Dự án ZAP (Zed Attack Proxy), một máy quét bảo mật ứng dụng web mã nguồn mở được sử dụng rộng rãi, đã công bố một lỗ hổng bảo mật nghiêm trọng liên quan đến rò rỉ bộ nhớ trong công cụ JavaScript engine của nó.
Vấn đề này, có khả năng đã tồn tại trong một thời gian, hiện gây gián đoạn các quy trình quét chủ động (active scanning workflows) sau khi một quy tắc quét JavaScript mới được thêm vào OpenAPI add-on.
Tổng Quan Về Lỗ Hổng Rò Rỉ Bộ Nhớ ZAP
Các nhóm bảo mật dựa vào ZAP cho hoạt động kiểm thử bảo mật ứng dụng động (DAST – Dynamic Application Security Testing) có thể phải đối mặt với các tình trạng tương tự như tấn công từ chối dịch vụ (denial-of-service-like conditions) trong quá trình quét.
Các nhà bảo trì ZAP đã đưa ra cảnh báo vào ngày 28 tháng 1 năm 2026, nhấn mạnh các nỗ lực khắc phục khẩn cấp. Rò rỉ bộ nhớ này biểu hiện rõ rệt trong các lần quét chủ động, nơi công cụ JavaScript engine không thể giải phóng tài nguyên một cách thích hợp, dẫn đến cạn kiệt bộ nhớ nhanh chóng.
Vấn đề này trở nên nghiêm trọng hơn sau khi bản cập nhật gần đây của OpenAPI add-on tích hợp quy tắc quét JS gây lỗi, làm tăng mức tiêu thụ tài nguyên trong các quy trình kiểm thử tự động.
Phân Tích Kỹ Thuật Về Nguyên Nhân
Cốt lõi, lỗ hổng bảo mật này xuất phát từ việc xử lý bộ nhớ kém hiệu quả trong công cụ JavaScript engine của ZAP.
Điều này có thể liên quan đến việc thực thi các script chạy dài hoặc việc thu gom rác (garbage collection) không được xử lý trong các quy tắc quét.
Cụ thể, các quy tắc quét chủ động (active scans) – một tính năng nổi bật của ZAP để thăm dò các ứng dụng web thông qua các cuộc tấn công tự động như SQL injection và XSS – kích hoạt rò rỉ khi xử lý các thông số kỹ thuật OpenAPI có chứa logic JavaScript nhúng.
Tác Động Và Rủi Ro Bảo Mật
Mặc dù lỗ hổng bảo mật này không trực tiếp phơi bày các ứng dụng đang được quét trước các khai thác, nhưng nó làm suy yếu độ tin cậy của ZAP như một công cụ bảo mật.
Điều này có thể làm chậm quá trình xác định các bản vá lỗi trong môi trường sản xuất hoặc môi trường tương tự sản xuất.
Các tác động chính bao gồm:
- Cạn kiệt bộ nhớ nhanh chóng trên hệ thống chạy ZAP.
- Gián đoạn và lỗi trong các quy trình quét chủ động.
- Giảm hiệu quả của các hoạt động DAST, gây chậm trễ trong việc phát hiện lỗ hổng bảo mật.
- Gây ra các tình trạng tương tự như tấn công từ chối dịch vụ cho chính công cụ ZAP.
Biện Pháp Khắc Phục Khẩn Cấp Và Cập Nhật Bản Vá
Để hạn chế các rủi ro bảo mật ngay lập tức, OpenAPI add-on đã được vá lỗi để vô hiệu hóa quy tắc quét JS gây lỗi theo mặc định.
Người dùng bắt buộc phải cập nhật bản vá lên phiên bản mới nhất để áp dụng biện pháp khắc phục này.
Các bản phát hành ZAP hàng ngày (nightly) và hàng tuần (weekly) hiện đã có sẵn bản sửa lỗi, cùng với các ảnh Docker được làm mới cho các kênh hàng tuần và trực tiếp (live channels).
Xác Minh Cài Đặt ZAP
Các nhà phát triển nên xác minh cài đặt của họ bằng cách sử dụng lệnh zaproxy --version và chỉ nên kích hoạt lại quy tắc sau khi đã có bản sửa lỗi gốc (root fix).
Ví dụ lệnh kiểm tra phiên bản ZAP:
zaproxy --versionKhuyến Nghị Theo Dõi Và An Ninh Mạng
Các nhà bảo trì ZAP đang ưu tiên một giải pháp lâu dài cho rò rỉ trong công cụ JavaScript engine, với các bản cập nhật dự kiến sẽ sớm được cam kết.
Sự cố này nhấn mạnh những thách thức của việc tích hợp script động vào các công cụ bảo mật, nơi các lỗi hiệu suất có thể leo thang thành các lỗ hổng bảo mật vận hành.
Các chuyên gia an ninh mạng được khuyến nghị nên theo dõi kho lưu trữ GitHub của ZAP và các thông báo về bản phát hành ổn định.
Trong thời gian chờ đợi, việc quay lại sử dụng các quy trình quét thụ động (passive scans) hoặc các công cụ thay thế như Burp Suite có thể giúp lấp đầy khoảng trống.
Bạn có thể theo dõi thông tin cập nhật trên kho lưu trữ chính thức của ZAP tại: GitHub ZAP
