Khẩn Cấp: Lỗ hổng CVE Nghiêm trọng đe dọa IBM Verify Access

Một bản tin bảo mật quan trọng vừa công bố nhiều lỗ hổng CVE nghiêm trọng trong các sản phẩm IBM Verify Identity Access và IBM Security Verify Access. Những lỗ hổng này, nếu không được vá kịp thời, có thể bị các tác nhân độc hại khai thác để truy cập thông tin nhạy cảm, leo thang đặc quyền hệ thống, hoặc gây ra tấn công từ chối dịch vụ (DoS) hoàn toàn đối với ứng dụng, tạo ra rủi ro bảo mật đáng kể cho các tổ chức.

Các tổ chức đang sử dụng nền tảng xác thực này cần hành động ngay lập tức để vá lỗi hạ tầng của mình. Một trong những vấn đề nổi bật nhất trong cảnh báo bảo mật gần đây xoay quanh cách nền tảng xử lý lưu lượng web, đặc biệt là các yêu cầu HTTP.

Nội dung

Phân Tích Các Lỗ Hổng HTTP Request Smuggling

Cơ Chế Khai Thác và Tác Động Tiềm Tàng

Các Lỗ Hổng Bảo Mật Nghiêm Trọng Khác Cần Chú Ý

Lỗ Hổng Tràn Bộ Đệm (Buffer Overflow)

Server-Side Request Forgery (CVE-2026-1343)

Cross-Site Scripting (CVE-2025-12635)

Lỗ Hổng Tiêu Thụ Tài Nguyên Java SE

Các Phiên Bản Bị Ảnh Hưởng và Khuyến Nghị Vá Lỗi Khẩn Cấp

Hướng Dẫn Cập Nhật Bản Vá Bảo Mật

Phân Tích Các Lỗ Hổng HTTP Request Smuggling

Hai lỗ hổng HTTP Request Smuggling, được theo dõi là CVE-2026-2862 và CVE-2026-1491, xuất phát từ việc xử lý không nhất quán của reverse proxy. Cả hai đều có điểm CVSS 5.3, cho thấy mức độ nghiêm trọng trung bình nhưng tiềm ẩn rủi ro cao khi bị khai thác trong chuỗi tấn công phức tạp.

Cụ thể, sự không nhất quán này xảy ra khi reverse proxy và máy chủ backend diễn giải cùng một yêu cầu HTTP theo những cách khác nhau do sự khác biệt trong việc phân tích cú pháp tiêu đề như Content-Length hoặc Transfer-Encoding. Điều này cho phép kẻ tấn công tạo ra các yêu cầu HTTP “tàng hình” được phân tích cú pháp khác nhau bởi proxy và máy chủ backend, dẫn đến các hành vi không mong muốn và phá vỡ logic bảo mật.

Cơ Chế Khai Thác và Tác Động Tiềm Tàng

Bằng cách khai thác các lỗ hổng CVE nghiêm trọng này, một kẻ tấn công từ xa, không cần xác thực, có thể đánh lừa máy chủ proxy để tiết lộ lưu lượng truy cập web nội bộ. Điều này tạo điều kiện cho kẻ tấn công âm thầm bỏ qua các kiểm tra bảo mật hiện có, như tường lửa ứng dụng web (WAF) hoặc các cơ chế xác thực.

Mục tiêu cuối cùng là chiếm quyền điều khiển trái phép đối với dữ liệu người dùng cực kỳ nhạy cảm hoặc truy cập vào các tài nguyên nội bộ bị hạn chế. Kẻ tấn công có thể chèn các yêu cầu độc hại vào luồng giao tiếp, lừa proxy chuyển tiếp chúng đến các tài nguyên nội bộ mà lẽ ra không được phép truy cập. Các hệ thống bị xâm nhập thông qua kỹ thuật này có thể dẫn đến rò rỉ dữ liệu hoặc thực hiện các hành động trái phép dưới danh nghĩa ứng dụng.

Thông qua kỹ thuật HTTP Request Smuggling, kẻ tấn công có thể truy cập vào các API nội bộ, thông tin cấu hình, hoặc thậm chí là phiên làm việc của người dùng hợp lệ, từ đó đánh cắp cookie, giả mạo phiên, hoặc thực hiện các cuộc tấn công tiếp theo. Đây là một mối đe dọa mạng cần được đánh giá nghiêm túc.

Để hiểu rõ hơn về loại lỗ hổng này và các chi tiết kỹ thuật liên quan, có thể tham khảo thông tin trên cơ sở dữ liệu quốc gia về lỗ hổng bảo mật: NVD – CVE-2026-2862.

Các Lỗ Hổng Bảo Mật Nghiêm Trọng Khác Cần Chú Ý

Bản tin bảo mật mới nhất cũng vá nhiều lỗ hổng CVE nghiêm trọng khác mà quản trị viên hệ thống cần ưu tiên xử lý để đảm bảo an ninh mạng toàn diện cho hạ tầng IBM Verify Access.

Lỗ Hổng Tràn Bộ Đệm (Buffer Overflow)

Hệ thống IBM Verify Access được phát hiện không tính toán chính xác kích thước bộ đệm khi đọc các tính năng của bộ xử lý. Lỗi này có thể cho phép kẻ tấn công kích hoạt tình trạng tràn bộ đệm (buffer overflow) thông qua các đầu vào được chế tạo đặc biệt.

Một cuộc tấn công tràn bộ đệm thành công có thể dẫn đến việc thực thi mã tùy ý (arbitrary code execution) trên hệ thống bị ảnh hưởng. Từ đó, kẻ tấn công có khả năng chiếm quyền điều khiển hoàn toàn hệ thống, leo thang đặc quyền và thực hiện các hành động độc hại không bị hạn chế.

Server-Side Request Forgery (CVE-2026-1343)

Lỗ hổng CVE-2026-1343 là một lỗi Server-Side Request Forgery (SSRF) ảnh hưởng đến IBM Verify Access. Lỗ hổng này cho phép kẻ tấn công buộc ứng dụng phía máy chủ thực hiện các yêu cầu HTTP đến một miền hoặc tài nguyên nội bộ tùy ý do kẻ tấn công chọn, thường là thông qua các URL được kiểm soát bởi kẻ tấn công.

Điều này cho phép kẻ tấn công quét mạng nội bộ, truy cập các tài nguyên bị hạn chế, tương tác với các dịch vụ nội bộ mà lẽ ra không thể truy cập từ bên ngoài, gây ra rò rỉ thông tin nhạy cảm hoặc tạo điểm tựa cho các cuộc tấn công tiếp theo trong mạng.

Cross-Site Scripting (CVE-2025-12635)

Bản vá cũng khắc phục CVE-2025-12635, một lỗ hổng Cross-Site Scripting (XSS) được phát hiện trong các sản phẩm IBM Verify Access. Lỗ hổng này cho phép kẻ tấn công chèn các script độc hại vào các trang web được xem bởi người dùng khác, thường là thông qua các trường nhập liệu không được kiểm tra kỹ lưỡng.

Khi người dùng truy cập trang bị ảnh hưởng, script độc hại sẽ được thực thi trong trình duyệt của họ với các quyền của trang web. Điều này có thể dẫn đến việc đánh cắp cookie, chiếm đoạt phiên làm việc, chuyển hướng người dùng đến các trang lừa đảo, hoặc thực hiện các hành động trái phép dưới danh nghĩa người dùng hợp lệ, gây ảnh hưởng đến trải nghiệm và bảo mật của người dùng cuối.

Lỗ Hổng Tiêu Thụ Tài Nguyên Java SE

Ngoài ra, bản tin cũng đề cập đến một số lỗ hổng CVE nghiêm trọng liên quan đến việc tiêu thụ tài nguyên trong Java SE, ảnh hưởng đến các thành phần của IBM Verify Access. Các lỗ hổng này có thể cho phép kẻ tấn công gây ra tình trạng từ chối dịch vụ (DoS) thông qua việc làm cạn kiệt tài nguyên hệ thống như bộ nhớ hoặc CPU.

Việc làm cạn kiệt tài nguyên có thể khiến ứng dụng trở nên không phản hồi hoặc ngừng hoạt động, ảnh hưởng nghiêm trọng đến tính khả dụng của dịch vụ xác thực và gây gián đoạn hoạt động kinh doanh. Đây là một loại mối đe dọa mạng cần được xử lý để duy trì sự ổn định của hệ thống.

Các Phiên Bản Bị Ảnh Hưởng và Khuyến Nghị Vá Lỗi Khẩn Cấp

Các lỗ hổng CVE nghiêm trọng này ảnh hưởng đến IBM Verify Identity Access và IBM Security Verify Access phiên bản 10.0 thông qua 11.0.2, bao gồm cả các triển khai Container tương ứng của chúng. Mức độ phổ biến của các phiên bản bị ảnh hưởng cho thấy phạm vi tác động rộng lớn.

Hiện tại, không có giải pháp tạm thời (workaround) hoặc biện pháp giảm thiểu (mitigation) chính thức nào có sẵn để ngăn chặn các cuộc tấn công khai thác những lỗ hổng này một cách hiệu quả. Do đó, IBM khuyến nghị mạnh mẽ khách hàng nên áp dụng các bản sửa lỗi phần mềm ngay lập tức để bảo vệ hệ thống và đảm bảo an toàn thông tin.

Hướng Dẫn Cập Nhật Bản Vá Bảo Mật

Quản trị viên hệ thống cần tải xuống và cài đặt các bản vá sau từ cổng hỗ trợ chính thức của IBM:

Đối với IBM Verify Identity Access: Cài đặt v11.0.2 IF1.
Đối với IBM Security Verify Access: Cài đặt v10.0.9.1 IF1.

Đối với người dùng triển khai trong môi trường Container, việc cập nhật bản vá đòi hỏi phải kéo (pull) các image đã cập nhật mới nhất từ container registry của IBM. Điều này đảm bảo rằng các môi trường container của họ được bảo mật chống lại các mối đe dọa bên ngoài và nội bộ.

Việc cập nhật bản vá kịp thời là bước cần thiết để đóng các điểm yếu này và duy trì một môi trường an ninh mạng mạnh mẽ, giảm thiểu tối đa các rủi ro bảo mật tiềm tàng. Việc chậm trễ trong việc áp dụng bản vá có thể khiến hệ thống tiếp tục dễ bị tấn công.

Thông tin chi tiết về các bản vá và cảnh báo bảo mật có thể được tìm thấy trên trang hỗ trợ của IBM, nơi cung cấp các hướng dẫn cụ thể và tệp tải xuống: Security Bulletin: Security vulnerabilities have been found in IBM Verify Identity Access and IBM Security Verify Access.