Lỗ hổng CVE nghiêm trọng: Rủi ro RCE từ tiện ích IDE
Ba lỗ hổng CVE nghiêm trọng đã được phát hiện trong bốn tiện ích mở rộng phổ biến của Visual Studio Code, với tổng cộng hơn 128 triệu lượt tải xuống. Điều này làm nổi bật rủi ro tiềm tàng mà các công cụ phát triển phần mềm đang đối mặt. Các lỗ hổng được xác định là CVE-2025-65715, CVE-2025-65716 và CVE-2025-65717, đặt ra mối đe dọa đáng kể cho môi trường phát triển và an ninh chuỗi cung ứng phần mềm toàn cầu.
Điểm Mù An Ninh trong Chuỗi Cung Ứng Phần Mềm: Mối Nguy Từ IDE
Các phát hiện từ nhóm nghiên cứu OX Security, sau đó được xác nhận trên các Môi trường Phát triển Tích hợp (IDEs) khác như Cursor và Windsurf, đã phơi bày một điểm mù có tính hệ thống trong an ninh chuỗi cung ứng phần mềm hiện đại: chính máy tính của nhà phát triển. Đây là một khía cạnh thường bị bỏ qua nhưng lại tiềm ẩn rủi ro lớn.
IDEs là trung tâm hoạt động của nhà phát triển, nơi họ lưu trữ và tương tác với những tài sản nhạy cảm nhất của tổ chức. Những tài sản này bao gồm logic nghiệp vụ cốt lõi, khóa API, cấu hình cơ sở dữ liệu, biến môi trường và dữ liệu khách hàng. Việc tiếp cận những thông tin này có thể dẫn đến hậu quả nghiêm trọng.
Các tiện ích mở rộng, với quyền hạn rộng ở cấp hệ thống, trở thành một cổng truy cập không được bảo vệ. Theo OX Security, chỉ một tiện ích mở rộng độc hại hoặc có lỗ hổng CVE là đủ để kích hoạt sự di chuyển ngang (lateral movement) trong mạng nội bộ và xâm nhập toàn bộ tổ chức. Điều này biến máy tính của nhà phát triển thành một điểm khởi đầu tấn công hiệu quả.
Đáng chú ý, các tiện ích mở rộng hoạt động như các quy trình quản trị đặc quyền được nhúng bên trong IDE. Chúng có khả năng thực thi mã, đọc và sửa đổi tệp hệ thống, cũng như giao tiếp trên mạng cục bộ mà không kích hoạt các cảnh báo bảo mật tiêu chuẩn. Điều này khiến việc phát hiện các hoạt động độc hại trở nên cực kỳ khó khăn.
Phân Tích Chi Tiết các Lỗ Hổng CVE Nghiêm Trọng
CVE-2025-65717: Exfiltration Tệp Từ Xa Qua Live Server
Lỗ hổng CVE-2025-65717 trong tiện ích Live Server có điểm CVSS là 9.1 (Nghiêm trọng). Lỗ hổng này cho phép kẻ tấn công từ xa trích xuất tệp nhạy cảm từ máy của nhà phát triển thông qua chức năng localhost của Live Server.
Live Server là một tiện ích phổ biến cho phép nhà phát triển xem trước trang web cục bộ. Tuy nhiên, việc lạm dụng chức năng localhost để exfiltration tệp có thể dẫn đến rò rỉ mã nguồn, khóa riêng tư, chứng chỉ bảo mật hoặc các tài liệu mật khác, gây tổn hại nghiêm trọng đến quyền riêng tư và an ninh của dự án.
CVE-2025-65716: Khai Thác JavaScript và Thu Thập Dữ Liệu Với Markdown Preview Enhanced
Tiện ích Markdown Preview Enhanced chứa CVE-2025-65716, được xếp hạng CVSS 8.8. Lỗ hổng này cho phép thực thi JavaScript tùy ý, từ đó có thể quét các cổng cục bộ và trích xuất dữ liệu từ máy tính của nhà phát triển.
Khả năng thực thi JavaScript trong môi trường có đặc quyền cao như IDE cho phép kẻ tấn công thực hiện nhiều hành vi độc hại, bao gồm:
- Thu thập thông tin về cấu hình mạng nội bộ và các dịch vụ đang chạy.
- Đánh cắp thông tin đăng nhập, token xác thực hoặc các bí mật khác được lưu trữ trong môi trường phát triển.
- Thậm chí có thể được sử dụng như một bước đệm để khởi động các cuộc tấn công phức tạp hơn vào các hệ thống phụ trợ.
CVE-2025-65715: Nguy Cơ Remote Code Execution Tối Cao Với Code Runner
Lỗ hổng CVE-2025-65715 trong tiện ích Code Runner có điểm CVSS là 7.8. Lỗ hổng này mở ra khả năng remote code execution (thực thi mã từ xa), đây là kịch bản tồi tệ nhất cho bất kỳ môi trường phát triển nào. Một lỗ hổng CVE như thế này có thể mang lại quyền kiểm soát hoàn toàn.
Với remote code execution, kẻ tấn công có thể kiểm soát hoàn toàn hệ thống của nhà phát triển. Điều này bao gồm khả năng cài đặt mã độc, thay đổi cấu hình hệ thống, truy cập vào các hệ thống khác trong mạng nội bộ, hoặc thậm chí sử dụng máy bị chiếm quyền để phát tán các cuộc tấn công tiếp theo. Mức độ nguy hiểm của một lỗ hổng CVE cho phép RCE là không thể đánh giá thấp.
Đáng chú ý, tiện ích Live Preview của Microsoft cũng được phát hiện chứa một lỗ hổng XSS cho phép trích xuất tệp IDE hoàn chỉnh. Lỗ hổng này đã được vá lặng lẽ trong phiên bản v0.4.16 mà không có CVE nào được cấp và không công khai ghi nhận công lao cho OX Security. Điều này phản ánh một xu hướng đáng lo ngại về việc xử lý các vấn đề an ninh nghiêm trọng.
Quy Trình Tiết Lộ và Thách Thức Trong Phản Hồi Từ Nhà Phát Triển
OX Security đã tiết lộ có trách nhiệm ba lỗ hổng CVE này cho các nhà duy trì tiện ích mở rộng tương ứng vào tháng 7 và tháng 8 năm 2025. Việc liên hệ được thực hiện thông qua nhiều kênh, bao gồm email, GitHub và các kênh mạng xã hội, nhằm đảm bảo thông tin được chuyển đến đúng đối tượng.
Tuy nhiên, tính đến thời điểm bài viết này được công bố, không có nhà duy trì nào phản hồi hoặc cung cấp bản vá. Sự thiếu phản hồi này nhấn mạnh việc thiếu vắng một khuôn khổ trách nhiệm giải trình có thể thực thi được đối với an ninh tiện ích mở rộng trong các thị trường IDE phổ biến. Điều này tạo ra một khoảng trống lớn trong quy trình bảo mật phần mềm, nơi mà các nhà phát triển và tổ chức phải tự gánh chịu rủi ro.
Biện Pháp Phòng Ngừa và Tăng Cường Bảo Mật IDE
Các nhóm an ninh mạng và nhà phát triển cần coi các tiện ích mở rộng IDE với sự giám sát tương tự như đối với các phần mềm phụ thuộc của bên thứ ba. Các tổ chức được khuyến nghị kiểm tra ngay lập tức các tiện ích mở rộng đã cài đặt và loại bỏ những tiện ích không thiết yếu để giảm thiểu bề mặt tấn công.
Để tăng cường bảo mật IDE, các máy chủ localhost không nên được để chạy khi không cần thiết. Việc đóng các dịch vụ không sử dụng là một nguyên tắc cơ bản để giảm thiểu rủi ro. Các nhà phát triển cũng nên tránh mở các tệp HTML không đáng tin cậy khi bất kỳ máy chủ localhost nào đang hoạt động, vì đây có thể là một vectơ để thực thi mã độc.
Các cấu hình quan trọng như tệp settings.json không bao giờ được sửa đổi bằng cách sử dụng các đoạn mã lấy từ email, cuộc trò chuyện hoặc các kho lưu trữ không xác minh. Việc này có thể dẫn đến việc chèn các cấu hình độc hại hoặc backdoor, ảnh hưởng trực tiếp đến bảo mật IDE.
Một số lệnh CLI hữu ích để quản lý tiện ích mở rộng trong Visual Studio Code:
# Liệt kê tất cả các tiện ích mở rộng đã cài đặtcode --list-extensions# Gỡ bỏ một tiện ích mở rộng cụ thể# Thay thế "ms-vscode.live-server" bằng ID của tiện ích mở rộng cần gỡcode --uninstall-extension ms-vscode.live-serverViệc kiểm tra định kỳ danh sách các tiện ích mở rộng và đảm bảo chúng được cập nhật lên phiên bản mới nhất là điều cần thiết để giảm thiểu rủi ro từ các lỗ hổng CVE tiềm ẩn. Áp dụng nguyên tắc đặc quyền tối thiểu cho tiện ích mở rộng – chỉ cấp những quyền cần thiết – cũng là một phương pháp hữu hiệu để nâng cao bảo mật IDE tổng thể.
Kêu Gọi Thay Đổi Toàn Diện Ở Cấp Nền Tảng để Bảo Vệ An Ninh Mạng
Ở cấp độ nền tảng, OX Security kêu gọi các yêu cầu cấp thiết sau để cải thiện an ninh hệ sinh thái tiện ích mở rộng:
- Đánh giá an ninh bắt buộc: Yêu cầu kiểm tra bảo mật nghiêm ngặt trước khi bất kỳ tiện ích mở rộng nào được đưa lên các thị trường ứng dụng.
- Quét tự động bằng AI: Triển khai các hệ thống quét tự động mạnh mẽ, được hỗ trợ bởi AI, để phân tích các bản gửi mới và phát hiện sớm các dấu hiệu độc hại hoặc lỗ hổng CVE.
- Thời gian phản hồi bản vá có thể thực thi: Thiết lập các khung thời gian rõ ràng và bắt buộc để các nhà duy trì tiện ích mở rộng có lượt tải xuống cao phải phản hồi và phát hành bản vá cho các lỗ hổng đã được báo cáo.
Với sự phát triển nhanh chóng của các trợ lý mã hóa AI đang thúc đẩy sự gia tăng phụ thuộc vào tiện ích mở rộng, mô hình “cài đặt với rủi ro của riêng bạn” hiện tại tạo ra một rủi ro tổ chức không thể chấp nhận được và ngày càng tăng. Các lỗ hổng CVE như những gì đã được phát hiện là lời cảnh tỉnh mạnh mẽ về tầm quan trọng của việc tích hợp bảo mật từ khâu thiết kế đến triển khai trong mọi thành phần của chuỗi cung ứng phần mềm.
Sự thiếu hụt một khuôn khổ an ninh chặt chẽ cho các tiện ích mở rộng Visual Studio Code và các IDE khác có thể dẫn đến những hậu quả nghiêm trọng. Việc liên tục theo dõi và phản ứng kịp thời với các lỗ hổng CVE mới là yếu tố then chốt để duy trì một môi trường phát triển an toàn và bảo vệ thông tin nhạy cảm khỏi các cuộc tấn công mạng ngày càng tinh vi.
