Internet Systems Consortium (ISC) vừa phát hành một cảnh báo bảo mật quan trọng, thông báo về một lỗ hổng CVE nghiêm trọng ảnh hưởng đến máy chủ DHCP Kea.
Lỗ hổng này cho phép kẻ tấn công từ xa không cần xác thực kích hoạt lỗi tràn bộ đệm stack, dẫn đến việc mất hoàn toàn dịch vụ DHCP trên mạng.
Phân Tích Kỹ Thuật về Lỗ Hổng CVE 2026-3608
Mô Tả Lỗ Hổng và Cơ Chế Khai Thác
Được định danh là CVE-2026-3608, lỗ hổng CVE này là một lỗi tràn bộ đệm stack (stack overflow).
Lỗi xảy ra khi các daemon của Kea xử lý các thông điệp đến qua các kênh lắng nghe cụ thể.
Kẻ tấn công có thể khai thác điểm yếu này bằng cách gửi một thông điệp được tạo dựng độc hại.
Thông điệp này được gửi qua bất kỳ socket API hoặc listener High Availability (HA) nào đã được cấu hình.
Do phần mềm không xử lý đúng cách payload đến, một lỗi tràn bộ đệm stack xảy ra, buộc dịch vụ phải chấm dứt bất ngờ.
Các Thành Phần Bị Ảnh Hưởng và Mức Độ Nghiêm Trọng
Cảnh báo của ISC nêu rõ rằng các daemon kea-ctrl-agent, kea-dhcp-ddns, kea-dhcp4, và kea-dhcp6 đều dễ bị tấn công.
Ali Norouzi từ Keysight là người đã phát hiện và báo cáo vấn đề này cho ISC một cách có trách nhiệm.
Với điểm CVSS v3.1 là 7.5, lỗ hổng CVE này đại diện cho một mối đe dọa đáng kể đến sự ổn định mạng.
Việc khai thác lỗ hổng CVE không yêu cầu tương tác người dùng hay các đặc quyền nâng cao.
Điều này có nghĩa là bất kỳ kẻ xấu nào có quyền truy cập mạng vào các socket API đều có thể kích hoạt sự cố.
Ảnh Hưởng và Hậu Quả Đến Dịch Vụ DHCP
Tình Trạng Tấn Công Từ Xa
Hậu quả chính của việc khai thác lỗ hổng CVE này là một điều kiện từ chối dịch vụ nghiêm trọng (Denial-of-Service).
Khi các daemon Kea bị dừng, mạng ngay lập tức mất khả năng DHCP của mình.
Điều này có thể làm gián đoạn việc cấp phát địa chỉ IP, phá vỡ kết nối mạng cho các thiết bị mới và ảnh hưởng nghiêm trọng đến hoạt động của doanh nghiệp.
May mắn thay, ISC đã tuyên bố rằng họ hiện chưa ghi nhận bất kỳ trường hợp khai thác nào trong thực tế.
Các Biện Pháp Khắc Phục và Cập Nhật Bản Vá Bảo Mật
Khuyến Nghị Nâng Cấp Ngay Lập Tức
Để khắc phục triệt để lỗ hổng CVE này, ISC khuyến nghị các tổ chức nâng cấp ngay lập tức các triển khai Kea của mình lên các bản phát hành đã vá lỗi mới nhất.
Cụ thể, các quản trị viên đang sử dụng nhánh 2.6 nên cập nhật lên Kea 2.6.5.
Trong khi đó, những người dùng trên nhánh 3.0 phải cập nhật lên Kea 3.0.3 để bảo vệ môi trường của họ khỏi các cuộc tấn công từ chối dịch vụ tiềm tàng.
Thông tin chi tiết về bản vá có thể tham khảo tại ISC Security Advisory: ISC CVE-2026-3608.
Giải Pháp Tạm Thời cho Lỗ Hổng CVE
Đối với các quản trị viên mạng không thể vá lỗi hệ thống ngay lập tức, ISC đã cung cấp một giải pháp tạm thời hiệu quả.
Các tổ chức có thể chặn đường khai thác bằng cách bảo mật các socket API của họ với Transport Layer Security (TLS) và thực thi xác thực lẫn nhau (mutual authentication) nghiêm ngặt.
Bằng cách cấu hình máy chủ yêu cầu chứng chỉ máy khách hợp lệ, quản trị viên đảm bảo rằng kẻ tấn công không thể thiết lập kết nối API ban đầu để đưa payload độc hại khai thác lỗ hổng CVE.
