Lỗ hổng trong môi trường Linux dùng chung có thể làm lộ mật khẩu và dữ liệu nhạy cảm

[Kaya]

Một nhà nghiên cứu bảo mật vừa cảnh báo về những “rò rỉ thầm lặng” trong môi trường máy chủ Linux dùng chung, cho phép tin tặc thu thập thông tin nhạy cảm, như: Mật khẩu, API key hay dữ liệu quản trị mà không cần quyền quản trị (root) hay khai thác lỗ hổng phức tạp.

Người đứng sau phát hiện này là Lonut Cernica - một nhà nghiên cứu bảo mật. Ông tiến hành nghiên cứu trong nhiều môi trường Linux chia sẻ như hosting panel, máy chủ VPS dùng chung và các hệ thống thí nghiệm giáo dục. Đây là những nơi nhiều người dùng cùng hoạt động trên một hạ tầng Linux.

Vấn đề xuất phát từ một “tính năng bình thường” của Linux: hiển thị tiến trình và tham số lệnh qua các lệnh như "ps auxww" hoặc đọc file "/proc/[pid]/cmdline".
Cernica chứng minh rằng những lệnh này (vốn dùng để gỡ lỗi) lại vô tình để lộ thông tin nhạy cảm, chẳng hạn:

• Mật khẩu cơ sở dữ liệu WordPress bị lộ khi chạy lệnh cấu hình.
• Mật khẩu tài khoản người dùng hiện rõ trong lệnh tạo user.
• Tài khoản MySQL root và file backup cơ sở dữ liệu bị lộ trong quá trình khôi phục.

Ngoài ra, ông còn tìm ra cách vượt qua các cơ chế “giam” người dùng như "CageFS" hay "chroot jail" và khai thác lỗi cấu hình của web server LiteSpeed để đọc file log chung (stderr.log). Điều này cho phép xem được API token PayPal, cookie phiên đăng nhập, thông tin đăng nhập HTTP của người khác.

Nguyên nhân từ đâu?​

• Thiết kế mặc định của Linux cho phép mọi người dùng xem lệnh của tiến trình khác.
• File tạm (/tmp) và log cài đặt thường lưu ở chế độ “ai cũng đọc được”.
• Cơ chế cô lập (jail) chưa tuyệt đối, một số chương trình vẫn chạy ngoài vùng hạn chế.

Mức độ nguy hiểm và phạm vi ảnh hưởng​

• Bất kỳ máy chủ Linux chia sẻ nào, từ hosting giá rẻ, VPS đa người dùng, đến máy chủ phòng lab trong trường học đều có thể bị ảnh hưởng.
• Kẻ tấn công chỉ cần quyền truy cập shell cơ bản là có thể quét và lấy dữ liệu nhạy cảm của người khác.
• Rủi ro bao gồm: mất dữ liệu, bị chiếm quyền quản trị web/app, rò rỉ thông tin tài chính.

Các chuyên gia khuyến cáo​

• Nhà cung cấp dịch vụ: Cần cấu hình giới hạn xem tiến trình (dùng hidepid trong /proc), bảo mật thư mục /tmp, vá các lỗ hổng cấu hình web server.
• Người dùng: Tránh để lộ thông tin nhạy cảm trong lệnh (command-line arguments), xóa file tạm sau khi sử dụng.
• Cập nhật hệ thống: LiteSpeed và một số panel đã vá lỗi, cần nâng cấp ngay.

Bảo mật không chỉ dựa vào tường lửa hay phần mềm diệt virus, mà còn ở cách cấu hình và giám sát hệ thống hằng ngày. Với máy chủ Linux dùng chung, người quản trị cần thiết lập cơ chế cách ly tiến trình, hạn chế quyền truy cập, đồng thời xóa hoặc mã hóa thông tin nhạy cảm ngay sau khi sử dụng. Người dùng cũng nên thay đổi mật khẩu định kỳ, tránh lưu trữ khóa API hoặc thông tin đăng nhập ở dạng rõ trong các tập tin và lệnh chạy. Bởi trên môi trường chia sẻ, sự chủ quan của bạn có thể là cơ hội vàng cho kẻ tấn công.

Theo WhiteHat.vn​

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview