Một lỗ hổng CVE nghiêm trọng trong Trình soạn thảo mã Cursor AI đã khiến các nhà phát triển có nguy cơ bị tấn công thực thi mã từ xa (RCE) một cách lén lút khi mở các kho lưu trữ mã. Các nhà nghiên cứu bảo mật đã đưa ra cảnh báo về lỗ hổng nghiêm trọng này.

Lỗi này, được khám phá bởi Oasis Security, cho phép kẻ tấn công phân phối và chạy mã độc hại tự động. Quá trình này diễn ra mà không có bất kỳ thông báo cảnh báo nào. Điều này đẩy các bí mật quan trọng và quyền truy cập đám mây vào tình trạng rủi ro cao.

Cơ chế khai thác và thực thi mã từ xa (Remote Code Execution)

Cursor, một IDE phổ biến tận dụng lập trình hỗ trợ AI, mặc định tắt tính năng Workspace Trust. Cấu hình này cho phép các tác vụ theo kiểu VS Code chạy ngay lập tức khi người dùng mở một thư mục dự án.

Cụ thể, nếu một kho lưu trữ chứa tệp .vscode/tasks.json độc hại với tùy chọn runOptions.runOn: “folderOpen”, IDE sẽ thực thi mã ngay khi dự án được truy cập. Điều này xảy ra mà không cần xin phép người dùng hoặc hiển thị bất kỳ lời nhắc tin cậy nào. Đây là điểm yếu cốt lõi của lỗ hổng CVE này.

Hành vi này biến một thao tác “mở thư mục” thông thường thành một sự kiện thực thi mã thầm lặng. Kẻ tấn công có thể lợi dụng điều này để thực hiện các cuộc tấn công remote code execution một cách hiệu quả.

Khai thác lỗ hổng, rủi ro bảo mật và chuỗi cung ứng phần mềm

Kẻ tấn công có thể khai thác lỗ hổng CVE này bằng cách tạo ra các kho lưu trữ đặc biệt. Các kho lưu trữ này khởi chạy các tác vụ có khả năng đánh cắp thông tin xác thực, trích xuất tệp hoặc thiết lập quyền truy cập từ xa. Tất cả diễn ra ngay khi nhà phát triển kiểm tra kho lưu trữ trong Cursor.

Máy của nhà phát triển thường chứa thông tin đặc quyền quan trọng. Bao gồm các bí mật đám mây, khóa API và các phiên đăng nhập được sử dụng cho môi trường SaaS và CI/CD. Oasis Security đã công bố phân tích kỹ thuật đầy đủ và bằng chứng khái niệm hoạt động (PoC) để làm nổi bật rủi ro bảo mật tiềm tàng này.

Khi tính năng tự động chạy được kích hoạt theo mặc định, sự xâm phạm có thể mở rộng nhanh chóng. Nó không chỉ giới hạn ở máy tính xách tay của nhà phát triển mà còn lan sang các dịch vụ đám mây hoặc quy trình tự động hóa liên tục (CI/CD). Điều này tạo ra một vectơ tấn công chuỗi cung ứng phần mềm nguy hiểm.

Kẻ tấn công khai thác lỗ hổng nghiêm trọng này sẽ nhanh chóng giành được quyền truy cập vào các môi trường nhạy cảm. Bao gồm các tài khoản dịch vụ có quyền hạn rộng. Việc này gây ra nguy cơ nghiêm trọng cho các nhóm kỹ thuật, cơ sở hạ tầng và toàn bộ chuỗi phát triển sản phẩm.

So sánh với Visual Studio Code và tầm quan trọng của Workspace Trust

Người dùng Cursor với cài đặt mặc định là những người bị lộ diện nhiều nhất trước lỗ hổng CVE này. Để so sánh, Visual Studio Code chặn việc thực thi tự động như vậy. Trừ khi Workspace Trust được người dùng cấp quyền rõ ràng. Điều này giúp giảm rủi ro bảo mật đáng kể cho người dùng VS Code.

Tính năng Workspace Trust, khi được kích hoạt, yêu cầu người dùng xác nhận tin cậy đối với một thư mục dự án hoặc workspace cụ thể. Điều này bổ sung một lớp bảo vệ quan trọng chống lại việc thực thi mã không mong muốn từ các nguồn không đáng tin cậy. Sự thiếu vắng của cơ chế bảo vệ mặc định này trong Cursor tạo ra một lỗ hổng CVE đáng kể, dễ bị khai thác.

Cơ chế này hoạt động như một rào cản, buộc người dùng phải chủ động đánh giá mức độ tin cậy của mã trước khi cho phép nó chạy các tác vụ tiềm ẩn nguy hiểm. Sự vắng mặt của nó làm suy yếu đáng kể khả năng phòng thủ của IDE, đặc biệt khi xử lý các kho lưu trữ từ bên ngoài hoặc không rõ nguồn gốc.

Biện pháp phòng ngừa và khuyến nghị tăng cường an ninh mạng

Nhóm Cursor đã thừa nhận vấn đề và đang trong quá trình phát triển các bản cập nhật. Họ lưu ý rằng Workspace Trust có thể được người dùng kích hoạt và hướng dẫn cập nhật sẽ sớm được ban hành. Oasis Security khuyến nghị các nhóm thực hiện các hành động tức thì sau để giảm thiểu rủi ro bảo mật:

• Kích hoạt tính năng Workspace Trust trong Cursor AI Code Editor: Đây là biện pháp phòng ngừa quan trọng nhất để ngăn chặn việc thực thi mã tự động từ các tệp cấu hình dự án. Người dùng nên tìm cài đặt này và đảm bảo nó luôn được bật.
• Luôn cảnh giác với các kho lưu trữ mã từ các nguồn không đáng tin cậy: Trước khi mở bất kỳ dự án nào, đặc biệt là từ các nguồn công cộng hoặc không xác định, hãy xem xét kỹ lưỡng nguồn gốc và mục đích của nó.
• Thường xuyên kiểm tra và giám sát các tệp cấu hình dự án: Đặc biệt là .vscode/tasks.json, trước khi mở một dự án. Tìm kiếm bất kỳ lệnh hoặc cấu hình bất thường nào có thể dẫn đến remote code execution.
• Thiết lập các chính sách an ninh mạng nghiêm ngặt: Để quản lý quyền truy cập và sử dụng các công cụ phát triển. Điều này bao gồm việc giới hạn quyền của các tài khoản phát triển và triển khai các giải pháp phát hiện mối đe dọa.
• Cập nhật bản vá bảo mật: Theo dõi các thông báo từ Cursor và áp dụng các bản vá bảo mật ngay khi chúng được phát hành để khắc phục lỗ hổng CVE này một cách triệt để.

Các chuyên gia bảo mật nhấn mạnh sự cần thiết của việc tăng cường môi trường phát triển. Mục tiêu là ngăn chặn các cuộc tấn công chuỗi cung ứng lén lút do các kho lưu trữ mã bị gài bẫy. Việc chủ động trong việc quản lý rủi ro bảo mật là chìa khóa để bảo vệ hệ thống khỏi các mối đe dọa remote code execution ngày càng tinh vi.

Để biết thêm chi tiết kỹ thuật chuyên sâu về phát hiện này, bạn có thể tham khảo báo cáo đầy đủ từ Oasis Security tại blog Oasis Security. Tài liệu này cung cấp cái nhìn chi tiết hơn về cách thức hoạt động của lỗ hổng nghiêm trọng này và các khuyến nghị cụ thể.