404 Not Found
Writer
Red Hat – nhà cung cấp phần mềm mã nguồn mở doanh nghiệp hàng đầu thế giới, vừa xác nhận một sự cố an ninh mạng nghiêm trọng sau khi nhóm tin tặc Crimson Collective tuyên bố đã đánh cắp khoảng 570GB dữ liệu từ hơn 28.000 kho lưu trữ riêng tư trên GitHub. Đây được xem là một trong những vụ rò rỉ mã nguồn lớn nhất trong lịch sử an ninh mạng gần đây.
Theo thông báo chính thức, vụ tấn công nhắm vào hệ thống GitLab nội bộ do đội ngũ Red Hat Consulting sử dụng trong các dự án hợp tác với khách hàng. Đối tượng tấn công đã xâm nhập và sao chép dữ liệu nhạy cảm trước khi bị phát hiện. Ngay sau đó, Red Hat đã tiến hành điều tra toàn diện, thu hồi quyền truy cập trái phép, cô lập máy chủ bị ảnh hưởng và liên hệ với cơ quan thực thi pháp luật.
Dữ liệu bị đánh cắp được cho là bao gồm nhiều tài sản kỹ thuật quan trọng như bí mật CI/CD, tệp cấu hình pipeline, hồ sơ kết nối VPN, bản thiết kế hạ tầng, kịch bản tự động hóa Ansible, hướng dẫn triển khai OpenShift, cấu hình registry cho container và thông tin tích hợp Vault. Những thành phần này nếu bị lợi dụng có thể mở đường cho các cuộc tấn công chuỗi cung ứng, gây ảnh hưởng sâu rộng đến hệ sinh thái khách hàng của Red Hat.
Các nhà nghiên cứu bảo mật cho biết dữ liệu rò rỉ có nhắc đến hàng nghìn tổ chức thuộc nhiều lĩnh vực trọng yếu, từ tài chính với những cái tên lớn như Citi, JPMC, HSBC đến viễn thông như Verizon, Telefonica, công nghiệp như Siemens, Bosch và cả cơ quan chính phủ như Thượng viện Mỹ. Sự hiện diện của khóa SSH, token API và chuỗi kết nối cơ sở dữ liệu trong tập dữ liệu bị lộ càng làm gia tăng nguy cơ tin tặc khai thác để xâm nhập vào hệ thống của khách hàng.
Đáng lo ngại hơn, các tệp cấu hình registry container và bản mô tả triển khai Kubernetes có thể cung cấp cho tin tặc bản đồ chi tiết để tấn công hạ tầng điện toán đám mây. Các chuyên gia bảo mật đặc biệt chú ý đến các pipeline CI/CD vì đây thường là nơi chứa quyền hạn cao, đóng vai trò trọng yếu trong triển khai và quản trị phần mềm doanh nghiệp.
Red Hat khẳng định đã triển khai thêm nhiều biện pháp bảo mật bổ sung để ngăn chặn các truy cập trái phép khác. Kết quả phân tích ban đầu cho thấy sự cố chưa ảnh hưởng đến chuỗi cung ứng phần mềm chính thức hay các kênh phân phối sản phẩm của hãng. Tuy vậy, Red Hat vẫn đang tiến hành điều tra pháp y để xác định toàn bộ phạm vi tác động và sẽ trực tiếp thông báo cho những khách hàng Red Hat Consulting bị ảnh hưởng.
Sự cố này không liên quan đến lỗ hổng CVE-2025-10725 được công bố gần đây trong dịch vụ Red Hat OpenShift AI. Tuy nhiên nó một lần nữa gióng lên hồi chuông cảnh báo về rủi ro từ các cuộc tấn công chuỗi cung ứng, mối đe dọa ngày càng hiện hữu trong bối cảnh doanh nghiệp phụ thuộc sâu vào các nền tảng DevOps và hạ tầng mã nguồn mở.
Theo thông báo chính thức, vụ tấn công nhắm vào hệ thống GitLab nội bộ do đội ngũ Red Hat Consulting sử dụng trong các dự án hợp tác với khách hàng. Đối tượng tấn công đã xâm nhập và sao chép dữ liệu nhạy cảm trước khi bị phát hiện. Ngay sau đó, Red Hat đã tiến hành điều tra toàn diện, thu hồi quyền truy cập trái phép, cô lập máy chủ bị ảnh hưởng và liên hệ với cơ quan thực thi pháp luật.
Dữ liệu bị đánh cắp được cho là bao gồm nhiều tài sản kỹ thuật quan trọng như bí mật CI/CD, tệp cấu hình pipeline, hồ sơ kết nối VPN, bản thiết kế hạ tầng, kịch bản tự động hóa Ansible, hướng dẫn triển khai OpenShift, cấu hình registry cho container và thông tin tích hợp Vault. Những thành phần này nếu bị lợi dụng có thể mở đường cho các cuộc tấn công chuỗi cung ứng, gây ảnh hưởng sâu rộng đến hệ sinh thái khách hàng của Red Hat.
Các nhà nghiên cứu bảo mật cho biết dữ liệu rò rỉ có nhắc đến hàng nghìn tổ chức thuộc nhiều lĩnh vực trọng yếu, từ tài chính với những cái tên lớn như Citi, JPMC, HSBC đến viễn thông như Verizon, Telefonica, công nghiệp như Siemens, Bosch và cả cơ quan chính phủ như Thượng viện Mỹ. Sự hiện diện của khóa SSH, token API và chuỗi kết nối cơ sở dữ liệu trong tập dữ liệu bị lộ càng làm gia tăng nguy cơ tin tặc khai thác để xâm nhập vào hệ thống của khách hàng.
Đáng lo ngại hơn, các tệp cấu hình registry container và bản mô tả triển khai Kubernetes có thể cung cấp cho tin tặc bản đồ chi tiết để tấn công hạ tầng điện toán đám mây. Các chuyên gia bảo mật đặc biệt chú ý đến các pipeline CI/CD vì đây thường là nơi chứa quyền hạn cao, đóng vai trò trọng yếu trong triển khai và quản trị phần mềm doanh nghiệp.
Red Hat khẳng định đã triển khai thêm nhiều biện pháp bảo mật bổ sung để ngăn chặn các truy cập trái phép khác. Kết quả phân tích ban đầu cho thấy sự cố chưa ảnh hưởng đến chuỗi cung ứng phần mềm chính thức hay các kênh phân phối sản phẩm của hãng. Tuy vậy, Red Hat vẫn đang tiến hành điều tra pháp y để xác định toàn bộ phạm vi tác động và sẽ trực tiếp thông báo cho những khách hàng Red Hat Consulting bị ảnh hưởng.
Sự cố này không liên quan đến lỗ hổng CVE-2025-10725 được công bố gần đây trong dịch vụ Red Hat OpenShift AI. Tuy nhiên nó một lần nữa gióng lên hồi chuông cảnh báo về rủi ro từ các cuộc tấn công chuỗi cung ứng, mối đe dọa ngày càng hiện hữu trong bối cảnh doanh nghiệp phụ thuộc sâu vào các nền tảng DevOps và hạ tầng mã nguồn mở.
WhiteHat
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview