Bạn có tin rằng một lỗ hổng bảo mật cho phép tin tặc chiếm toàn quyền root đã tồn tại trong OpenSSH suốt 15 năm mà không ai hay biết? Đây không phải câu chuyện viễn tưởng mà là thực tế đáng báo động vừa được công bố. OpenSSH - giao thức kết nối từ xa được sử dụng rộng rãi nhất trên các hệ thống Linux và Unix - đã chứa đựng một "quả bom hẹn giờ" nguy hiểm. Chúng tôi cho rằng đây là một trong những phát hiện bảo mật quan trọng nhất năm 2024.

Mối đe dọa âm thầm trong từng dòng code

Lỗ hổng này xuất phát từ một vấn đề tái sử dụng code (code reuse) trong cách OpenSSH xử lý certificate principals. Cụ thể, các ký tự dấu phẩy trong certificate principals bị hiểu sai thành các ký tự phân tách danh sách (list separators). Điều này nghe có vẻ kỹ thuật, nhưng hậu quả thật sự khủng khiếp. Tin tặc chỉ cần chèn một dấu phẩy vào đúng vị trí trong certificate để "lừa" hệ thống OpenSSH hiểu sai quyền truy cập.

Theo phân tích của chúng tôi, đây là một lỗi thiết kế cơ bản trong cách OpenSSH parse (phân tích cú pháp) dữ liệu certificate. Trong suốt 15 năm qua, không ai nghĩ rằng một ký tự dấu phẩy đơn giản lại có thể trở thành "chìa khóa vạn năng" mở cửa vào hệ thống. Lỗ hổng này đặc biệt nguy hiểm vì nó không để lại dấu vết rõ ràng trong log hệ thống, khiến việc phát hiện tấn công trở nên cực kỳ khó khăn.

Giải mã cơ chế tấn công tinh vi

Để hiểu rõ cơ chế khai thác, hãy tưởng tượng certificate principals như một "thẻ căn cước" xác định danh tính người dùng trong hệ thống SSH. Bình thường, hệ thống sẽ đọc thông tin này để quyết định cấp quyền gì cho người dùng. Tuy nhiên, khi tin tặc chèn dấu phẩy vào certificate principals, OpenSSH hiểu sai và nghĩ rằng đây là nhiều danh tính khác nhau thay vì chỉ một danh tính duy nhất.

Kỹ thuật này cho phép tin tặc "nhân bản" quyền truy cập của mình. Chỉ bằng việc thao túng một ký tự đơn giản, họ có thể biến tài khoản user thông thường thành tài khoản có quyền root. Chúng tôi đánh giá đây là một trong những kỹ thuật privilege escalation (leo thang đặc quyền) tinh vi nhất từng được phát hiện. Đáng lo ngại hơn, việc khai thác không đòi hỏi kiến thức kỹ thuật quá cao, chỉ cần hiểu cơ bản về certificate structure.

Cái giá phải trả cho 15 năm "ngủ say"

Con số 15 năm không chỉ là một thống kê khô khan. Nó đại diện cho hàng nghìn tỷ lần kết nối SSH được thực hiện trên toàn cầu với lỗ hổng tiềm ẩn này. Theo ước tính của các chuyên gia bảo mật, có thể có hàng triệu máy chủ Linux đang chạy các phiên bản OpenSSH bị ảnh hưởng. Tại Việt Nam, với hàng nghìn doanh nghiệp đang sử dụng hạ tầng Linux cho hệ thống core business, tác động có thể rất nghiêm trọng.

Chúng tôi cho rằng một số cuộc tấn công trong quá khứ mà nguyên nhân chưa được làm rõ có thể liên quan đến lỗ hổng này. Việc không có dấu vết rõ ràng trong log khiến các security incident (sự cố bảo mật) khai thác lỗ hổng này rất khó được phát hiện và điều tra. Điều này đặt ra câu hỏi lớn về việc đánh giá lại các breach (vi phạm dữ liệu) đã xảy ra trong những năm qua.

Hành động khẩn cấp cho doanh nghiệp Việt Nam

Doanh nghiệp Việt Nam cần thực hiện ngay các bước sau để bảo vệ hệ thống. Đầu tiên, kiểm tra phiên bản OpenSSH đang sử dụng bằng lệnh "ssh -V" trên terminal. Nếu đang sử dụng phiên bản cũ hơn bản patch mới nhất, cần update ngay lập tức. Tiếp theo, rà soát toàn bộ SSH certificate đang được triển khai trong hệ thống, đặc biệt chú ý đến những certificate có chứa ký tự dấu phẩy trong principals field.

Chúng tôi khuyến nghị các doanh nghiệp nên triển khai SSH key rotation (luân phiên khóa SSH) định kỳ thay vì chỉ dựa vào certificate. Đồng thời, tăng cường monitoring (giám sát) các kết nối SSH bất thường, đặc biệt là những phiên login có privilege escalation. Cuối cùng, xem xét triển khai multi-factor authentication (xác thực đa yếu tố) cho tất cả kết nối SSH quan trọng như một lớp bảo vệ bổ sung.