HashiCorp đã phát hiện và công bố một lỗ hổng CVE cực kỳ nghiêm trọng, được phân loại là critical, ảnh hưởng đến nhiều sản phẩm Vault của hãng. Lỗ hổng này tiềm ẩn nguy cơ cho phép các operator sở hữu đặc quyền nhất định thực thi mã tùy ý (remote code execution) trên máy chủ lưu trữ cơ sở, dẫn đến khả năng chiếm quyền kiểm soát toàn bộ hệ thống.
Chi tiết Lỗ hổng CVE-2025-6000
Lỗ hổng này được định danh là CVE-2025-6000 và theo dõi dưới mã HCSEC-2025-14. Đây là một lỗ hổng CVE quan trọng ảnh hưởng đến cả phiên bản Community và Enterprise của Vault trên nhiều phiên bản phát hành trong vài năm qua.
Cụ thể, lỗ hổng CVE này tác động đến Vault Community Edition từ phiên bản 0.8.0 đến 1.20.0, cũng như các phiên bản Vault Enterprise từ 0.8.0 trở đi. Sự phổ biến của các phiên bản bị ảnh hưởng cho thấy phạm vi rủi ro rộng lớn.
Thông tin chi tiết về CVE-2025-6000, bao gồm phân tích mức độ nghiêm trọng và các tham chiếu liên quan, có thể được tìm thấy tại NVD – National Vulnerability Database.
Cơ chế Khai thác Lỗ hổng
Việc khai thác lỗ hổng CVE này đặc biệt nguy hiểm vì nó tận dụng một chức năng hợp pháp của Vault: khả năng ghi nhật ký kiểm tra (audit logging). Kẻ tấn công cần có quyền ghi vào điểm cuối sys/audit trong không gian tên gốc của Vault để thực hiện cuộc tấn công này.
Vector tấn công liên quan đến việc khai thác chức năng thiết bị kiểm tra tệp (file audit device) của Vault để ghi các tệp tùy ý vào đĩa. Khi một thiết bị kiểm tra tệp được cấu hình để ghi dữ liệu, kẻ tấn công có thể lợi dụng điều này để ghi các tệp tùy ý vào đĩa.
Nếu hệ thống Vault cũng được cấu hình với một thư mục plugin, kẻ tấn công có thể đăng ký các plugin độc hại thông qua cơ chế này. Sự kết hợp giữa khả năng ghi tệp tùy ý và đăng ký plugin cho phép kẻ tấn công đạt được remote code execution, tức là thực thi mã tùy ý trên hệ thống máy chủ mà không cần tương tác trực tiếp.
Quá trình khai thác đòi hỏi kẻ tấn công phải có đặc quyền cao trong không gian tên gốc của Vault, cụ thể là quyền truy cập ghi vào điểm cuối sys/audit.
Các nhà nghiên cứu bảo mật lưu ý rằng mặc dù cuộc tấn công phức tạp hơn do yêu cầu SHA256 digest cho việc thực thi tệp và mỗi thiết bị kiểm tra sử dụng khóa HMAC riêng, kẻ tấn công có thể sử dụng điểm cuối sys/audit-hash để tính toán hash cần thiết, vượt qua biện pháp bảo vệ này và hoàn tất quá trình chiếm quyền điều khiển.
Hệ thống Bị Ảnh hưởng và Miễn trừ
Sự tồn tại của lỗ hổng CVE này cho thấy tầm quan trọng của việc quản lý cấu hình và quyền truy cập chặt chẽ. Lỗ hổng tác động đến một phổ rộng các triển khai HashiCorp Vault tự quản lý, bao gồm cả các môi trường Community và Enterprise, do đó cần có biện pháp khắc phục toàn diện.
Tuy nhiên, dịch vụ HCP Vault Dedicated được quản lý bởi HashiCorp không chịu tác động của lỗ hổng CVE này. Lý do là dịch vụ này đã triển khai các không gian tên quản trị (administrative namespaces) cung cấp thêm các lớp ranh giới bảo mật nghiêm ngặt.
Cấu trúc kiến trúc này đặc biệt hiệu quả trong việc ngăn chặn con đường khai thác mà lỗ hổng này phụ thuộc vào, vốn có thể bị lợi dụng trong các cài đặt Vault tự triển khai.
Biện pháp Khắc phục và Bản vá Bảo mật
Để đối phó với lỗ hổng CVE-2025-6000, HashiCorp đã nhanh chóng phát hành các bản vá bảo mật quan trọng. Việc cập nhật lên các phiên bản này là ưu tiên hàng đầu để bảo vệ hệ thống khỏi nguy cơ tấn công và ngăn chặn remote code execution.
Các phiên bản đã được vá lỗi, nơi lỗ hổng CVE này đã được khắc phục, bao gồm:
- Vault Community Edition: 1.20.1
- Vault Enterprise: 1.20.1, 1.19.7, 1.18.12, và 1.16.23.
Công ty cũng đã thực hiện một số cải tiến bảo mật đáng kể như một phần của nỗ lực khắc phục.
Các cải tiến bảo mật chính bao gồm:
- Vô hiệu hóa tùy chọn tiền tố (prefix option) theo mặc định cho các thiết bị kiểm tra mới. Đây là một biện pháp chủ động, giảm thiểu khả năng kẻ tấn công lợi dụng chức năng này.
- Yêu cầu cài đặt cấu hình
AllowAuditLogPrefixingphải được bật rõ ràng. Điều này thêm một lớp kiểm soát, đảm bảo rằng tính năng này chỉ được kích hoạt khi thực sự cần thiết và có chủ đích. - Ngăn chặn các đích nhật ký kiểm tra (audit log destinations) được đặt thành thư mục plugin. Đây là một thay đổi then chốt, trực tiếp loại bỏ vector tấn công chính mà lỗ hổng CVE này khai thác, tăng cường an toàn thông tin tổng thể.
Những thay đổi này giảm đáng kể bề mặt tấn công trong khi vẫn duy trì chức năng hoạt động cho các trường hợp sử dụng hợp pháp.
Phát hiện và Công bố
Lỗ hổng CVE này được phát hiện và báo cáo bởi Yarden Porat từ Cyata Security. Yarden Porat đã tuân thủ các thực hành công bố có trách nhiệm (responsible disclosure) bằng cách phối hợp chặt chẽ với nhóm bảo mật của HashiCorp.
Thông tin chi tiết về báo cáo và phản hồi của HashiCorp có thể tìm thấy trên HashiCorp Community Forum. Bản tin bảo mật được công bố vào ngày 01 tháng 8 năm 2025, cung cấp cho các tổ chức tầm nhìn tức thì về rủi ro và các tùy chọn khắc phục có sẵn.
Khuyến nghị Bảo mật
Với sự nguy hiểm của lỗ hổng CVE này, các tổ chức đang sử dụng bất kỳ phiên bản HashiCorp Vault bị ảnh hưởng nào phải khẩn trương thực hiện nâng cấp lên các phiên bản đã được vá lỗi. Ngoài ra, việc rà soát kỹ lưỡng cấu hình bảo mật hiện tại, đặc biệt là quyền truy cập vào điểm cuối sys/audit và cấu hình thư mục plugin, là điều cần thiết để đảm bảo các kiểm soát truy cập và nguyên tắc đặc quyền tối thiểu được tuân thủ chặt chẽ nhằm giảm thiểu rủi ro bảo mật.
