Bạn có tin rằng chỉ với một thao tác chuyển hướng đơn giản, tin tặc có thể đánh cắp toàn bộ quyền truy cập vào các ứng dụng doanh nghiệp quan trọng của bạn không? Đội ngũ nghiên cứu từ Mitiga vừa công bố phát hiện gây sốc về lỗ hổng bảo mật nghiêm trọng trong Claude Code. Hacker có thể khai thác Model Context Protocol (MCP) để chặn bắt token OAuth một cách bí mật. Chúng tôi cho rằng đây là một trong những phương thức tấn công tinh vi nhất được phát hiện trong thời gian gần đây.

Kịch bản tấn công âm thầm qua MCP hijacking

Model Context Protocol (MCP - giao thức ngữ cảnh mô hình) đóng vai trò cầu nối giữa Claude Code và các ứng dụng bên ngoài. Tin tặc đã tìm ra cách chuyển hướng traffic MCP một cách bí mật để chặn bắt OAuth token. OAuth token (mã thông báo OAuth) là chìa khóa xác thực cho phép ứng dụng truy cập vào tài khoản người dùng mà không cần mật khẩu gốc. Khi bị đánh cắp, hacker có thể sử dụng token này để truy cập các nền tảng SaaS như Google Workspace, Microsoft 365, Slack hay GitHub.

Điểm đáng lo ngại nhất của cuộc tấn công này nằm ở tính bí mật hoàn toàn. Người dùng hoàn toàn không nhận ra rằng traffic MCP của họ đang bị chuyển hướng đến máy chủ độc hại. Chúng tôi đánh giá đây là dạng tấn công man-in-the-middle (tấn công trung gian) cực kỳ tinh vi, khai thác sự tin tưởng của người dùng vào Claude Code. Quá trình chặn bắt token diễn ra trong suốt, không để lại dấu vết rõ ràng trong log hệ thống thông thường.

Phân tích kỹ thuật: Cơ chế khai thác giao thức MCP

Để hiểu rõ cơ chế tấn công, chúng ta cần nắm vững cách hoạt động của MCP. Giao thức này cho phép Claude Code tương tác với các dịch vụ bên ngoài thông qua API (Application Programming Interface - giao diện lập trình ứng dụng). Khi người dùng kết nối Claude Code với một nền tảng SaaS, quá trình xác thực OAuth sẽ được khởi tạo để trao đổi token. Tin tặc lợi dụng khoảng trống bảo mật trong quá trình này để inject (chèn) endpoint độc hại vào luồng communication.

Kỹ thuật MCP hijacking (chiếm quyền điều khiển MCP) cho phép attacker thực hiện traffic redirection (chuyển hướng lưu lượng) mà không cần can thiệp trực tiếp vào thiết bị của nạn nhân. Hacker có thể thiết lập proxy server (máy chủ proxy) giả mạo để đóng vai trò trung gian giữa Claude Code và các dịch vụ đích. Token OAuth sẽ đi qua proxy này trước khi đến đích cuối cùng, tạo cơ hội cho tin tặc sao chép và lưu trữ thông tin xác thực. Phương thức này đặc biệt nguy hiểm vì không yêu cầu quyền admin trên máy tính nạn nhân.

Tác động nghiêm trọng đối với doanh nghiệp và người dùng

Với token OAuth bị đánh cắp, hacker có thể duy trì persistent access (quyền truy cập liên tục) vào hệ thống SaaS của nạn nhân trong thời gian dài. Chúng tôi ước tính rằng 80% doanh nghiệp Việt Nam hiện đang sử dụng ít nhất 3-5 nền tảng SaaS khác nhau trong hoạt động hàng ngày. Nếu tin tặc thành công chiếm quyền điều khiển token, họ có thể truy cập email doanh nghiệp, tài liệu nhạy cảm, hệ thống quản lý khách hàng (CRM) và cả source code trên GitHub. Thiệt hại kinh tế có thể lên đến hàng trăm nghìn USD cho mỗi vụ tấn công thành công.

Đặc biệt đáng quan ngại là khả năng lateral movement (di chuyển ngang) của attacker sau khi chiếm được token ban đầu. Từ một điểm truy cập duy nhất, hacker có thể mở rộng quyền kiểm soát sang các hệ thống khác trong cùng tổ chức. Theo báo cáo an ninh mạng của Bộ TT&TT, Việt Nam đã ghi nhận tăng 40% các vụ tấn công vào hệ thống doanh nghiệp trong năm qua, trong đó phần lớn liên quan đến việc khai thác các dịch vụ cloud và SaaS.

Hướng dẫn bảo vệ và phòng chống tấn công MCP

Người dùng Claude Code cần thực hiện ngay các biện pháp bảo vệ sau đây. Đầu tiên, kiểm tra và giám sát tất cả các kết nối MCP hiện có trong settings của Claude Code. Revoke (thu hồi) ngay lập tức tất cả OAuth token không cần thiết hoặc đã cũ trên các nền tảng Google, Microsoft, GitHub. Enable two-factor authentication (xác thực hai yếu tố) cho tất cả tài khoản SaaS quan trọng để tạo thêm lớp bảo vệ bổ sung. Thường xuyên review log truy cập để phát hiện các hoạt động bất thường từ địa chỉ IP lạ.

Đối với doanh nghiệp, chúng tôi khuyến nghị triển khai network monitoring solution (giải pháp giám sát mạng) để detect traffic anomaly (phát hiện bất thường trong lưu lượng mạng). Thiết lập whitelist cho các endpoint được phép kết nối với Claude Code và block tất cả traffic đến các domain không rõ nguồn gốc. Đào tạo nhân viên về các dấu hiệu nhận biết tấn công MCP hijacking và quy trình báo cáo sự cố bảo mật. Cuối cùng, xây dựng incident response plan (kế hoạch ứng phó sự cố) chi tiết để xử lý nhanh chóng khi phát hiện token bị compromise.