Các nhà nghiên cứu bảo mật tại Imperva đã công bố một lỗ hổng CVE cạn kiệt bộ nhớ pre-handshake nghiêm trọng trong triển khai LSQUIC QUIC được sử dụng rộng rãi. Lỗ hổng CVE này cho phép kẻ tấn công từ xa làm sập máy chủ thông qua các cuộc tấn công từ chối dịch vụ (DoS).
Lỗi này, được định danh là CVE-2025-54939 và được đặt tên là “QUIC-LEAK,” bỏ qua các biện pháp bảo vệ cấp kết nối QUIC tiêu chuẩn. Nó kích hoạt trước khi bất kỳ bắt tay nào được thiết lập, khiến máy chủ dễ bị tăng trưởng bộ nhớ không giới hạn và cuối cùng là chấm dứt tiến trình.
Phân tích Kỹ thuật Lỗ hổng QUIC-LEAK và Mối đe dọa Mạng
QUIC-LEAK đại diện cho một mối đe dọa mạng đáng kể trong LSQUIC, triển khai QUIC được sử dụng rộng rãi thứ hai sau Quiche của Cloudflare. Lỗ hổng này khai thác cách thư viện xử lý các gói kết hợp (coalesced packets) trong một UDP datagram duy nhất.
Cụ thể, nó nhắm mục tiêu vào quá trình xác thực ID Kết nối Đích (Destination Connection ID – DCID).
Cơ chế Khai thác Lỗ hổng CVE
Khi kẻ tấn công tạo ra các UDP datagram độc hại chứa nhiều gói QUIC Initial với DCID không hợp lệ, chỉ gói đầu tiên được giải phóng đúng cách khỏi bộ nhớ. Các gói tiếp theo vẫn được cấp phát, tạo ra một rò rỉ bộ nhớ (memory leak) dai dẳng.
Cơ chế tấn công tận dụng việc kết hợp gói, nơi nhiều gói QUIC có thể được kết hợp thành một UDP datagram duy nhất. Kẻ tấn công có thể chèn tới 10 gói bắt tay tối thiểu trong một tải trọng UDP điển hình 1472-byte.
Chỉ gói đầu tiên yêu cầu DCID hợp lệ. Cuộc tấn công không trạng thái này không yêu cầu hoàn thành bắt tay, khiến nó cực kỳ hiệu quả đối với các tác nhân đe dọa.
Tác động Hệ thống và Phạm vi Ảnh hưởng
Lỗ hổng CVE này ảnh hưởng đến bất kỳ công nghệ nào dựa vào thư viện LiteSpeed QUIC, bao gồm các cài đặt OpenLiteSpeed và LiteSpeed Web Server. LiteSpeed phục vụ hơn 14% tổng số trang web và hơn 34% các trang web hỗ trợ HTTP/3, do đó tiềm năng tác động là đáng kể.
Mức tiêu thụ bộ nhớ tăng xấp xỉ 70% tốc độ băng thông. Mỗi gói bị định dạng sai tiêu thụ khoảng 96 byte RAM.
Thử nghiệm của Imperva đã chứng minh rằng trong điều kiện thực tế, sử dụng máy chủ OpenLiteSpeed 512 MiB, cuộc tấn công có thể khiến hệ thống hoàn toàn không phản hồi khi mức sử dụng bộ nhớ đạt 100%. Điều này có thể kích hoạt các điều kiện Out-of-Memory (OOM), dẫn đến việc chấm dứt tiến trình và không khả dụng dịch vụ.
Mức độ Nghiêm trọng của CVE và Cập nhật Bản vá
Lỗ hổng CVE 2025-54939 đã được công bố một cách có trách nhiệm cho LiteSpeed Technologies vào ngày 15 tháng 7 năm 2025. Một bản vá đã được phát hành chỉ ba ngày sau đó, vào ngày 18 tháng 7.
Đánh giá CVSS của Lỗ hổng CVE Nghiêm trọng
Trong khi MITRE ban đầu gán điểm cơ sở CVSS 3.1 là 5.3, phân tích của Imperva cho thấy điểm sửa đổi là 7.5. Điều này là do tác động cao đến tính khả dụng của hệ thống, nhấn mạnh tính chất CVE nghiêm trọng của vấn đề.
Lộ trình Công bố và Cập nhật Bản vá
CVE đã được công khai vào ngày 1 tháng 8 năm 2025. Điều này trùng với thời điểm phát hành các phiên bản đã vá của OpenLiteSpeed 1.8.4 và LiteSpeed Web Server 6.3.4. Việc cập nhật lên các phiên bản này là cần thiết để bảo vệ hệ thống khỏi lỗ hổng CVE này.
Biện pháp Khắc phục và Phòng ngừa Tấn công Mạng
Các tổ chức nên ngay lập tức nâng cấp lên LSQUIC phiên bản 4.3.1 trở lên, bao gồm trong OpenLiteSpeed 1.8.4 và LiteSpeed Web Server 6.3.4. Đây là biện pháp quan trọng nhất để ngăn chặn các cuộc tấn công mạng khai thác lỗ hổng CVE này.
Khuyến nghị Nâng cấp Phiên bản
- Đối với OpenLiteSpeed: Nâng cấp lên phiên bản 1.8.4 hoặc mới hơn.
- Đối với LiteSpeed Web Server: Nâng cấp lên phiên bản 6.3.4 hoặc mới hơn.
Biện pháp Bảo vệ Tạm thời
Đối với các hệ thống không thể nâng cấp ngay lập tức, quản trị viên nên triển khai các biện pháp bảo vệ cấp độ mạng. Đồng thời, cần thực thi giới hạn sử dụng bộ nhớ và giám sát các mẫu lưu lượng UDP bất thường để phát hiện sớm các dấu hiệu khai thác lỗ hổng CVE.
- Thực thi giới hạn bộ nhớ: Đặt ra các giới hạn nghiêm ngặt về mức tiêu thụ RAM cho các tiến trình liên quan đến LSQUIC.
- Giám sát lưu lượng UDP: Theo dõi chặt chẽ các bất thường trong lưu lượng UDP, đặc biệt là các gói có kích thước và tần suất bất thường hướng đến các cổng QUIC.
- Bảo vệ cấp độ mạng: Triển khai các quy tắc tường lửa (firewall) hoặc hệ thống ngăn chặn xâm nhập (IPS) để phát hiện và chặn các UDP datagram độc hại.
