Một lỗ hổng CVE-2025-6203 HashiCorp Vault nghiêm trọng, được định danh là CVE-2025-6203 và HCSEC-2025-24, đã được công bố. Lỗ hổng này cho phép kẻ tấn công gửi các payload được tạo đặc biệt, có khả năng làm cạn kiệt tài nguyên máy chủ và khiến các phiên bản Vault không phản hồi. Sự tồn tại của lỗ hổng CVE-2025-6203 HashiCorp Vault này đòi hỏi các biện pháp khắc phục khẩn cấp.
Phân Tích Chi Tiết Lỗ Hổng CVE-2025-6203
Đây là một lỗ hổng từ chối dịch vụ (Denial-of-Service – DoS), ảnh hưởng đến cả phiên bản Vault Community và Enterprise. Các phiên bản bị ảnh hưởng bao gồm từ 1.15.0 đến 1.20.2, cùng với một số phiên bản vá lỗi cũ hơn. HashiCorp đã công khai thông tin chi tiết về lỗ hổng CVE-2025-6203 HashiCorp Vault này vào ngày 28 tháng 8 năm 2025.
Nguyên nhân gốc rễ của vấn đề nằm ở cách hệ thống kiểm toán (auditing subsystem) của Vault xử lý yêu cầu. Hệ thống này ghi lại mọi yêu cầu trước khi hoàn thành các hoạt động. Kẻ tấn công có thể gửi một payload yêu cầu phức tạp. Payload này tuân thủ giới hạn kích thước yêu cầu mặc định 32 MiB nhưng lại kích hoạt các cấu trúc JSON sâu hoặc mở rộng, gây ra tình trạng cạn kiệt tài nguyên.
Việc xử lý payload phức tạp dẫn đến việc sử dụng bộ nhớ và CPU quá mức. Khi tài nguyên bị tiêu thụ cường độ cao, quá trình kiểm toán có thể bị hết thời gian chờ, khiến luồng chính của máy chủ Vault bị đình trệ và cuối cùng là treo hoặc sập. Điều này biến lỗ hổng CVE-2025-6203 HashiCorp Vault thành một nguy cơ nghiêm trọng.
Một khía cạnh đáng lo ngại của cuộc tấn công này là điều kiện từ chối dịch vụ có thể được tạo ra mà không cần thông tin xác thực hợp lệ hoặc mã truy cập. Kẻ tấn công có thể làm quá tải pipeline kiểm toán, dẫn đến việc các điểm cuối API bị chặn và hệ thống bị tấn công hoàn toàn. Đây là một mối đe dọa mạng cần được xử lý kịp thời.
Các Phiên Bản HashiCorp Vault Bị Ảnh Hưởng và Rủi Ro
Các tổ chức đang sử dụng HashiCorp Vault trong các phiên bản sau đây cần đánh giá mức độ phơi nhiễm và lập kế hoạch nâng cấp ngay lập tức để giảm thiểu rủi ro bảo mật từ lỗ hổng CVE-2025-6203 HashiCorp Vault:
- Vault Community Edition: Các phiên bản từ 1.15.0 đến 1.20.2 (bao gồm một số phiên bản vá lỗi cũ hơn được chọn).
- Vault Enterprise Edition: Các phiên bản tương ứng với phạm vi 1.15.0 – 1.20.2.
Nâng cấp lên các bản phát hành đã được vá lỗi, chẳng hạn như Vault 1.20.3 và các bản vá Enterprise tương ứng, sẽ loại bỏ hoàn toàn nguy cơ từ lỗ hổng CVE-2025-6203 HashiCorp Vault. Việc trì hoãn cập nhật có thể khiến hệ thống của bạn dễ bị xâm nhập.
Giải Pháp: Cập Nhật Bản Vá và Cấu Hình Bảo Mật
Cập Nhật Phiên Bản HashiCorp Vault
Để khắc phục lỗ hổng CVE-2025-6203 HashiCorp Vault, biện pháp quan trọng nhất là nâng cấp Vault lên phiên bản đã được vá lỗi. HashiCorp khuyến nghị các phiên bản sau:
- Vault 1.20.3 trở lên.
- Các bản vá Enterprise tương ứng với Vault 1.20.3 trở lên.
Hướng dẫn nâng cấp đầy đủ có sẵn trong tài liệu “Upgrading Vault” của HashiCorp. Việc áp dụng các bản vá bảo mật này là cần thiết để đảm bảo an ninh mạng cho hệ thống của bạn. Đây là bước cơ bản để bảo vệ hệ thống khỏi các cuộc tấn công mạng.
Cấu Hình Giới Hạn Payload JSON Mới Để Tăng Cường Bảo Mật
Ngoài việc nâng cấp, HashiCorp đã giới thiệu các tham số cấu hình listener mới để kiểm soát tốt hơn các payload JSON và giảm thiểu rủi ro từ các cuộc tấn công tương tự lỗ hổng CVE-2025-6203 HashiCorp Vault. Các nhà quản trị có thể áp dụng các giới hạn sau:
max_json_depth: Giới hạn độ sâu tối đa của cấu trúc JSON.max_json_size: Giới hạn kích thước tối đa của payload JSON đã được phân tích cú pháp.max_json_arrays: Giới hạn số lượng phần tử tối đa trong các mảng JSON.max_json_objects: Giới hạn số lượng đối tượng tối đa trong cấu trúc JSON.
Các tùy chọn này bổ sung cho cài đặt max_request_size hiện có và có thể được áp dụng cho từng listener trong cấu hình TCP listener của Vault. Việc cấu hình các tham số này giúp giảm thiểu rủi ro bảo mật tương tự trong tương lai và tăng cường khả năng chống chịu của hệ thống.
Chi tiết về các tham số này có trong tài liệu API Vault và hướng dẫn nâng cấp chính thức từ HashiCorp. Các nhà quản trị được khuyến khích xem xét cấu hình listener của Vault và kích hoạt các giới hạn payload JSON mới để tăng cường bảo vệ. Tham khảo thêm về cảnh báo bảo mật chính thức của HashiCorp tại: HashiCorp Security Advisory HCSEC-2025-24.
