Lỗ Hổng Bảo Mật Nghiêm Trọng Trong Denodo Scheduler (CVE-2025-26147): Tổng Quan Và Biện Pháp Khắc Phục
Denodo Scheduler, một ứng dụng web dựa trên Java, được thiết kế để tự động hóa và quản lý các tác vụ trích xuất và tích hợp dữ liệu trên các máy chủ Denodo Virtual DataPort. Ứng dụng này hỗ trợ lập lịch cho các công việc hàng loạt, tạo báo cáo thực thi chi tiết, xuất kết quả sang nhiều định dạng khác nhau và quản lý cấu hình xác thực, bao gồm cả xác thực Kerberos. Tuy nhiên, một lỗ hổng bảo mật nghiêm trọng, được theo dõi với mã định danh CVE-2025-26147, đã được phát hiện, cho phép thực thi mã từ xa (RCE) đối với các hệ thống bị ảnh hưởng.
Tổng Quan Về Lỗ Hổng CVE-2025-26147
Lỗ hổng CVE-2025-26147 ảnh hưởng đến tính năng tải lên tệp keytab Kerberos trong Denodo Scheduler. Các tệp keytab lưu trữ thông tin xác thực của service principal dưới dạng mã hóa, cho phép xác thực không cần mật khẩu. Tuy nhiên, lỗ hổng này cho phép người dùng đã xác thực thực hiện tấn công path traversal thông qua tham số filename trong header Content-Disposition của yêu cầu HTTP multipart form data POST.
Bằng cách thao túng giá trị filename với các chuỗi như “../”, kẻ tấn công có thể vượt qua các giới hạn thư mục và ghi tệp vào các vị trí tùy ý trên hệ thống tệp của máy chủ. Điều này có thể dẫn đến thực thi mã từ xa (RCE), gây ra hậu quả nghiêm trọng cho hệ thống.
Chi Tiết Tấn Công Path Traversal
Yêu cầu HTTP tải lên tệp sử dụng multipart form data POST, trong đó tham số filename dễ bị tấn công path traversal. Ví dụ, kẻ tấn công có thể tạo một giá trị filename như sau:
filename="../../../../opt/denodo/malicious.file.txt"Điều này cho phép ghi tệp vào các vị trí không mong muốn trên hệ thống tệp của máy chủ. Mặc dù ứng dụng tự động thêm dấu thời gian vào tên tệp được tải lên (ví dụ: malicious.file-1711156561716.txt), thông tin này lại được trả về cho người dùng qua phản hồi HTTP, loại bỏ nhu cầu đoán tên tệp chính xác.
Ảnh Hưởng Và Biện Pháp Khắc Phục
Lỗ hổng này tạo ra nguy cơ nghiêm trọng, đặc biệt khi kẻ tấn công có thể lợi dụng để thực thi mã tùy ý trên máy chủ. Để giảm thiểu rủi ro, tổ chức sử dụng Denodo Scheduler cần thực hiện các biện pháp sau:
- Nâng Cấp Lên Phiên Bản Đã Được Sửa Lỗi: Nâng cấp ngay lên phiên bản đã khắc phục lỗ hổng (
denodo-v80-update-20240307). - Kiểm Tra Cấu Hình Máy Chủ: Rà soát cấu hình máy chủ để ngăn chặn các kịch bản khai thác.
- Áp Dụng Thực Tiễn Lập Trình An Toàn: Tăng cường kiểm tra đầu vào và bảo mật chức năng tải tệp.
- Cập Nhật Vá Lỗi Kịp Thời: Đảm bảo áp dụng các bản vá kịp thời trong quy trình phát triển và triển khai phần mềm.
Kết Luận
Lỗ hổng CVE-2025-26147 trong Denodo Scheduler nhấn mạnh tầm quan trọng của các phương pháp lập trình an toàn và kiểm tra đầu vào nghiêm ngặt. Các tổ chức sử dụng ứng dụng này cần ưu tiên triển khai bản cập nhật vá lỗi và tiến hành đánh giá bảo mật đối với cơ sở hạ tầng quản lý dữ liệu để bảo vệ hệ thống trước các vector tấn công tương tự.
