Phân Tích Lỗ Hổng Bảo Mật Apache Traffic Server và Apache Tomcat 2025

Apache Traffic Server tồn tại một vấn đề liên quan đến ACL và lỗ hổng trong quá trình xử lý ESI, được theo dõi với mã định danh CVE-2025-31698. Lỗ hổng này cho phép kẻ tấn công lấy được địa chỉ IP của client thông qua các header PROXY.

Chi Tiết CVE

CVE-2025-31698: Lỗ hổng trong xử lý ESI và vấn đề ACL của Apache Traffic Server, dẫn đến việc lộ thông tin địa chỉ IP của client.

Phân Tích Kỹ Thuật

Lỗ hổng xuất phát từ việc xử lý không đúng header PROXY trong Apache Traffic Server, qua đó làm lộ địa chỉ IP thực của client. Điều này có thể bị lợi dụng cho các mục đích theo dõi hoặc tấn công khác.

Khai Thác (Exploitation)

Kẻ tấn công có thể khai thác lỗ hổng này bằng cách gửi các yêu cầu chứa header PROXY được tạo thủ công một cách độc hại, từ đó truy xuất thông tin nhạy cảm về địa chỉ IP của client.

Biện Pháp Khắc Phục (Mitigation)

Để giảm thiểu rủi ro từ lỗ hổng này, người dùng cần đảm bảo rằng cấu hình của Apache Traffic Server thực hiện kiểm tra và xử lý header PROXY một cách chính xác. Việc triển khai các ACL nghiêm ngặt và đảm bảo quá trình xử lý ESI được bảo mật cũng sẽ giúp ngăn chặn loại tấn công này.

2. Lỗ Hổng Bảo Mật Trong Apache Tomcat (CVE-2025-31650 & CVE-2025-24813)

Tổng Quan

Apache Tomcat tồn tại hai lỗ hổng bảo mật nghiêm trọng:

CVE-2025-31650: Lỗ hổng cho phép thực hiện tấn công từ chối dịch vụ (DoS) ở cấp ứng dụng thông qua các header ưu tiên HTTP/2 được tạo thủ công một cách độc hại.
CVE-2025-24813: Lỗ hổng liên quan đến lỗi tương đương đường dẫn (path equivalence flaw), cho phép thực thi mã từ xa (RCE) hoặc tiết lộ thông tin nếu các điều kiện cụ thể được đáp ứng.

Chi Tiết CVE

CVE-2025-31650:
- Mô Tả: Lỗ hổng này xảy ra khi xử lý không đúng header ưu tiên HTTP/2, dẫn đến rò rỉ bộ nhớ (memory leak) và làm ứng dụng không phản hồi.
- Phiên Bản Bị Ảnh Hưởng: Apache Tomcat 9.0.x, 10.x, và 11.x.
CVE-2025-24813:
- Mô Tả: Lỗi tương đương đường dẫn cho phép kẻ tấn công xem các tệp nhạy cảm về bảo mật hoặc tiêm nội dung vào các tệp này nếu các điều kiện cụ thể được đáp ứng (ví dụ: default servlet được bật chế độ ghi, hỗ trợ partial PUT, và các điều kiện xử lý tệp cụ thể).
- Phiên Bản Bị Ảnh Hưởng: Apache Tomcat 11.0.0-M1 đến 11.0.2, 10.1.0-M1 đến 10.1.34, và 9.0.0.M1 đến 9.0.98.

Phân Tích Kỹ Thuật

CVE-2025-31650: Lỗ hổng xuất phát từ việc không thực hiện kiểm tra đầu vào đúng cách đối với header ưu tiên HTTP/2, dẫn đến rò rỉ bộ nhớ và làm ứng dụng trở nên không phản hồi hoặc chậm.
CVE-2025-24813: Lỗi tương đương đường dẫn cho phép kẻ tấn công khai thác các điều kiện cụ thể để truy cập hoặc thay đổi nội dung tệp nhạy cảm trên máy chủ Apache Tomcat.

Khai Thác (Exploitation)

CVE-2025-31650: Kẻ tấn công có thể gửi các header ưu tiên HTTP/2 bị biến đổi để gây ra tình trạng không phản hồi hoặc làm chậm ứng dụng thông qua rò rỉ bộ nhớ.
CVE-2025-24813: Kẻ tấn công có thể khai thác lỗ hổng này bằng cách gửi một yêu cầu API PUT duy nhất với các điều kiện xử lý tệp cụ thể, từ đó chiếm quyền điều khiển máy chủ Apache Tomcat và thực hiện RCE hoặc tiết lộ thông tin.

Biện Pháp Khắc Phục (Mitigation)

CVE-2025-31650:
- Áp dụng giới hạn tỷ lệ (rate limiting) để kiểm soát các yêu cầu không hợp lệ hoặc quá thường xuyên.
- Sử dụng Tường lửa Ứng dụng Web (WAF) để chặn các header HTTP độc hại.
- Theo dõi các đột biến bất thường về mức sử dụng bộ nhớ hoặc các mô hình yêu cầu bất thường.
CVE-2025-24813:
- Cập nhật các phiên bản Apache Tomcat bị ảnh hưởng lên 9.0.99, 10.1.35, hoặc 11.0.
- Đảm bảo rằng default servlet không được bật chế độ ghi và hỗ trợ partial PUT bị vô hiệu hóa.

Thông Tin Bổ Sung

Khai Thác Chủ Động (Active Exploitation): Lỗ hổng CVE-2025-24813 đang bị khai thác tích cực chỉ 30 giờ sau khi PoC công khai được công bố.
Khuyến Nghị: Người dùng được khuyến cáo cập nhật ngay các phiên bản Apache Tomcat bị ảnh hưởng để giảm thiểu rủi ro từ các mối đe dọa tiềm ẩn.