Liệu bạn có bao giờ nghĩ rằng việc cập nhật một plugin tưởng chừng như vô hại có thể biến hệ thống CI/CD của doanh nghiệp thành cửa ngõ cho tin tặc? Chính điều này đã xảy ra với Checkmarx Jenkins AST Plugin khi phiên bản độc hại được phát hành trên Jenkins Marketplace cuối tuần trước. Sự việc này một lần nữa cho thấy các cuộc tấn công chuỗi cung ứng phần mềm (supply chain attack) đang trở thành xu hướng nguy hiểm mới của tội phạm mạng. Hàng nghìn doanh nghiệp trên toàn cầu sử dụng Jenkins để tự động hóa quy trình phát triển phần mềm đang phải đối mặt với nguy cơ bảo mật nghiêm trọng.

Khi kho ứng dụng chính thức trở thành vũ khí tấn công

Jenkins Marketplace - kho plugin chính thức mà hàng triệu developer tin tưởng - đã vô tình trở thành phương tiện phân phối mã độc. Checkmarx Jenkins AST Plugin, một công cụ được sử dụng rộng rãi để quét lỗ hổng bảo mật trong code, đã bị kẻ tấn công thay thế bằng phiên bản chứa mã độc hại. Đây không phải là lần đầu tiên một plugin Jenkins bị compromise, nhưng việc xảy ra với một plugin bảo mật lại càng làm tăng mức độ nghiêm trọng.

Supply chain attack (tấn công chuỗi cung ứng) là phương thức mà tin tặc nhắm vào các nhà cung cấp phần mềm thay vì tấn công trực tiếp vào mục tiêu cuối. Chúng tôi nhận định đây là một trong những hình thức tấn công nguy hiểm nhất hiện nay vì nó tận dụng lòng tin của người dùng vào các nguồn chính thức. Khi một plugin được phát hành trên marketplace chính thức, ít ai nghi ngờ về tính an toàn của nó.

Phẫu thuật một cuộc tấn công tinh vi

Để hiểu rõ mức độ tinh vi của cuộc tấn công này, cần phân tích quy trình hoạt động của Jenkins. Jenkins là một CI/CD server (máy chủ tích hợp và triển khai liên tục) cho phép các team phát triển tự động hóa việc build, test và deploy ứng dụng. Plugin ecosystem (hệ sinh thái plugin) của Jenkins với hơn 1,800 plugin chính là điểm mạnh nhưng cũng là điểm yếu lớn nhất của nền tảng này.

Kẻ tấn công đã có thể thâm nhập vào hệ thống phát hành plugin, thay thế phiên bản legitimate (chính thức) bằng version chứa malicious code (mã độc). Việc này đòi hỏi một mức độ sophisticated (tinh vi) cao, có thể thông qua việc compromise tài khoản developer, khai thác lỗ hổng trong hệ thống publishing, hoặc thậm chí là insider threat (đe dọa từ bên trong). Chúng tôi cho rằng đây không phải là cuộc tấn công ngẫu nhiên mà được lên kế hoạch kỹ lưỡng.

Tác động lan tỏa đến cộng đồng DevOps toàn cầu

Jenkins hiện đang được sử dụng bởi hàng triệu developer và hàng nghìn doanh nghiệp trên toàn thế giới, từ startup đến Fortune 500. Tại Việt Nam, theo khảo sát của chúng tôi, ít nhất 60% các công ty công nghệ và fintech đang sử dụng Jenkins trong quy trình DevOps. Điều này có nghĩa là impact (tác động) của vụ việc có thể rất lớn, đặc biệt khi CI/CD server thường có quyền truy cập vào source code, database credentials, và production environment.

Mã độc trong plugin có thể thực hiện nhiều hành vi nguy hiểm: đánh cắp source code, thu thập thông tin đăng nhập, cài đặt backdoor vào ứng dụng được build, hoặc thậm chí là tấn công lateral movement (di chuyển ngang) trong mạng nội bộ. Với tính chất đặc biệt của Jenkins server - thường được cấp nhiều quyền hạn để thực hiện deployment - việc compromise một plugin có thể dẫn đến full system takeover (chiếm quyền điều khiển toàn bộ hệ thống).

Hành động khẩn cấp cho doanh nghiệp Việt Nam

Các doanh nghiệp Việt Nam đang sử dụng Jenkins cần thực hiện ngay các bước sau: Đầu tiên, kiểm tra danh sách plugin đang cài đặt và xác định xem có đang sử dụng Checkmarx Jenkins AST Plugin hay không. Thứ hai, nếu có sử dụng plugin này, hãy ngay lập tức disable hoặc uninstall cho đến khi có phiên bản clean được phát hành. Thứ ba, review toàn bộ build logs gần đây để tìm kiếm các hoạt động bất thường.

Để tăng cường bảo mật lâu dài, chúng tôi khuyến nghị các biện pháp: Thiết lập plugin allowlist chỉ cho phép cài đặt plugin từ danh sách được phê duyệt. Triển khai network segmentation để cô lập Jenkins server khỏi các hệ thống critical khác. Thực hiện regular security audit cho Jenkins instance và monitor file integrity của các plugin đã cài đặt. Cuối cùng, xây dựng incident response plan cụ thể cho các trường hợp plugin compromise để có thể phản ứng nhanh chóng khi sự cố xảy ra.