì ESPHome đã phát hành phiên bản 2025.8.1. Phiên bản này đã sửa lỗi logic xác thực bằng cách yêu cầu chuỗi thông tin đăng nhập được mã hóa base64 phải khớp chính xác hoàn toàn.

Tất cả người dùng ESPHome phiên bản 2025.8.0 được khuyến cáo mạnh mẽ nên nâng cấp lên 2025.8.1 càng sớm càng tốt để áp dụng bản vá bảo mật này.

Các Biện Pháp Tạm Thời

Cho đến khi các thiết bị được vá lỗi, quản trị viên nên cân nhắc các biện pháp sau:

• Vô hiệu hóa thành phần web_server nếu không cần thiết.
• Hạn chế quyền truy cập mạng vào các thiết bị ESPHome chỉ cho các máy chủ đáng tin cậy.
• Sử dụng tường lửa để chặn các kết nối không mong muốn đến cổng web server của thiết bị.
• Thực hiện phân đoạn mạng (network segmentation) để cô lập các thiết bị IoT trong một mạng riêng. Điều này giúp ngăn chặn kẻ tấn công trên mạng cục bộ truy cập dễ dàng vào các thiết bị này.

Mặc dù phân đoạn mạng và kiểm soát truy cập nghiêm ngặt có thể giảm thiểu mức độ tiếp xúc, biện pháp khắc phục duy nhất được đảm bảo là áp dụng bản vá. Sự cố lỗ hổng CVE ESPHome này là một lời nhắc nhở rõ ràng rằng những lỗi triển khai nhỏ cũng có thể làm cho các biện pháp bảo mật trở nên không hiệu quả.

Các nhà vận hành nhà thông minh phải luôn cảnh giác, nhanh chóng áp dụng các bản cập nhật và thực thi các phương pháp hay nhất về bảo mật mạng để bảo vệ chống lại truy cập trái phép.