-
09/04/2020
-
112
-
1.080 bài viết
IBM Watsonx: Lỗ hổng SQL Injection đe dọa hệ sinh thái dữ liệu
IBM vừa phát cảnh báo về một lỗ hổng nghiêm trọng trong sản phẩm watsonx Orchestrate Cartridge for Cloud Pak for Data, được định danh CVE-2025-0165. Lỗ hổng này cho phép kẻ tấn công đã xác thực thực hiện kỹ thuật Blind SQL Injection để can thiệp vào cơ sở dữ liệu phía sau ứng dụng, tiềm ẩn nguy cơ rò rỉ thông tin quan trọng.
Nguyên nhân được xác định là do cơ chế xử lý dữ liệu đầu vào không an toàn trong các phiên bản từ 4.8.4 đến 4.8.5 và từ 5.0.0 đến 5.2. Ứng dụng không sử dụng tham số hóa mà lại ghép trực tiếp chuỗi dữ liệu của người dùng vào câu lệnh SQL, tạo điều kiện để kẻ tấn công có quyền truy cập hạn chế chèn mã SQL tùy biến. Đặc biệt, hệ thống không phản hồi lỗi hoặc trả về dữ liệu trực tiếp, buộc tin tặc phải khai thác bằng cách dựa vào độ trễ phản hồi để suy đoán thông tin. Một ví dụ khai thác cho thấy kẻ tấn công có thể sử dụng hàm pg_sleep() của PostgreSQL để tạo độ trễ có điều kiện, từ đó lần lượt trích xuất từng ký tự trong tên cơ sở dữ liệu.
CVE-2025-0165 có điểm CVSS là 7,6, rủi ro lớn nhất nằm ở khả năng rò rỉ thông tin nhạy cảm như cấu hình hệ thống, dữ liệu định danh cá nhân hoặc thậm chí cả thông tin xác thực. Không chỉ dừng lại ở việc đánh cắp dữ liệu, kẻ tấn công còn có thể chỉnh sửa hoặc chèn thêm bản ghi, làm suy giảm tính toàn vẹn và độ tin cậy của hệ thống. Điểm khó khăn nằm ở chỗ Blind SQL Injection thường không để lại dấu hiệu rõ rệt, ứng dụng vẫn vận hành bình thường ngoại trừ những độ trễ bất thường trong phản hồi.
Đối với các doanh nghiệp đang triển khai Cloud Pak for Data, lỗ hổng này không chỉ ảnh hưởng đến một ứng dụng riêng lẻ mà còn có thể lan rộng, đe dọa toàn bộ hệ sinh thái dữ liệu. Điều này khiến nguy cơ mất mát và rò rỉ thông tin trở nên khó kiểm soát, đồng thời đặt ra thách thức lớn trong việc giám sát và phát hiện sớm các hoạt động bất thường.
Để khắc phục, IBM khuyến nghị người dùng nâng cấp ngay lên phiên bản watsonx Orchestrate Cartridge 5.2.0.1. Phiên bản này đã triển khai các cơ chế tham số hóa và sử dụng prepared statements nhằm loại bỏ hoàn toàn nguy cơ SQL Injection. Trường hợp chưa thể nâng cấp ngay, doanh nghiệp có thể áp dụng các biện pháp tạm thời như triển khai tường lửa ứng dụng web để lọc bỏ các mẫu tấn công thường gặp, giới hạn quyền truy cập vào giao diện quản trị và giám sát kỹ các truy vấn bất thường trong nhật ký hệ thống.
Sự cố này một lần nữa cho thấy những lỗ hổng dạng Injection, dù đã được nghiên cứu và cảnh báo từ lâu, vẫn tiếp tục là thách thức hàng đầu trong an ninh ứng dụng. Trong bối cảnh điện toán đám mây và trí tuệ nhân tạo ngày càng phổ biến, chỉ một sơ suất nhỏ trong việc xử lý dữ liệu đầu vào cũng có thể dẫn đến những hậu quả nghiêm trọng. Việc IBM nhanh chóng công bố và vá lỗi giúp giảm thiểu nguy cơ, nhưng về phía các tổ chức, đây là lời nhắc nhở rằng kiểm thử bảo mật, quản lý bản vá và giám sát bất thường luôn phải được tiến hành liên tục và chủ động.
Nguyên nhân được xác định là do cơ chế xử lý dữ liệu đầu vào không an toàn trong các phiên bản từ 4.8.4 đến 4.8.5 và từ 5.0.0 đến 5.2. Ứng dụng không sử dụng tham số hóa mà lại ghép trực tiếp chuỗi dữ liệu của người dùng vào câu lệnh SQL, tạo điều kiện để kẻ tấn công có quyền truy cập hạn chế chèn mã SQL tùy biến. Đặc biệt, hệ thống không phản hồi lỗi hoặc trả về dữ liệu trực tiếp, buộc tin tặc phải khai thác bằng cách dựa vào độ trễ phản hồi để suy đoán thông tin. Một ví dụ khai thác cho thấy kẻ tấn công có thể sử dụng hàm pg_sleep() của PostgreSQL để tạo độ trễ có điều kiện, từ đó lần lượt trích xuất từng ký tự trong tên cơ sở dữ liệu.
CVE-2025-0165 có điểm CVSS là 7,6, rủi ro lớn nhất nằm ở khả năng rò rỉ thông tin nhạy cảm như cấu hình hệ thống, dữ liệu định danh cá nhân hoặc thậm chí cả thông tin xác thực. Không chỉ dừng lại ở việc đánh cắp dữ liệu, kẻ tấn công còn có thể chỉnh sửa hoặc chèn thêm bản ghi, làm suy giảm tính toàn vẹn và độ tin cậy của hệ thống. Điểm khó khăn nằm ở chỗ Blind SQL Injection thường không để lại dấu hiệu rõ rệt, ứng dụng vẫn vận hành bình thường ngoại trừ những độ trễ bất thường trong phản hồi.
Đối với các doanh nghiệp đang triển khai Cloud Pak for Data, lỗ hổng này không chỉ ảnh hưởng đến một ứng dụng riêng lẻ mà còn có thể lan rộng, đe dọa toàn bộ hệ sinh thái dữ liệu. Điều này khiến nguy cơ mất mát và rò rỉ thông tin trở nên khó kiểm soát, đồng thời đặt ra thách thức lớn trong việc giám sát và phát hiện sớm các hoạt động bất thường.
Để khắc phục, IBM khuyến nghị người dùng nâng cấp ngay lên phiên bản watsonx Orchestrate Cartridge 5.2.0.1. Phiên bản này đã triển khai các cơ chế tham số hóa và sử dụng prepared statements nhằm loại bỏ hoàn toàn nguy cơ SQL Injection. Trường hợp chưa thể nâng cấp ngay, doanh nghiệp có thể áp dụng các biện pháp tạm thời như triển khai tường lửa ứng dụng web để lọc bỏ các mẫu tấn công thường gặp, giới hạn quyền truy cập vào giao diện quản trị và giám sát kỹ các truy vấn bất thường trong nhật ký hệ thống.
Sự cố này một lần nữa cho thấy những lỗ hổng dạng Injection, dù đã được nghiên cứu và cảnh báo từ lâu, vẫn tiếp tục là thách thức hàng đầu trong an ninh ứng dụng. Trong bối cảnh điện toán đám mây và trí tuệ nhân tạo ngày càng phổ biến, chỉ một sơ suất nhỏ trong việc xử lý dữ liệu đầu vào cũng có thể dẫn đến những hậu quả nghiêm trọng. Việc IBM nhanh chóng công bố và vá lỗi giúp giảm thiểu nguy cơ, nhưng về phía các tổ chức, đây là lời nhắc nhở rằng kiểm thử bảo mật, quản lý bản vá và giám sát bất thường luôn phải được tiến hành liên tục và chủ động.
Theo Cyber Press