-
09/04/2020
-
95
-
753 bài viết
Lỗ hổng nghiêm trọng trong Apache SeaTunnel cho phép đọc file và thực thi mã từ xa
Một lỗ hổng mới có mã định danh CVE-2025-32896 vừa được công bố, ảnh hưởng đến Apache SeaTunnel – nền tảng tích hợp dữ liệu phân tán phổ biến. Lỗ hổng này cho phép tin tặc không cần xác thực vẫn có thể đọc file tùy ý và thực thi mã từ xa thông qua lỗ hổng deserialization.
Apache SeaTunnel là một công cụ tích hợp dữ liệu thế hệ mới, nổi bật với hiệu suất cao và khả năng mở rộng, được thiết kế để xử lý và đồng bộ hóa khối lượng lớn dữ liệu giữa nhiều hệ thống và môi trường khác nhau, bao gồm cả nền tảng đám mây lẫn tại chỗ. Nhờ vào tính linh hoạt và độ tin cậy cao, SeaTunnel hiện đang được triển khai rộng rãi bởi nhiều tổ chức và doanh nghiệp quy mô lớn trong các lĩnh vực như tài chính, viễn thông và thương mại điện tử.
Chính vì mức độ phổ biến và vai trò quan trọng trong hệ sinh thái dữ liệu, một lỗ hổng bảo mật trong SeaTunnel có thể gây ra hậu quả nghiêm trọng. Cụ thể, lỗ hổng lần này bắt nguồn từ việc một endpoint REST API cũ – /hazelcast/rest/maps/submit-job – không yêu cầu xác thực, từ đó tạo điều kiện cho tin tặc không xác thực có thể truy cập và thực hiện các hành vi tấn công nguy hiểm.
Kẻ tấn công có thể lợi dụng điểm yếu này bằng cách gửi một job đến SeaTunnel qua RESTful API v1, chèn tham số độc hại vào URL kết nối MySQL, từ đó có thể:
Lỗ hổng CVE-2025-32896 đã được khắc phục trong bản cập nhật mới. Người dùng được khuyến cáo:
Apache SeaTunnel là một công cụ tích hợp dữ liệu thế hệ mới, nổi bật với hiệu suất cao và khả năng mở rộng, được thiết kế để xử lý và đồng bộ hóa khối lượng lớn dữ liệu giữa nhiều hệ thống và môi trường khác nhau, bao gồm cả nền tảng đám mây lẫn tại chỗ. Nhờ vào tính linh hoạt và độ tin cậy cao, SeaTunnel hiện đang được triển khai rộng rãi bởi nhiều tổ chức và doanh nghiệp quy mô lớn trong các lĩnh vực như tài chính, viễn thông và thương mại điện tử.
Chính vì mức độ phổ biến và vai trò quan trọng trong hệ sinh thái dữ liệu, một lỗ hổng bảo mật trong SeaTunnel có thể gây ra hậu quả nghiêm trọng. Cụ thể, lỗ hổng lần này bắt nguồn từ việc một endpoint REST API cũ – /hazelcast/rest/maps/submit-job – không yêu cầu xác thực, từ đó tạo điều kiện cho tin tặc không xác thực có thể truy cập và thực hiện các hành vi tấn công nguy hiểm.
Kẻ tấn công có thể lợi dụng điểm yếu này bằng cách gửi một job đến SeaTunnel qua RESTful API v1, chèn tham số độc hại vào URL kết nối MySQL, từ đó có thể:
- Đọc file tùy ý từ hệ thống tệp máy chủ
- Thực thi mã từ xa thông qua quá trình deserialization các đối tượng Java không an toàn
Lỗ hổng CVE-2025-32896 đã được khắc phục trong bản cập nhật mới. Người dùng được khuyến cáo:
- Nâng cấp phần mềm lên phiên bản mới
- Tránh sử dụng RESTful API v1
- Áp dụng xác thực HTTPS hai chiều giữa các node SeaTunnel
Theo Security Online