1. Tổng quan và phân tích
Trong hoạt động theo dõi giám sát diễn biến an toàn thông tin trên không gian mạng, Team CMC Telecom Threat Intelligence đã ghi nhận lỗ hổng bảo mật CVE-2024-51504 trong Apache ZooKeeper – dịch vụ tập trung được sử dụng để quản lý cấu hình & đồng bộ hóa trên các ứng dụng phân tán. Lỗ hổng được đánh giá mức độ nghiêm trọng (CVSS score 9.1), thuộc loại Authentication Bypass by Spoofing.
Lỗ hổng xảy ra khi sử dụng IPAuthenticationProvider trong ZooKeeper Admin server, cấu hình mặc định của tính năng phát hiện địa chỉ IP phía client chỉ sử dựa trên tiêu đề yêu cầu HTTP (request header). Điều này có thể cho phép kẻ tấn công dễ dàng bypass cơ chế xác thực này thông qua giả mạo địa chỉ IP phía client (Spoofing IP address) trong tiêu đề yêu cầu HTTP. Cấu hình mặc định sử dụng tiêu đề X-Forwarded-For để đọc địa chỉ IP client – tiêu đề này chủ yếu được sử dụng bởi các máy chủ proxy để nhận dạng ứng dụng và có thể dễ dàng bị giả mạo bởi kẻ tấn công.
Trong trường hợp khai thác thành công, kẻ tấn công có thể truy cập trái phép vào các lệnh quan trọng của máy chủ Admin, bao gồm hoạt động snapshot và sao lưu. Các lệnh này cho phép tương tác trực tiếp với cấu hình của máy chủ và quá trình sao lưu, có khả năng dẫn đến rò rỉ thông tin và các vấn đề về tính khả dụng của dịch vụ. Điều này gây ra rủi ro đáng kể đối với tính toàn vẹn của Apache ZooKeeper.
2. Ảnh hưởng và giảm thiểu rủi ro
Các phiên bản Apache ZooKeeper từ 3.9.0 đến trước 3.9.3 đều bị ảnh hưởng. Vấn đề này đã được khắc phục trong phiên bản 3.9.3.
| STT | Tên Ứng dụng | Phiên bản ảnh hưởng | Phiên bản cần nâng cấp |
| 1 | ZooKeeper | 3.9.0 before 3.9.3 | >= 3.9.3 |
Người dùng sử dụng phiên bản Apache ZooKeeper bị ảnh hưởng bởi lỗ hổng, thực hiện cập nhật phiên bản mới, cụ thể.
**Liên quan
- https://www.openwall.com/lists/oss-security/2024/11/06/5
- https://www.cve.org/CVERecord?id=CVE-2024-51504
