CoreDNS đang đối mặt với một lỗ hổng CVE nghiêm trọng trong plugin etcd của mình. Lỗ hổng này cho phép kẻ tấn công ghim các bản ghi DNS vào bộ nhớ cache trong nhiều năm, từ đó chặn đứng mọi bản cập nhật hợp lệ. Điều này đặt ra một rủi ro bảo mật đáng kể cho các hệ thống phụ thuộc vào CoreDNS.

Các nhóm bảo mật cần ưu tiên cập nhật ngay lập tức và xem xét lại cài đặt TTL để ngăn chặn tình trạng đầu độc cache lâu dài.

Phân tích Sâu về Lỗ hổng CVE-2025-58063

Nguồn gốc Kỹ thuật của Lỗ hổng

Lỗ hổng CVE-2025-58063 xuất phát từ việc CoreDNS xử lý không chính xác các ID thuê bao (lease ID) của etcd. Lỗi này ảnh hưởng đến mọi phiên bản CoreDNS từ 1.2.0 trở đi.

Vấn đề nằm trong tệp tin plugin/etcd/etcd.go. Tại đây, hàm TTL() đã chuyển nhầm một ID thuê bao 64-bit thành một số nguyên không dấu 32-bit.

Các ID thuê bao của etcd được thiết kế như các định danh mờ, hoàn toàn không phải là giá trị thời lượng. Khi mã CoreDNS coi ID bị cắt ngắn này là giá trị TTL, nó có thể tạo ra các giá trị cực lớn, đo bằng hàng thập kỷ.

Tác động của Giá trị TTL Bất thường

Một kẻ tấn công có quyền ghi vào backend etcd có thể gắn bất kỳ thuê bao nào vào một bản ghi DNS. Điều này khiến CoreDNS phục vụ các mục nhập với giá trị TTL lên tới hàng chục năm.

Các trình phân giải hạ nguồn không có giới hạn TTL nghiêm ngặt sẽ lưu vào bộ nhớ cache các bản ghi này vô thời hạn. Hậu quả là mọi bản cập nhật hoặc xóa bản ghi hợp lệ sau đó đều bị bỏ qua.

Kịch bản Tấn công và Khai thác Lỗ hổng CVE

Điều kiện Tiên quyết để Tấn công

Để khai thác lỗ hổng CVE này, kẻ tấn công cần có đặc quyền ghi vào backend etcd. Điều kiện này có thể phát sinh từ nhiều nguyên nhân.

Chúng bao gồm cấu hình vai trò không chính xác, các endpoint bị lộ ra internet, hoặc thông tin đăng nhập tài khoản dịch vụ bị đánh cắp. Việc đảm bảo an toàn cho etcd là yếu tố then chốt.

Quy trình Thực hiện Tấn công

Sau khi có được quyền ghi vào etcd, kẻ tấn công sẽ cấp một thuê bao bất kỳ. Thời lượng thực tế của thuê bao này không quan trọng.

Tiếp theo, kẻ tấn công sẽ ghi hoặc cập nhật một khóa DNS dưới đường dẫn khám phá dịch vụ của CoreDNS. CoreDNS sau đó sẽ phản hồi với bản ghi đã bị sửa đổi kèm theo giá trị TTL giả mạo cực lớn.

Các máy khách và trình phân giải DNS sẽ giữ bản ghi bị đầu độc này. Bản ghi sẽ tồn tại cho đến khi hết hạn tự nhiên hoặc khi trình phân giải áp dụng một giới hạn cứng.

Trong khoảng thời gian này, bất kỳ bản cập nhật hoặc hoàn tác hợp lệ nào đối với bản ghi đều hoàn toàn không thể nhìn thấy đối với các máy khách. Điều này tạo ra một cửa sổ tấn công kéo dài.

Hậu quả và Rủi ro Bảo mật Nghiêm trọng

Nguy cơ Đầu độc Cache DNS Kéo dài

Khả năng đầu độc cache DNS kéo dài tạo ra một rủi ro bảo mật nghiêm trọng. Các hệ thống phụ thuộc vào CoreDNS để phân giải tên sẽ bị ảnh hưởng nặng nề.

Kẻ tấn công có thể sử dụng phương pháp này để chuyển hướng lưu lượng truy cập trái phép. Ngoài ra, việc ngăn chặn cập nhật các bản ghi quan trọng cũng có thể xảy ra, ảnh hưởng đến tính khả dụng và tính toàn vẹn của dịch vụ.

Ảnh hưởng đến Hoạt động và Khám phá Dịch vụ

Các thay đổi quan trọng đối với dịch vụ, như xoay vòng IP, chuyển đổi dự phòng (failover), hoặc triển khai các bản vá khẩn cấp, đều sẽ bị bỏ qua. Điều này dẫn đến sự gián đoạn kéo dài của việc khám phá dịch vụ dựa trên DNS.

Sự cố này có thể làm gián đoạn nghiêm trọng các hoạt động của doanh nghiệp và gây ra thiệt hại đáng kể. Vì vậy, việc giải quyết lỗ hổng CVE này là tối quan trọng.

Biện pháp Khắc phục và Bản vá Bảo mật Khẩn cấp

Cập nhật CoreDNS lên Phiên bản Đã vá

Các nhà bảo trì CoreDNS đã chính thức khắc phục lỗ hổng CVE-2025-58063 trong phiên bản 1.12.4. Bản vá này được thực hiện thông qua hai cơ chế chính.

Thứ nhất, CoreDNS giờ đây sẽ truy vấn API Lease của etcd để lấy thời lượng thuê bao thực tế. Thứ hai, bản vá cũng giới thiệu các giới hạn TTL có thể cấu hình, giúp ngăn chặn việc gán các giá trị TTL quá lớn.

Các quản trị viên hệ thống cần ưu tiên nâng cấp lên phiên bản đã vá ngay lập tức. Đây là hành động cần thiết để đảm bảo an toàn thông tin cho hạ tầng DNS của mình. Tham khảo thông báo bảo mật chi tiết tại: GHSA-93mf-426m-g6x9.

Các Biện pháp Phòng ngừa Bổ sung

Trong các môi trường mà việc nâng cấp ngay lập tức không khả thi, các nhóm an ninh mạng nên thực thi các giới hạn TTL. Điều này có thể được áp dụng trong các trình phân giải DNS hoặc các proxy cổng để giới hạn các giá trị TTL quá mức.

Ngoài ra, kiểm toán định kỳ các quyền của etcd là rất quan trọng. Việc xoay vòng thông tin đăng nhập tài khoản dịch vụ cũng giúp giảm thiểu rủi ro truy cập ghi trái phép.

Sự tồn tại của một lỗ hổng CVE như thế này nhấn mạnh tầm quan trọng của việc duy trì một chiến lược bản vá bảo mật mạnh mẽ và các quy trình quản lý truy cập nghiêm ngặt trong môi trường an ninh mạng hiện đại.