Một lỗ hổng CVE nghiêm trọng đã được công bố trong Squid HTTP proxy, một phần mềm phổ biến, có khả năng khiến hàng triệu hệ thống đối mặt với các cuộc tấn công chiếm quyền điều khiển từ xa (remote code execution).
Tổng quan về Lỗ hổng CVE-2025-54574 trong Squid HTTP Proxy
Lỗ hổng này, được định danh là CVE-2025-54574 và SQUID-2025:1, là một lỗi tràn bộ đệm (buffer overflow) nghiêm trọng trong cơ chế xử lý URN (Uniform Resource Name) của Squid. Khai thác thành công lỗ hổng này cho phép kẻ tấn công thực thi mã tùy ý trên các hệ thống bị ảnh hưởng.
Theo báo cáo của các nhà nghiên cứu bảo mật, lỗ hổng xuất phát từ việc quản lý bộ đệm không chính xác trong chức năng xử lý URN của Squid. Chi tiết kỹ thuật có thể tham khảo tại bản cố vấn bảo mật trên GitHub: GitHub Security Advisory GHSA-w4gv-vw3f-29g3.
Lỗi này tạo ra điều kiện tràn bộ đệm heap, cho phép kẻ tấn công từ xa có thể thực thi mã trên các hệ thống dễ bị tổn thương mà không yêu cầu xác thực hay tương tác từ người dùng. Đây là một nguy cơ bảo mật đáng lo ngại, đặc biệt trong các môi trường triển khai quy mô lớn.
Lỗ hổng được phát hiện bởi nhà nghiên cứu bảo mật StarryNight, và các bản vá cần thiết đã được phát triển bởi The Measurement Factory.
Chi tiết Kỹ thuật Lỗ hổng và Tác động
Cơ chế Khai thác và Hậu quả
Vector tấn công của lỗ hổng này đặc biệt đáng lo ngại vì nó có thể được kích hoạt từ xa thông qua các kết nối mạng với yêu cầu độ phức tạp thấp. Khi xử lý các phản hồi URN Trivial-HTTP, các máy chủ độc hại có khả năng khai thác lỗ hổng này để truyền tới 4KB dữ liệu từ bộ nhớ heap được cấp phát của Squid cho máy khách.
Việc rò rỉ dữ liệu này tiềm ẩn nguy cơ làm lộ thông tin nhạy cảm, bao gồm thông tin xác thực bảo mật và dữ liệu mật được lưu trữ trong bộ nhớ. Khả năng remote code execution kết hợp với rò rỉ dữ liệu tạo nên một mối đe dọa kép, có thể dẫn đến việc kiểm soát hoàn toàn hệ thống và đánh cắp dữ liệu quan trọng.
Các Phiên bản Squid bị ảnh hưởng
Lỗ hổng ảnh hưởng đến một phạm vi rộng lớn các cài đặt Squid trên nhiều nhánh phiên bản chính. Cụ thể, tất cả các phiên bản Squid trước 6.4 đều được coi là dễ bị tổn thương, bao gồm cả các cài đặt cũ chưa được kiểm tra đầy đủ.
Chi tiết các phiên bản ảnh hưởng:
- Tất cả các phiên bản Squid 4.x cho đến và bao gồm 4.17.
- Tất cả các phiên bản Squid 5.x cho đến và bao gồm 5.9.
- Tất cả các phiên bản Squid 6.x cho đến và bao gồm 6.3.
Các tổ chức đang vận hành Squid phiên bản cũ hơn 4.14 nên xem xét hệ thống của mình dễ bị tổn thương, vì các phiên bản này chưa được kiểm tra toàn diện đối với lỗ hổng cụ thể này.
Biện pháp Khắc phục và Giảm thiểu Rủi ro
Khuyến nghị Cập nhật Bản vá Bảo mật
Các tổ chức nên ngay lập tức tiến hành nâng cấp lên phiên bản Squid 6.4. Phiên bản này chứa các bản sửa lỗi toàn diện cho lỗ hổng CVE nghiêm trọng này, đảm bảo hệ thống được bảo vệ khỏi các cuộc tấn công khai thác. Việc trì hoãn cập nhật có thể dẫn đến việc hệ thống bị xâm nhập và mất mát dữ liệu.
Giải pháp Tạm thời (Workaround)
Trong các môi trường mà việc nâng cấp ngay lập tức không khả thi, quản trị viên có thể triển khai giải pháp tạm thời bằng cách tắt quyền truy cập URN thông qua thay đổi cấu hình. Điều này liên quan đến việc thêm các quy tắc danh sách kiểm soát truy cập (ACL) cụ thể để từ chối các yêu cầu giao thức URN, qua đó ngăn chặn hiệu quả đường dẫn mã dễ bị tổn thương cho đến khi có thể hoàn tất việc vá lỗi chính thức.
Dưới đây là một ví dụ cấu hình có thể áp dụng trong file squid.conf để ngăn chặn các yêu cầu URN:
# Định nghĩa một ACL để nhận diện các yêu cầu URN
acl block_urn url_regex ^urn:
# Từ chối truy cập cho các yêu cầu khớp với ACL block_urn
http_access deny block_urn
# Các quy tắc http_access khác (nếu có) nên được đặt sau quy tắc này
http_access allow localhost
http_access deny all
Lưu ý: Sau khi thực hiện thay đổi cấu hình, cần khởi động lại hoặc tải lại cấu hình Squid để các thay đổi có hiệu lực. Quy tắc này sẽ chặn mọi yêu cầu có tiền tố `urn:`, do đó ngăn chặn việc kích hoạt lỗ hổng.
Lỗ hổng CVE-2025-54574 là một lời nhắc nhở quan trọng về những thách thức an ninh mạng liên tục đối với các thành phần hạ tầng Internet. Với việc Squid được triển khai rộng rãi trong các môi trường doanh nghiệp, mạng lưới phân phối nội dung (CDN) và nhà cung cấp dịch vụ Internet, việc khắc phục kịp thời là điều cần thiết để ngăn chặn khả năng khai thác và rò rỉ dữ liệu.
