Splunk đã công bố một cảnh báo bảo mật nghiêm trọng, tiết lộ rằng nền tảng Security Orchestration, Automation and Response (SOAR) của hãng đã được phát hành kèm theo các phiên bản dễ bị tổn thương của hơn một chục gói mã nguồn mở phổ biến—một số trong đó có sẵn các khai thác (exploit) công khai.
Tổng quan về Lỗ hổng Splunk SOAR
Cảnh báo SVD-2025-0712 xác nhận rằng các phiên bản Splunk SOAR 6.4.0 và 6.4.1 đã được vá và quản trị viên phải nâng cấp lên phiên bản 6.4.1 hoặc cao hơn ngay lập tức. Splunk nhấn mạnh rằng phân loại mức độ nghiêm trọng của họ phản ánh cơ sở dữ liệu lỗ hổng quốc gia (NVD), nơi các điểm số được cung cấp. Mức độ rủi ro được đánh giá cao do nhiều vấn đề nền tảng cho phép thực hiện xâm nhập từ xa với tương tác người dùng tối thiểu.
Các tổ chức đang chạy phiên bản Splunk SOAR on-prem hoặc cloud thấp hơn 6.4.1 đối mặt với mức độ rủi ro nghiêm trọng. Các đội SOC nên ưu tiên thử nghiệm và triển khai bản phát hành mới nhất theo khuyến nghị tại advisory.splunk.com/advisories/SVD-2025-0712. Ngoài ra, cần xác minh rằng các Automation Broker cũng đã được cập nhật lên phiên bản hiện hành, và rà soát kỹ lưỡng các playbook để kiểm tra sự tồn tại của bất kỳ phụ thuộc nhúng nào có thể bị ảnh hưởng bởi các lỗ hổng này.
Phân tích các Lỗ hổng Nền tảng
CVE-2024-32002: Lỗ hổng Thực thi Mã từ xa trong Git
Lỗ hổng CVE-2024-32002 của Git là một lỗ hổng thực thi mã tùy ý (Arbitrary Code Execution – RCE) đang bị khai thác tích cực. Lỗ hổng này ảnh hưởng đến quá trình thao tác clone đệ quy (recursive clone) trong Git. Kẻ tấn công có thể vũ khí hóa các submodule độc hại để đưa các hook vào thư mục .git/ của một kho lưu trữ Git. Các hook này là các script được cấu hình để tự động thực thi bởi Git tại các giai đoạn nhất định của vòng đời kho lưu trữ, chẳng hạn như sau khi checkout hoặc merge.
Cơ chế khai thác bao gồm việc tạo ra một kho lưu trữ Git độc hại chứa các submodule được thiết kế đặc biệt. Khi một người dùng hoặc hệ thống thực hiện lệnh git clone --recurse-submodules hoặc các thao tác tương tự trên kho lưu trữ này, mã độc trong các hook của submodule có thể được kích hoạt trên hệ thống mục tiêu. Điều này đặc biệt nguy hiểm đối với Splunk SOAR, vì các playbook tự động của nền tảng này thường sử dụng Git để kéo về các nội dung như script, cấu hình, hoặc các thành phần tự động hóa khác.
Do đó, một phiên bản Splunk SOAR chưa được vá có thể vô tình thực thi các script độc hại mà không có sự giám sát của nhà phân tích bảo mật. Khi một playbook của SOAR clone một kho lưu trữ chứa submodule độc hại, hệ thống có thể chạy mã không mong muốn, dẫn đến các hậu quả nghiêm trọng như rò rỉ dữ liệu, chiếm quyền điều khiển hệ thống, hoặc cài đặt phần mềm độc hại. Lỗ hổng này biến chính nền tảng tự động hóa bảo mật thành một vector tấn công tiềm tàng nếu không được vá kịp thời.
CVE-2024-48949: Lỗ hổng Prototype Pollution trong @babel/traverse
Lỗi @babel/traverse, được định danh là CVE-2024-48949, là một lỗ hổng thuộc loại prototype pollution trong quá trình duyệt Abstract Syntax Tree (AST). Trong môi trường JavaScript, prototype pollution là một kiểu lỗ hổng cho phép kẻ tấn công thao túng hoặc thêm các thuộc tính vào Object.prototype – đối tượng mà hầu hết các đối tượng JavaScript khác kế thừa. Việc sửa đổi prototype này có thể làm thay đổi hành vi của các đối tượng trong ứng dụng, dẫn đến các lỗi logic hoặc, trong trường hợp nghiêm trọng, thực thi mã tùy ý.
Cụ thể, trong bối cảnh của @babel/traverse, một node AST bị nhiễm độc thông qua prototype pollution có thể dẫn đến thực thi mã tùy ý trong các pipeline build hoặc trong quá trình đánh giá JavaScript tại thời điểm chạy. @babel/traverse là một công cụ phân tích và biến đổi mã JavaScript bằng cách duyệt qua cây AST của mã nguồn. Nếu kẻ tấn công có thể chèn một thuộc tính độc hại vào prototype của một đối tượng node AST, họ có thể thay đổi cách các hàm xử lý AST của Babel hoạt động. Điều này có thể khiến các hàm này thực thi mã không mong muốn khi chúng xử lý các node bị ảnh hưởng.
Mối đe dọa này trở nên đặc biệt quan trọng trong các môi trường nơi mã nguồn JavaScript được biên dịch, phân tích cú pháp, hoặc xử lý tự động, như trong các quy trình CI/CD hoặc các tác vụ tự động hóa của Splunk SOAR. Việc Splunk nâng cấp phiên bản @babel/traverse lên 7.26.7 đã khắc phục lỗ hổng này, đảm bảo rằng quá trình xử lý AST diễn ra một cách an toàn và ngăn chặn các cuộc tấn công dựa trên prototype pollution.
Tầm quan trọng của Bảo mật Chuỗi cung ứng Phần mềm
Cảnh báo của Splunk về các lỗ hổng trong các gói mã nguồn mở phổ biến một lần nữa khẳng định tầm quan trọng của bảo mật chuỗi cung ứng phần mềm. Thực tế cho thấy, ngay cả các nền tảng bảo mật chuyên biệt như Splunk SOAR cũng phụ thuộc vào hàng trăm dự án và thư viện mã nguồn mở thượng nguồn. Một lỗ hổng trong bất kỳ thành phần nào trong chuỗi cung ứng này, dù nhỏ đến đâu, cũng có thể tạo ra rủi ro đáng kể cho toàn bộ hệ thống lớn hơn và các dữ liệu nhạy cảm mà nó xử lý.
Để giảm thiểu rủi ro từ các lỗ hổng chuỗi cung ứng, các tổ chức cần áp dụng một cách tiếp cận chủ động và tích hợp. Việc triển khai kiểm tra Software Bill of Materials (SBOM) vào các pipeline CI/CD (Continuous Integration/Continuous Delivery) là một bước thiết yếu. SBOM cung cấp một danh sách đầy đủ và minh bạch về tất cả các thành phần phần mềm (cả mã nguồn mở và thương mại) được sử dụng trong một ứng dụng. Điều này giúp các tổ chức có cái nhìn rõ ràng về các phụ thuộc của họ, cho phép họ nhanh chóng xác định các thành phần dễ bị tổn thương khi có cảnh báo bảo mật mới được công bố.
Ngoài ra, việc đăng ký và theo dõi chặt chẽ các cảnh báo từ nhà cung cấp (vendor advisories) là không thể thiếu để luôn được thông báo về các lỗ hổng mới nhất ảnh hưởng đến các sản phẩm và thư viện mà tổ chức đang sử dụng. Kết hợp với việc tận dụng các công cụ quản lý bản vá tự động (automated patch-management tools), các tổ chức có thể giảm đáng kể thời gian trung bình để khắc phục các lỗ hổng (Mean-Time-To-Remediate – MTTR). Quản lý bản vá tự động không chỉ giúp tăng tốc quá trình triển khai các bản vá mà còn giảm thiểu lỗi thủ công, đảm bảo rằng các hệ thống luôn được cập nhật với các bản sửa lỗi bảo mật mới nhất một cách hiệu quả và nhất quán.
Việc triển khai toàn diện các biện pháp này cho phép các tổ chức xây dựng một tư thế bảo mật mạnh mẽ hơn, không chỉ bảo vệ các ứng dụng của họ mà còn cả các nền tảng tự động hóa và bảo mật cốt lõi, như Splunk SOAR, khỏi các mối đe dọa tiềm tàng phát sinh từ chuỗi cung ứng phần mềm.
