Các lỗ hổng trong Rancher, được xác định bởi mã CVE-2025-23388 và CVE-2025-23389, đã được phát hiện gần đây và gây ra mối đe dọa nghiêm trọng cho các môi trường Kubernetes được quản lý bởi công cụ này. Rancher là một nền tảng quản lý Kubernetes mã nguồn mở phổ biến, giúp đơn giản hóa việc triển khai và vận hành các cụm Kubernetes. Tuy nhiên, hai lỗ hổng này có thể bị khai thác để thực hiện các cuộc tấn công từ chối dịch vụ (DoS) hoặc giả mạo danh tính người dùng, gây nguy cơ lớn cho tính bảo mật và toàn vẹn của hệ thống.
Lỗ hổng CVE-2025-23388
Lỗ hổng CVE-2025-23388 được mô tả là một lỗi tràn ngăn xếp (stack overflow) không yêu cầu xác thực, xảy ra trong API /v3-public/authproviders của Rancher. Điều này có nghĩa là kẻ tấn công có thể gửi một yêu cầu độc hại tới endpoint này mà không cần đăng nhập, gây ra sự cố khiến máy chủ Rancher bị sập. Hậu quả là một cuộc tấn công DoS thành công sẽ làm gián đoạn hoạt động của toàn bộ cụm Kubernetes được quản lý, ảnh hưởng đến tính sẵn sàng của các ứng dụng và dịch vụ chạy trên đó. Với mức độ nghiêm trọng được đánh giá từ 8.2 đến 8.4 theo thang điểm CVSS, đây là một lỗ hổng đáng lo ngại đòi hỏi phản ứng nhanh chóng từ phía người dùng Rancher.
Lỗ hổng CVE-2025-23389
CVE-2025-23389 liên quan đến một lỗi trong cơ chế xác thực SAML (Security Assertion Markup Language) của Rancher.
Lỗ hổng này xuất phát từ việc kiểm tra liên kết tài khoản yếu kém, cho phép kẻ tấn công bỏ qua các biện pháp bảo mật và giả mạo danh tính của bất kỳ người dùng nào trong hệ thống. Khi khai thác thành công, kẻ tấn công có thể truy cập trái phép vào các tài nguyên nhạy cảm, kiểm soát cụm Kubernetes hoặc thực hiện các hành động độc hại dưới danh nghĩa người dùng hợp pháp. Điều này đặc biệt nguy hiểm trong các môi trường doanh nghiệp nơi quyền truy cập được phân cấp chặt chẽ.
Tác động và nguy cơ
Cả hai lỗ hổng đều đặt các môi trường Kubernetes vào tình trạng dễ bị tấn công. CVE-2025-23388 gây ra mối đe dọa tức thời về tính sẵn sàng, trong khi CVE-2025-23389 mở ra khả năng xâm nhập sâu hơn vào hệ thống, có thể dẫn đến rò rỉ dữ liệu, thay đổi cấu hình hoặc phá hoại toàn bộ cụm. Đối với các tổ chức phụ thuộc vào Rancher để quản lý khối lượng công việc quan trọng, việc không khắc phục kịp thời có thể dẫn đến hậu quả nghiêm trọng về tài chính và uy tín.
Khuyến nghị khắc phục
Hiện tại, Rancher (được hỗ trợ bởi SUSE) thường khuyến nghị người dùng cập nhật lên phiên bản mới nhất của phần mềm để vá các lỗ hổng này ngay khi bản sửa lỗi được phát hành. Ngoài ra, các biện pháp giảm thiểu tạm thời bao gồm:
• Hạn chế truy cập công khai: Đảm bảo rằng API của Rancher không được phơi bày trực tiếp trên internet mà không có biện pháp bảo vệ như tường lửa hoặc VPN.
• Giám sát và nhật ký: Theo dõi các yêu cầu bất thường đến endpoint /v3-public/authproviders và hệ thống xác thực SAML để phát hiện sớm các dấu hiệu tấn công.
• Kiểm tra cấu hình SAML: Xác minh và tăng cường các biện pháp bảo mật trong quy trình xác thực SAML để ngăn chặn giả mạo.
Thông tin chi tiết về các bản vá và hướng dẫn khắc phục cụ thể có thể được tìm thấy trên trang tài liệu chính thức của Rancher hoặc trang GitHub bảo mật của họ. Người dùng nên hành động ngay lập tức để bảo vệ hệ thống của mình trước những mối đe dọa này.
