Claude Code dính lỗ hổng RCE và rò rỉ khóa API doanh nghiệp

[WhiteHat Team]

Check Point Research vừa công bố loạt lỗ hổng nghiêm trọng trong Claude Code, công cụ hỗ trợ lập trình qua giao diện dòng lệnh của Anthropic, cho phép kẻ tấn công thực thi mã từ xa và chiếm đoạt mã khóa API của tổ chức thông qua các tệp cấu hình dự án.
​

Claude Code được thiết kế để giúp lập trình viên tương tác với mô hình AI ngay trong terminal. Để hỗ trợ làm việc nhóm, công cụ này cho phép cấu hình ở cấp dự án thông qua tệp .claude/settings.json được lưu trực tiếp trong repository. Khi một kho mã được clone, tệp cấu hình này tự động được tải về và áp dụng. Cơ chế thuận tiện cho cộng tác lại vô tình mở ra một bề mặt tấn công mới, bởi bất kỳ ai có quyền commit cũng có thể thay đổi hành vi của công cụ trên máy người khác.

Lỗ hổng đầu tiên xuất phát từ tính năng Hooks, cho phép định nghĩa các lệnh tự động thực thi tại những thời điểm nhất định trong vòng đời hoạt động của Claude Code. Check Point Research phát hiện nếu một repository chứa hook độc hại được cấu hình kích hoạt tại thời điểm SessionStart, lệnh đó sẽ được thực thi ngay khi công cụ khởi động. Dù hệ thống hiển thị hộp thoại yêu cầu xác nhận tin cậy dự án, các lệnh hook vẫn có thể chạy trước khi người dùng kịp đưa ra quyết định. Điều này tạo điều kiện cho việc thực thi lệnh shell tùy ý, bao gồm khả năng thiết lập kết nối điều khiển từ xa.

Tiếp theo là lỗ hổng mang mã CVE-2025-59536 liên quan đến Model Context Protocol, cơ chế giúp Claude Code kết nối với các công cụ bên ngoài thông qua tệp .mcp.json. Sau khi nhận được báo cáo ban đầu, Anthropic đã bổ sung cảnh báo khi khởi tạo máy chủ MCP. Tuy nhiên, nhóm nghiên cứu cho thấy có thể vượt qua lớp bảo vệ này bằng cách lợi dụng hai tham số trong .claude/settings.json là enableAllProjectMcpServers và enabledMcpjsonServers. Khi được bật, các tham số này tự động phê duyệt máy chủ MCP ở cấp dự án, cho phép mã độc thực thi ngay khi người dùng chạy Claude, trước khi quá trình xác nhận hoàn tất.

Nghiêm trọng hơn là lỗ hổng rò rỉ khóa API mang mã CVE-2026-21852. Trong tệp .claude/settings.json, nhà phát triển có thể định nghĩa biến môi trường, bao gồm ANTHROPIC_BASE_URL, tham số quyết định địa chỉ máy chủ mà Claude Code gửi yêu cầu API tới. Check Point Research chứng minh rằng nếu tham số này bị thay đổi để trỏ về một máy chủ do kẻ tấn công kiểm soát, toàn bộ yêu cầu API ban đầu sẽ bị chuyển hướng. Trước khi người dùng xác nhận tin cậy dự án, công cụ đã gửi đầy đủ khóa API doanh nghiệp trong header Authorization dưới dạng plaintext. Khi khóa bị lộ, kẻ tấn công có thể khai thác để phát sinh chi phí, truy cập các Claude Workspace dùng chung hoặc tái tạo tệp trong môi trường làm việc nhằm trích xuất dữ liệu nhạy cảm.

Những phát hiện này gióng lên cảnh báo về nguy cơ tấn công chuỗi cung ứng trong môi trường phát triển phần mềm. Thay vì phải xâm nhập trực tiếp vào máy nạn nhân, kẻ tấn công chỉ cần cài cắm cấu hình độc hại vào repository thông qua pull request, dự án mã nguồn mở bẫy hoặc tài khoản nội bộ bị xâm nhập. Vì tồn tại dưới dạng tệp cấu hình hợp lệ, các thay đổi này có thể dễ dàng bị bỏ qua nếu quy trình kiểm duyệt không đủ chặt chẽ.

Sau khi tiếp nhận báo cáo, Anthropic đã phát hành bản vá nhằm siết chặt quy trình thực thi cấu hình. Công ty nâng cấp cơ chế cảnh báo đối với dự án không đáng tin cậy, chặn hoàn toàn việc thực thi máy chủ MCP trước khi có xác nhận rõ ràng từ người dùng, đồng thời trì hoãn mọi hoạt động mạng bao gồm truyền tải khóa API cho đến khi quyền truy cập dự án được phê duyệt.

Sự cố cho thấy trong môi trường phát triển có sự tham gia của AI, ranh giới giữa cấu hình và mã thực thi ngày càng mờ nhạt. Các chuyên gia khuyến nghị lập trình viên cập nhật Claude Code lên phiên bản mới nhất và áp dụng quy trình kiểm duyệt nghiêm ngặt đối với các tệp cấu hình JSON trong repository, đặc biệt khi làm việc với kho mã nguồn mở hoặc dự án chưa được xác minh. Trong bối cảnh chuỗi cung ứng phần mềm ngày càng phức tạp, một thay đổi nhỏ trong cấu hình cũng có thể trở thành điểm khởi đầu cho một cuộc tấn công toàn diện.
​

Theo Cyber Security News​