MinhSec
Writer
Một lỗ hổng bảo mật nguy hiểm vừa được phát hiện trong nền tảng Streamlit công cụ mã nguồn mở phổ biến dùng để xây dựng các ứng dụng dữ liệu và bảng điều khiển tài chính. Vào tháng 2 năm 2025, các nhà nghiên cứu bảo mật phát hiện rằng thành phần st.file_uploader trong Streamlit cho phép kẻ tấn công vượt qua các giới hạn loại tệp và thực hiện hành vi truy cập trái phép vào các phiên bản đám mây đang chạy ứng dụng.
Điều đáng lo ngại là lỗi này có thể bị khai thác chỉ bằng cách thay đổi phần mở rộng tệp trên giao diện tải lên, bởi vì kiểm tra định dạng chỉ được thực hiện ở phía trình duyệt chứ không có xác thực phía máy chủ. Kẻ tấn công có thể sử dụng các công cụ như Burp Suite để chỉnh sửa yêu cầu tải tệp, rồi tải lên các tệp độc hại được ngụy trang như file hợp pháp (ví dụ đổi tên file .exe thành .pdf).
Trong một ví dụ thực tế, tin tặc đã đổi tên file thành ../../.ssh/authorized_keys, ghi đè tệp hệ thống và chèn khóa SSH để chiếm quyền điều khiển máy chủ từ xa mà không cần mật khẩu. Điều này mở đường cho nhiều hành vi nguy hiểm khác như xâm nhập dữ liệu, thao túng cơ sở dữ liệu hoặc thậm chí điều chỉnh toàn bộ dòng dữ liệu đầu vào của ứng dụng web đang hoạt động.
Hệ quả là toàn bộ bảng điều khiển thị trường có thể đưa ra tín hiệu sai lệch, làm thay đổi các cảnh báo rủi ro và ảnh hưởng tới chiến lược đầu tư nội bộ. Trong môi trường tài chính, các hệ thống giao dịch tự động hoặc các nhà đầu tư cá nhân có thể vô tình chạy theo những tín hiệu bị thao túng, dẫn đến hiệu ứng dây chuyền gây tổn thất lớn trên thị trường.
Ngay sau khi phát hiện, Streamlit đã phát hành bản vá trong phiên bản 1.43.2, bổ sung lớp xác thực phía máy chủ để kiểm soát loại tệp được tải lên. Đồng thời, nền tảng bảo mật đám mây SASE của Cato Networks cũng được cập nhật để phát hiện và ngăn chặn các hành vi tải tệp bất thường hoặc truy cập trái phép thông qua các tên tệp được thiết kế đánh lừa.
Các tổ chức sử dụng Streamlit trong môi trường đám mây được khuyến cáo cập nhật ngay bản vá mới nhất, đồng thời triển khai thêm các lớp bảo vệ như hạn chế mạng nội bộ, kiểm soát truy cập và giám sát các hành vi bất thường trong quá trình tương tác với ứng dụng.
cybersecuritynews.com
Điều đáng lo ngại là lỗi này có thể bị khai thác chỉ bằng cách thay đổi phần mở rộng tệp trên giao diện tải lên, bởi vì kiểm tra định dạng chỉ được thực hiện ở phía trình duyệt chứ không có xác thực phía máy chủ. Kẻ tấn công có thể sử dụng các công cụ như Burp Suite để chỉnh sửa yêu cầu tải tệp, rồi tải lên các tệp độc hại được ngụy trang như file hợp pháp (ví dụ đổi tên file .exe thành .pdf).
Trong một ví dụ thực tế, tin tặc đã đổi tên file thành ../../.ssh/authorized_keys, ghi đè tệp hệ thống và chèn khóa SSH để chiếm quyền điều khiển máy chủ từ xa mà không cần mật khẩu. Điều này mở đường cho nhiều hành vi nguy hiểm khác như xâm nhập dữ liệu, thao túng cơ sở dữ liệu hoặc thậm chí điều chỉnh toàn bộ dòng dữ liệu đầu vào của ứng dụng web đang hoạt động.
Nguy cơ thao túng thị trường tài chính từ lỗ hổng nhỏ
Ảnh hưởng lớn nhất từ lỗ hổng này có thể xảy ra với các tổ chức tài chính, bởi Streamlit hiện được sử dụng rộng rãi trong việc xây dựng bảng thông tin thị trường, các mô hình phân tích và giao diện dữ liệu trực quan theo thời gian thực. Theo nhóm nghiên cứu tại Cato Networks, những hệ thống bị xâm nhập có thể bị thay đổi mã nguồn, giá trị cơ sở dữ liệu, hoặc các tập lệnh thu thập dữ liệu mà không dễ bị phát hiện.Hệ quả là toàn bộ bảng điều khiển thị trường có thể đưa ra tín hiệu sai lệch, làm thay đổi các cảnh báo rủi ro và ảnh hưởng tới chiến lược đầu tư nội bộ. Trong môi trường tài chính, các hệ thống giao dịch tự động hoặc các nhà đầu tư cá nhân có thể vô tình chạy theo những tín hiệu bị thao túng, dẫn đến hiệu ứng dây chuyền gây tổn thất lớn trên thị trường.
Ngay sau khi phát hiện, Streamlit đã phát hành bản vá trong phiên bản 1.43.2, bổ sung lớp xác thực phía máy chủ để kiểm soát loại tệp được tải lên. Đồng thời, nền tảng bảo mật đám mây SASE của Cato Networks cũng được cập nhật để phát hiện và ngăn chặn các hành vi tải tệp bất thường hoặc truy cập trái phép thông qua các tên tệp được thiết kế đánh lừa.
Các tổ chức sử dụng Streamlit trong môi trường đám mây được khuyến cáo cập nhật ngay bản vá mới nhất, đồng thời triển khai thêm các lớp bảo vệ như hạn chế mạng nội bộ, kiểm soát truy cập và giám sát các hành vi bất thường trong quá trình tương tác với ứng dụng.
New Streamlit Vulnerability Allows Hackers to Launch Cloud Account Takeover Attacks
A critical vulnerability in Streamlit, the popular open-source framework for building data applications, that enables attackers to conduct cloud account takeover attacks.
cybersecuritynews.com
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview