-
09/04/2020
-
116
-
1.192 bài viết
Lỗ hổng nghiêm trọng trong Squid làm rò rỉ thông tin xác thực người dùng
Các nhà phát triển của Squid vừa công bố và khắc phục một lỗ hổng nghiêm trọng cho phép rò rỉ thông tin xác thực HTTP và token bảo mật khi phần mềm tạo trang lỗi. Lỗ hổng mang mã CVE-2025-62168, được đánh giá CVSS 10.0, phát sinh do Squid không loại bỏ dữ liệu xác thực khỏi nội dung phản hồi trong một số trường hợp xử lý lỗi, khiến dữ liệu nhạy cảm có thể bị tiết lộ cho bên thứ ba thông qua các trang lỗi do proxy sinh ra.
Vấn đề liên quan trực tiếp đến cơ chế gắn thông tin gỡ lỗi vào liên kết mailto dành cho quản trị viên, được điều khiển bởi tham số cấu hình email_err_data. Khi tùy chọn này hoạt động, Squid có thể vô tình đính kèm thông tin xác thực hoặc token nội bộ vào trang lỗi. Kẻ tấn công có thể khai thác điều này bằng đoạn mã được thiết kế để vượt qua rào chắn trình duyệt và trích xuất dữ liệu xuất hiện trong phản hồi lỗi.
Theo nhóm phát triển, CVE-2025-62168 ảnh hưởng đến toàn bộ các phiên bản Squid cho đến 7.1, tùy thuộc vào cấu hình hệ thống. Vì Squid thường được triển khai làm reverse proxy hoặc gateway cho nhiều dịch vụ backend, nguy cơ lan rộng không chỉ dừng ở một máy chủ đơn lẻ mà có thể ảnh hưởng đến các dịch vụ nội bộ, cho phép mạo danh người dùng, di chuyển ngang trong mạng hoặc chiếm quyền các thành phần phía sau proxy.
Squid đã phát hành bản sửa trong phiên bản 7.2, trong đó cơ chế xử lý lỗi đã được cập nhật để xóa mọi dữ liệu xác thực trước khi trả về cho client. Dự án cũng cung cấp bản vá mã nguồn cho những môi trường không thể nâng cấp ngay. Biện pháp tạm thời cho quản trị viên là vô hiệu hóa việc chèn thông tin gỡ lỗi vào liên kết quản trị viên bằng cách đặt email_err_data off trong squid.conf. Quản trị viên có thể kiểm tra cấu hình bằng lệnh sau:
Do CVE-2025-62168 có thể bị khai thác mà không cần quyền đặc biệt, các triển khai Squid công khai hoặc nằm tại ranh mạng nội bộ đều cần được rà soát khẩn cấp. Với vai trò trung gian giữa người dùng và các ứng dụng web, chỉ một lỗi nhỏ trong xử lý ngoại lệ cũng có thể vô hiệu hóa toàn bộ cơ chế xác thực, biến hệ thống proxy thành điểm rò rỉ thông tin trọng yếu.
Các đội vận hành được khuyến cáo kiểm tra toàn bộ cụm Squid trong hạ tầng, triển khai bản vá mới nhất hoặc tạm thời vô hiệu hóa tính năng bị ảnh hưởng. Đồng thời, cần rà soát các dịch vụ backend để đánh giá nguy cơ rò rỉ token. Với những hệ thống từng hiển thị thông tin gỡ lỗi trong trang lỗi, nên thay đổi toàn bộ token có khả năng bị lộ và tăng cường giám sát các hoạt động truy cập bất thường.
CVE-2025-62168 một lần nữa cho thấy rủi ro từ những lỗi tưởng chừng nhỏ trong cơ chế xử lý lỗi. Khi dữ liệu xác thực không được bảo vệ đúng cách, lớp trung gian như proxy có thể trở thành mắt xích yếu nhất trong chuỗi phòng thủ. Đối với các tổ chức sử dụng Squid ở quy mô lớn, việc chậm vá hoặc cấu hình sai chỉ cần xảy ra một lần cũng đủ để mở ra đường truy cập cho kẻ tấn công vào hệ thống nội bộ.
Vấn đề liên quan trực tiếp đến cơ chế gắn thông tin gỡ lỗi vào liên kết mailto dành cho quản trị viên, được điều khiển bởi tham số cấu hình email_err_data. Khi tùy chọn này hoạt động, Squid có thể vô tình đính kèm thông tin xác thực hoặc token nội bộ vào trang lỗi. Kẻ tấn công có thể khai thác điều này bằng đoạn mã được thiết kế để vượt qua rào chắn trình duyệt và trích xuất dữ liệu xuất hiện trong phản hồi lỗi.
Theo nhóm phát triển, CVE-2025-62168 ảnh hưởng đến toàn bộ các phiên bản Squid cho đến 7.1, tùy thuộc vào cấu hình hệ thống. Vì Squid thường được triển khai làm reverse proxy hoặc gateway cho nhiều dịch vụ backend, nguy cơ lan rộng không chỉ dừng ở một máy chủ đơn lẻ mà có thể ảnh hưởng đến các dịch vụ nội bộ, cho phép mạo danh người dùng, di chuyển ngang trong mạng hoặc chiếm quyền các thành phần phía sau proxy.
Squid đã phát hành bản sửa trong phiên bản 7.2, trong đó cơ chế xử lý lỗi đã được cập nhật để xóa mọi dữ liệu xác thực trước khi trả về cho client. Dự án cũng cung cấp bản vá mã nguồn cho những môi trường không thể nâng cấp ngay. Biện pháp tạm thời cho quản trị viên là vô hiệu hóa việc chèn thông tin gỡ lỗi vào liên kết quản trị viên bằng cách đặt email_err_data off trong squid.conf. Quản trị viên có thể kiểm tra cấu hình bằng lệnh sau:
Mã:
squid -k parse 2>&1 | grep "email_err_data"Do CVE-2025-62168 có thể bị khai thác mà không cần quyền đặc biệt, các triển khai Squid công khai hoặc nằm tại ranh mạng nội bộ đều cần được rà soát khẩn cấp. Với vai trò trung gian giữa người dùng và các ứng dụng web, chỉ một lỗi nhỏ trong xử lý ngoại lệ cũng có thể vô hiệu hóa toàn bộ cơ chế xác thực, biến hệ thống proxy thành điểm rò rỉ thông tin trọng yếu.
Các đội vận hành được khuyến cáo kiểm tra toàn bộ cụm Squid trong hạ tầng, triển khai bản vá mới nhất hoặc tạm thời vô hiệu hóa tính năng bị ảnh hưởng. Đồng thời, cần rà soát các dịch vụ backend để đánh giá nguy cơ rò rỉ token. Với những hệ thống từng hiển thị thông tin gỡ lỗi trong trang lỗi, nên thay đổi toàn bộ token có khả năng bị lộ và tăng cường giám sát các hoạt động truy cập bất thường.
CVE-2025-62168 một lần nữa cho thấy rủi ro từ những lỗi tưởng chừng nhỏ trong cơ chế xử lý lỗi. Khi dữ liệu xác thực không được bảo vệ đúng cách, lớp trung gian như proxy có thể trở thành mắt xích yếu nhất trong chuỗi phòng thủ. Đối với các tổ chức sử dụng Squid ở quy mô lớn, việc chậm vá hoặc cấu hình sai chỉ cần xảy ra một lần cũng đủ để mở ra đường truy cập cho kẻ tấn công vào hệ thống nội bộ.
Theo Security Online
Chỉnh sửa lần cuối: