Lỗ hổng CVE nghiêm trọng đe dọa InputPlumber và SteamOS

Các lỗ hổng CVE nghiêm trọng đã được phát hiện trong InputPlumber, một tiện ích quản lý thiết bị đầu vào Linux được sử dụng rộng rãi, đặc biệt là trong hệ điều hành SteamOS. Những lỗ hổng này có thể cho phép kẻ tấn công tiêm nhiễm đầu vào giao diện người dùng (UI inputs) và gây ra tình trạng từ chối dịch vụ (Denial-of-Service) trên các hệ thống bị ảnh hưởng.

Phân Tích Lỗ Hổng CVE Nghiêm Trọng Trong InputPlumber

Tổng Quan về InputPlumber và Mức Độ Nghiêm Trọng

InputPlumber là một tiện ích quan trọng trên Linux, có chức năng kết hợp nhiều thiết bị đầu vào vật lý thành các thiết bị đầu vào ảo. Tiện ích này hoạt động với đặc quyền root đầy đủ, điều này làm cho bất kỳ lỗ hổng nào trong nó trở nên đặc biệt nguy hiểm.

Các nhà nghiên cứu bảo mật từ SUSE đã theo dõi hai lỗ hổng chính: CVE-2025-66005 và CVE-2025-14338. Cả hai lỗ hổng CVE này đều ảnh hưởng đến các phiên bản InputPlumber trước v0.69.0.

Chi Tiết Kỹ Thuật về CVE-2025-66005 và CVE-2025-14338

Nguyên nhân gốc rễ của những lỗ hổng này xuất phát từ cơ chế ủy quyền D-Bus không đầy đủ. Điều này cho phép bất kỳ người dùng nào trên hệ thống, bao gồm cả các tài khoản có đặc quyền thấp, truy cập dịch vụ D-Bus của InputPlumber mà không cần xác thực.

Việc thiếu kiểm soát truy cập D-Bus cho phép các tác nhân độc hại tương tác trực tiếp với các chức năng quan trọng của InputPlumber, từ đó thao túng thiết bị đầu vào ảo và gây ra các hậu quả nghiêm trọng.

Tham khảo chi tiết về các lỗ hổng này tại NVD – CVE-2025-66005 và NVD – CVE-2025-14338.

Tác Động Kỹ Thuật và Rủi Ro Bảo Mật

Tiêm Nhiễm Đầu Vào Giao Diện Người Dùng (UI Input Injection)

Một trong những tác động đáng chú ý nhất của lỗ hổng CVE này là khả năng tiêm nhiễm đầu vào. Kẻ tấn công có thể tạo ra các thiết bị bàn phím ảo và tiêm các phím bấm vào phiên người dùng đang hoạt động.

Điều này có thể dẫn đến thực thi mã tùy ý (arbitrary code execution) trong ngữ cảnh của người dùng hiện đang đăng nhập. Khi đó, kẻ tấn công có thể chiếm quyền điều khiển phiên làm việc và đánh cắp dữ liệu nhạy cảm.

Tấn Công Từ Chối Dịch Vụ (Denial-of-Service – DoS)

Phương thức CreateCompositeDevice trong InputPlumber chấp nhận các đường dẫn tệp từ máy khách. Kẻ tấn công có thể lợi dụng điều này để gây ra tình trạng cạn kiệt bộ nhớ bằng cách truyền các tệp đặc biệt như /dev/zero.

Việc này khiến hệ thống liên tục đọc từ một nguồn dữ liệu vô hạn, dẫn đến việc tiêu tốn toàn bộ tài nguyên hệ thống và làm sập hoặc treo các dịch vụ quan trọng, gây ra tình trạng từ chối dịch vụ cho người dùng hợp pháp.

Tiết Lộ Thông Tin Nhạy Cảm (Information Disclosure)

Cùng phương thức CreateCompositeDevice này cũng có thể được sử dụng để kiểm tra sự tồn tại của tệp. Kẻ tấn công có thể thực hiện các bài kiểm tra này để làm lộ thông tin nhạy cảm từ các tệp mà thông thường người dùng có đặc quyền thấp không thể truy cập.

Ví dụ, thông tin từ tệp /root/.bash_history hoặc các tệp cấu hình quan trọng có thể bị tiết lộ, cung cấp cho kẻ tấn công những hiểu biết sâu sắc về cấu hình hệ thống hoặc các lệnh đã thực thi.

Tổng thể, các lỗ hổng CVE này tạo ra một rủi ro bảo mật đáng kể cho các hệ thống Linux.

Các Hệ Thống Bị Ảnh Hưởng và Giải Pháp Khắc Phục

Nền Tảng Bị Tác Động

Các lỗ hổng CVE trong InputPlumber chủ yếu ảnh hưởng đến các hệ thống chơi game Linux chạy tiện ích này, đặc biệt là SteamOS. Vì InputPlumber đóng vai trò quan trọng trong việc quản lý đầu vào thiết bị, các hệ thống này đặc biệt dễ bị tổn thương trước các cuộc tấn công mạng.

Người dùng và quản trị viên hệ thống cần đặc biệt chú ý đến tình trạng bảo mật của các hệ thống này.

Cập Nhật Bản Vá Bảo Mật và Biện Pháp Khắc Phục

Valve đã phản ứng nhanh chóng bằng cách phát hành SteamOS 3.7.20, phiên bản này đã tích hợp bản vá InputPlumber v0.69.0 để khắc phục các lỗ hổng. Các nhà phát triển thượng nguồn cũng đã giải quyết hầu hết các vấn đề bằng cách chuyển sang sử dụng xác thực Polkit phù hợp, kích hoạt ủy quyền theo mặc định và áp dụng các biện pháp tăng cường bảo mật systemd.

Tuy nhiên, một số cải tiến API D-Bus sử dụng bộ mô tả tệp (file descriptors) thay vì tên đường dẫn vẫn chưa được hợp nhất vào phiên bản chính thức.

Khuyến Nghị Quan Trọng

Các nhà nghiên cứu của SUSE khuyến cáo quản trị viên hệ thống nên thực hiện cập nhật bản vá bảo mật ngay lập tức lên InputPlumber v0.69.0 hoặc các phiên bản mới hơn. Điều này đặc biệt quan trọng đối với các hệ thống chơi game và cài đặt SteamOS.

Quá trình công bố phối hợp giữa các nhà nghiên cứu bảo mật của SUSE và các nhà phát triển InputPlumber đã đảm bảo rằng các bản vá đã có sẵn trước khi thông tin được công bố rộng rãi. Điều này giúp giảm thiểu rủi ro bảo mật tiềm tàng cho người dùng.

Để biết thêm thông tin chi tiết về khuyến nghị từ SUSE, bạn có thể tham khảo SUSE Security Advisory.