Cảnh báo bảo mật: Hai lỗ hổng nghiêm trọng trong Apache ZooKeeper có thể gây rò rỉ dữ liệu và mạo danh máy chủ

Các chuyên gia an ninh mạng vừa phát hiện hai lỗ hổng bảo mật quan trọng trong Apache ZooKeeper, một nền tảng mã nguồn mở được sử dụng rộng rãi để quản lý cấu hình, đồng bộ hóa và điều phối các dịch vụ trong hệ thống phân tán. Những lỗ hổng này có thể khiến dữ liệu nhạy cảm bị rò rỉ hoặc cho phép kẻ tấn công mạo danh máy chủ hợp lệ, từ đó làm suy yếu cơ chế bảo mật của hệ thống.

Hai lỗ hổng được định danh là CVE-2026-24308 và CVE-2026-24281, ảnh hưởng đến các phiên bản ZooKeeper từ 3.8.0 đến 3.8.5 và 3.9.0 đến 3.9.4. Các bản vá đã được phát hành trong phiên bản 3.8.6 và 3.9.5.

Apache ZooKeeper là gì và vì sao quan trọng?

Apache ZooKeeper là một hệ thống điều phối phân tán được phát triển bởi Apache Software Foundation. Nền tảng này được sử dụng để quản lý cấu hình, đồng bộ hóa trạng thái và cung cấp dịch vụ điều phối cho nhiều ứng dụng phân tán quy mô lớn.

ZooKeeper thường xuất hiện trong các hệ thống như:

• hệ thống Big Data và phân tích dữ liệu

• nền tảng microservices

• các cụm Apache Kafka, Hadoop hoặc HBase

• các hệ thống cluster có tính sẵn sàng cao (high availability)

Vì đóng vai trò trung tâm trong việc điều phối dịch vụ, bất kỳ lỗ hổng nào trong ZooKeeper cũng có thể ảnh hưởng trực tiếp đến toàn bộ hạ tầng hệ thống.

Chi tiết hai lỗ hổng bảo mật

1. CVE-2026-24308 - Lộ thông tin cấu hình nhạy cảm trong log

Lỗ hổng CVE-2026-24308 liên quan đến việc xử lý không đúng các giá trị cấu hình trong thành phần ZKConfig của ZooKeeper.

Trong các phiên bản bị ảnh hưởng, một số thông tin cấu hình nhạy cảm của client có thể bị ghi vào file log ở mức INFO, khiến dữ liệu này dễ bị truy cập nếu log bị lộ hoặc bị đọc trái phép.

Các thông tin có thể bị ghi vào log bao gồm:

• thông tin cấu hình hệ thống

• thông tin xác thực hoặc khóa truy cập

• dữ liệu cấu hình của client

  
  

Điều này tạo ra nguy cơ rằng bất kỳ ai có quyền đọc file log cũng có thể thu thập dữ liệu nhạy cảm, từ đó thực hiện các cuộc tấn công tiếp theo như đánh cắp thông tin hoặc xâm nhập hệ thống.

Theo đánh giá bảo mật, lỗ hổng này có điểm CVSS khoảng 7.5 (mức cao) vì có khả năng làm lộ thông tin quan trọng trong môi trường production.

2. CVE-2026-24281 - Nguy cơ mạo danh máy chủ thông qua reverse DNS

Lỗ hổng thứ hai CVE-2026-24281 liên quan đến cơ chế xác thực hostname trong thành phần ZKTrustManager.

Trong quá trình xác minh danh tính máy chủ, ZooKeeper thường kiểm tra Subject Alternative Name (SAN) trong chứng chỉ TLS. Tuy nhiên, khi việc xác thực này thất bại, hệ thống có thể chuyển sang sử dụng reverse DNS (bản ghi PTR) để kiểm tra hostname.

Nếu kẻ tấn công kiểm soát hoặc giả mạo bản ghi PTR, họ có thể mạo danh một máy chủ hoặc client hợp lệ, đặc biệt khi sở hữu chứng chỉ được hệ thống tin cậy.

Dù việc khai thác lỗ hổng này yêu cầu điều kiện phức tạp hơn (phải có chứng chỉ hợp lệ), nhưng trong các môi trường có hạ tầng lớn hoặc khi chứng chỉ bị rò rỉ, rủi ro vẫn rất đáng lo ngại.

Phiên bản bị ảnh hưởng

Hai lỗ hổng trên ảnh hưởng đến cùng một nhóm phiên bản:

Các bản vá không chỉ sửa lỗi mà còn bổ sung tùy chọn cấu hình mới cho phép vô hiệu hóa reverse DNS lookup, giúp ngăn chặn nguy cơ tấn công mạo danh trong tương lai.

Rủi ro đối với doanh nghiệp

Do ZooKeeper thường đóng vai trò thành phần cốt lõi trong hạ tầng phân tán, việc khai thác các lỗ hổng này có thể dẫn đến nhiều hậu quả nghiêm trọng như:

• rò rỉ thông tin cấu hình hoặc thông tin xác thực

• mạo danh máy chủ trong hệ thống phân tán

• xâm nhập vào các cluster dữ liệu quan trọng

• làm suy yếu cơ chế bảo mật trong môi trường production

Đặc biệt trong các hệ thống Big Data hoặc microservices, ZooKeeper thường được tích hợp sâu vào kiến trúc hạ tầng, nên việc khai thác thành công có thể ảnh hưởng đến nhiều dịch vụ cùng lúc.

Khuyến nghị bảo mật

Các tổ chức và doanh nghiệp đang sử dụng Apache ZooKeeper nên thực hiện ngay các biện pháp sau:

Nguồn tham khảo: AdSecVN, VPN Central