Phát hiện lỗ hổng RCE nghiêm trọng trên GitHub

Các chuyên gia an ninh mạng vừa công bố chi tiết về một lỗ hổng bảo mật đặc biệt nghiêm trọng ảnh hưởng đến GitHub.com và GitHub Enterprise Server. Lỗ hổng này cho phép người dùng có quyền xác thực thực thi mã từ xa (RCE) thông qua một lệnh git push duy nhất, đe dọa trực tiếp đến tính an toàn của hàng triệu kho mã nguồn toàn cầu.

Sự cố được đánh giá là một lời cảnh báo về rủi ro tiềm ẩn khi dữ liệu người dùng không được kiểm soát chặt chẽ trong các kiến trúc dịch vụ nội bộ phức tạp.

1. Diễn biến: Phản ứng thần tốc trước lỗ hổng “0-click”

Vấn đề được công ty bảo mật đám mây Wiz phát hiện và báo cáo vào ngày 04/03/2026. Đáng chú ý, GitHub đã chứng minh năng lực phản ứng sự cố cực nhanh khi triển khai bản vá cho GitHub.com chỉ trong vòng 2 giờ sau khi xác minh.

• Mã định danh: CVE-2026-3854.

• Điểm CVSS: 8.7 (Nghiêm trọng).

• Tình trạng: Đã có bản vá trên tất cả các phiên bản GitHub Enterprise Server (GHES) từ 3.14.25 đến 3.20.0 trở lên.

• Thực tế khai thác: Hiện chưa có bằng chứng cho thấy lỗ hổng này bị lợi dụng trong các cuộc tấn công thực tế trước khi công bố.

2. Cơ chế kỹ thuật: Command Injection qua “Push Options”

Lỗ hổng bắt nguồn từ việc thiếu sót trong khâu làm sạch dữ liệu (sanitization) đối với các giá trị “push option” do người dùng cung cấp trước khi đưa vào các tiêu đề dịch vụ nội bộ (internal service headers).

• Lỗi định dạng Header: Hệ thống sử dụng ký tự dấu chấm phẩy (;) làm dấu phân cách trong header nội bộ X-Stat. Do không lọc bỏ ký tự này trong đầu vào của người dùng, tin tặc có thể chèn thêm các trường siêu dữ liệu (metadata) độc hại.

• Chuỗi khai thác (Exploit Chain): Wiz đã trình diễn khả năng ghi đè môi trường xử lý lệnh push, vượt qua các lớp bảo vệ sandbox để thực thi mã tùy ý thông qua 3 bước:

  1. Chèn giá trị rails_env không thuộc môi trường production để thoát khỏi sandbox.

  2. Chèn custom_hooks_dir để điều hướng thư mục chứa hook theo ý muốn.

  3. Chèn repo_pre_receive_hooks kết hợp kỹ thuật Path Traversal để thực thi lệnh dưới quyền người dùng git.

3. Tác động hệ thống: Rủi ro rò rỉ xuyên Tenant (Cross-tenant)

Mặc dù GitHub Enterprise Server (GHES) và GitHub.com có cấu hình mặc định khác nhau, các nhà nghiên cứu từ Wiz đã chứng minh rằng tin tặc có thể lợi dụng cùng một cơ chế chèn Header để kích hoạt các tính năng độc hại trên cả hai nền tảng, phá vỡ ranh giới bảo mật vốn có.

• Đối với GitHub Enterprise Server (GHES): Lỗ hổng này mở ra cánh cửa cho tin tặc chiếm toàn quyền kiểm soát thực thể. Bằng cách thực thi mã dưới quyền người dùng git, kẻ tấn công không chỉ có quyền đọc/ghi tệp tin trên toàn hệ thống mà còn có thể can thiệp sâu vào cấu hình các dịch vụ nội bộ. Điều này đồng nghĩa với việc toàn bộ tài sản trí tuệ và bí mật công nghệ lưu trữ trên server doanh nghiệp đều nằm trong tầm kiểm soát của kẻ xấu.

• Đối với GitHub.com – Thảm họa rò rỉ xuyên Tenant: Đây là khía cạnh nguy hiểm nhất của lỗ hổng. Do GitHub.com vận hành trên kiến trúc đa người dùng (Multi-tenant) với hạ tầng backend và các nút lưu trữ dùng chung, việc chiếm được quyền thực thi mã (RCE) trên một node đơn lẻ sẽ tạo ra hiệu ứng domino. Tin tặc có thể vượt qua lớp cô lập logic giữa các tài khoản để tiếp cận dữ liệu của hàng triệu kho mã nguồn khác đang nằm trên cùng một node đó. Rủi ro này không phân biệt đối tượng, từ cá nhân nhỏ lẻ đến các tập đoàn lớn, tất cả đều có nguy cơ bị “đọc trộm” kho mã nguồn nếu nằm chung phân vùng lưu trữ với node bị tấn công.

• Quy mô ảnh hưởng diện rộng: Tại thời điểm công bố, ước tính có tới 88% các thực thể GitHub trên toàn cầu dính lỗ hổng này. Việc một lệnh git push đơn giản có thể dẫn đến khả năng phơi nhiễm dữ liệu quy mô lớn đã biến CVE-2026-3854 thành một trong những lỗ hổng có sức ảnh hưởng sâu rộng nhất trong lịch sử của nền tảng này.

Sự cố cho thấy lỗ hổng lớn nhất không nằm ở bên ngoài mà ở chính sự chủ quan nội bộ. Tin tặc đã lợi dụng việc dữ liệu không được bảo vệ chặt chẽ khi luân chuyển giữa các dịch vụ để tấn công sâu vào hệ thống.

4. Các hệ thống bị ảnh hưởng

Theo thông báo từ Giám đốc An ninh Thông tin (CISO) của GitHub, Alexis Wales, phạm vi tác động bao gồm:

• GitHub.com và GitHub Enterprise Cloud.

• GitHub Enterprise Cloud với Data Residency hoặc Enterprise Managed Users (EMU).

• GitHub Enterprise Server (tất cả phiên bản trước bản vá).

Khuyến nghị khẩn cấp từ các chuyên gia bảo mật

Trước tính chất nghiêm trọng của lỗ hổng CVE-2026-3854, các tổ chức sử dụng phiên bản tự vận hành (Self-hosted) và các đội ngũ phát triển cần thực hiện ngay các bước sau:

1. Cập nhật hạ tầng ngay lập tức

• Nâng cấp GHES: Các quản trị viên hệ thống cần ưu tiên cập nhật GitHub Enterprise Server lên các phiên bản đã được vá lỗi ngay lập tức để ngăn chặn nguy cơ thực thi mã từ xa.

• Xác nhận phiên bản: Đảm bảo hệ thống đang chạy các bản build từ 3.14.25, 3.15.20, 3.16.16, 3.17.13, 3.18.8, 3.19.4, hoặc 3.20.0 trở lên.

2. Rà soát kiến trúc dịch vụ (Dành cho đội ngũ kỹ thuật)

• Kiểm tra luồng dữ liệu (Input Flow): Kiểm soát chặt chẽ cách thức dữ liệu do người dùng điều khiển được chuyển qua các giao thức nội bộ, đặc biệt là nơi các cấu hình bảo mật quan trọng được trích xuất từ các định dạng dữ liệu dùng chung.

• Cô lập môi trường: Tăng cường cơ chế sandbox cho các quy trình xử lý lệnh Git để đảm bảo ngay cả khi có lỗ hổng injection, tin tặc cũng không thể thoát ra ngoài hệ thống chính.

Lưu ý: Sự cố này là minh chứng cho thấy sự chủ quan về các giả định dữ liệu giữa các dịch vụ viết bằng các ngôn ngữ khác nhau trong cùng một hệ thống có thể tạo ra bề mặt tấn công cực kỳ nguy hiểm. Duy trì việc cập nhật phần mềm định kỳ vẫn là “tấm khiên” hiệu quả nhất đối với mọi doanh nghiệp.