Lỗ hổng thực thi mã từ xa (RCE) mà AMD tuyên bố sẽ không sửa

 (mrbruh.com)
1 điểm bởi GN⁺ 2026-02-07 | 1 bình luận | Chia sẻ qua WhatsApp
  • Một lỗ hổng thực thi mã từ xa (RCE) đã được phát hiện và báo cáo trong phần mềm AutoUpdate của AMD, nhưng AMD đã quyết định không khắc phục
  • URL được lưu trong tệp cấu hình cập nhật sử dụng giao thức HTTP để tải tệp thực thi, khiến nó dễ bị MITM (tấn công xen giữa)
  • Phần mềm được thiết kế theo cách thực thi ngay mà không xác minh chữ ký của tệp đã tải xuống
  • AMD phân loại vấn đề này là “ngoài phạm vi (out of scope)” và không công nhận đây là lỗ hổng bảo mật
  • Dù tồn tại nguy cơ kẻ tấn công trên mạng có thể phát tán tệp thực thi độc hại, việc không cung cấp bản vá đã làm dấy lên lo ngại về bảo mật

Quá trình phát hiện lỗ hổng RCE của AMD AutoUpdate

  • Trong lúc lần theo nguyên nhân của cửa sổ console xuất hiện định kỳ trên một PC gaming mới, đã xác nhận thủ phạm là tệp thực thi AMD AutoUpdate
  • Trong quá trình decompile chương trình, một lỗ hổng RCE đã được phát hiện tình cờ
  • URL cập nhật được lưu trong tệp app.config, và ngay cả trong môi trường production cũng đang dùng URL dành cho Development
  • URL đó dùng HTTPS, nhưng các liên kết tải tệp thực thi thực tế lại là HTTP

Vấn đề kỹ thuật của lỗ hổng

  • Vì tải tệp thực thi qua HTTP, kẻ tấn công trong cùng mạng hoặc ở cấp độ ISP có thể thao túng phản hồi để thay thế bằng tệp độc hại
  • Chương trình AutoUpdate không thực hiện xác minh chứng chỉ hoặc chữ ký của tệp đã tải xuống
  • Kết quả là kẻ tấn công có thể phát tán tệp thực thi tùy ý và chương trình có thể thực thi nó ngay lập tức

Phản hồi của AMD và kết quả báo cáo

  • Sau khi phát hiện lỗ hổng, vấn đề đã được báo cho AMD, nhưng bị phân loại là “không sửa (won’t fix)”“ngoài phạm vi (out of scope)”, rồi khép lại
  • AMD không coi lỗ hổng này là vấn đề bảo mật
  • Lịch trình báo cáo và công bố như sau
    • 27/01/2026: Phát hiện lỗ hổng
    • 05/02/2026: Báo cho AMD
    • 05/02/2026: Đóng với trạng thái “won’t fix/out of scope”
    • 06/02/2026: Đăng bài blog

Hàm ý về bảo mật

  • Cấu trúc cập nhật dựa trên HTTP và việc thiếu xác minh chữ ký có thể khiến hệ thống người dùng bị phơi bày trước các cuộc tấn công thực thi mã từ xa
  • Quyết định không sửa vấn đề này của AMD hàm chứa khả năng gây tranh cãi trong cộng đồng bảo mật
  • Nếu tồn tại kẻ tấn công trên mạng, có nguy cơ bị lợi dụng làm kênh phát tán mã độc

Bài viết liên quan

1 bình luận

 
GN⁺ 2026-02-07
Ý kiến trên Hacker News

  • Một lý do Linux tốt vì đóng gói sẵn mọi driver là bạn không cần cài phần mềm quản lý driver chất lượng kém hoặc kiểu spyware
    Những chương trình như vậy rất khó sandbox và tiềm ẩn rủi ro bảo mật
    Điều thú vị là các maintainer bản phân phối làm việc miễn phí dường như còn thành thạo bảo mật hơn nhiều so với các nhà cung cấp phần cứng trị giá hàng tỷ đô

    • Không phải các nhà cung cấp phần cứng bất tài về bảo mật, chỉ là ưu tiên của họ khác
      Maintainer bản phân phối coi trọng bảo mật, còn nhà cung cấp thì ưu tiên tung ra thế hệ phần cứng tiếp theo thật nhanh
      Rốt cuộc hai nhóm đang theo đuổi những mục tiêu khác nhau
    • Tôi nghĩ chất lượng này được duy trì nhờ tổ chức mà Linus tạo ra và vô số người đóng góp tham gia vào đó
      Có một số ít người có ảnh hưởng đang lặng lẽ làm việc tốt
      Việc họ không xuất hiện trên tin tức là dấu hiệu cho thấy họ mới là những người thật sự giỏi
    • Ryzen Master không phải là driver
      Phần lớn tính năng của nó không dùng được trên Linux
    • Chưa rõ vấn đề trong bài gốc có phải là chuyện chỉ liên quan đến Windows hay không
    • Dạo này các nhà cung cấp đang chuyển sang mô hình chạy web server cục bộ rồi điều khiển phần cứng qua trình duyệt, nghe như một ý tưởng bảo mật tồi tệ

  • Tôi chặn toàn bộ lưu lượng HTTP
    Không chỉ AMD mà cả Gigabyte, ASUS v.v. cũng bị lỗi cập nhật tự động nếu không có truy cập HTTP
    Chuỗi thảo luận Reddit liên quan cũng đề cập vấn đề này
    Các yêu cầu HTTP không mã hóa vừa làm lộ quyền riêng tư vừa là vector tấn công MITM tiềm tàng
    Stack TLS là mục tiêu khó bị tấn công hơn nhiều

    • Nếu payload đã được ký thì mức độ tin cậy với HTTP hay HTTPS cũng tương tự nhau
      Suy cho cùng, bạn đang tin vào mã xác minh chữ ký ở phía client, điều này không khác mấy với việc tin GPG
    • Nhưng làm vậy thì chẳng phải sẽ làm hỏng tra cứu CRL hoặc OCSP sao?
    • Nhiều kho gói Linux vẫn chỉ dùng HTTP
      Tuy tiện cho việc theo dõi phiên bản gói đã cài, nhưng xét về bảo mật thì vẫn đáng lo

  • Đây thật sự là vấn đề nghiêm trọng
    Có thể dẫn tới thực thi mã tùy ý thông qua HTTP redirect, và loại chương trình này đang được cài trên vô số PC
    Chỉ cần mở một điểm phát Wi-Fi ở sân bay là đã có thể nhắm ngay vào người dùng card đồ họa ATI

    • Ở nước tôi làm trò này là bị bắt
      Xem ra luật pháp là biện pháp phòng ngừa duy nhất
    • Dĩ nhiên là tệ thật, nhưng chuyện này chỉ hoạt động khi có bản cập nhật
      Nghĩa là chỉ xảy ra khi bạn kết nối vào hotspot nguy hiểm mà không có VPN, AMD vừa phát hành cập nhật gần đây, và scheduler đúng lúc chạy
    • Ai lại đi kết nối vào hotspot của người lạ chứ?
      Nhưng nếu ISP địa phương có ý đồ xấu thì việc tấn công sẽ dễ hơn nhiều
    • Tôi luôn tắt tự động cập nhật
      Từ thời Win98 tôi đã thấy tự động cập nhật là tính năng ngu ngốc nhất

  • Chỉ cần đầu độc DNS một lần là có thể tấn công
    Ví dụ, nếu router bị hack và trả về IP sai thì có thể chèn binary độc hại vào lưu lượng HTTP
    HTTPS vẫn sẽ đi qua bình thường, nhưng HTTP thì dễ bị tổn thương
    Ai còn giữ nguyên mật khẩu quản trị mặc định thì nên đổi ngay bây giờ
    Kẻ tấn công cũng có thể làm điều tương tự bằng DHCP spoofing hoặc Wi-Fi giả

    • Rất dễ dùng SSID spoofing hoặc gây nhiễu sóng để buộc người dùng kết nối vào Wi-Fi độc hại
    • Chỉ cần gửi phản hồi DNS trước là đã có thể tấn công

  • Khó hiểu vì sao AMD lại từ chối với lý do vấn đề này nằm ngoài phạm vi bug bounty
    Chỉ cần mất một khách hàng thôi có khi còn thiệt hại hơn tiền bounty, nên lấy tài liệu phạm vi làm cớ để phớt lờ bảo mật là phát tín hiệu rất sai
    Thái độ này sẽ khiến hacker về sau không muốn báo cáo cho AMD nữa

    • Thực ra AMD đã được nhắc về vấn đề này nhiều lần
      Vì vậy kể cả có nằm trong phạm vi thì việc được thưởng cũng thấy hơi lạ

  • Đây không phải lỗi sơ suất đơn thuần mà là thất bại của quy trình tiếp nhận báo cáo bảo mật
    Đến mức các bộ phận bảo mật doanh nghiệp lớn có thể phải bàn xem có nên cấm phần cứng AMD hoặc ứng dụng cập nhật của họ hay không
    Nếu được đăng ký thành CVE thì đây là vụ việc đủ lớn để lên tin
    Kẻ tấn công có thể theo dõi lưu lượng HTTP trên Wi-Fi công cộng hoặc tại ISP để lây nhiễm file thực thi

    • Ai cũng có thể yêu cầu CVE, nên đây có thể rốt cuộc là con đường duy nhất dẫn tới bản vá

  • AMD không nói đây không phải lỗ hổng, mà chỉ nói nó nằm ngoài phạm vi bug bounty

    • Nhưng phớt lờ một lỗ hổng cho phép leo thang đặc quyền từ xa thì không có gì để bào chữa
      Với kẻ tấn công thì không tồn tại khái niệm “ngoài phạm vi”, nhưng AMD lại lấy đó làm chính sách
      Đây rõ ràng là một chính sách vô trách nhiệm về bảo mật
    • Đến mức người ta có thể nói chính tài liệu phạm vi của AMD mới là bug

  • Đây là lỗ hổng rất nghiêm trọng
    Không nên xem nhẹ chỉ vì “cần MitM”
    Bản thân Internet vốn đã là một môi trường MitM

    • Thực tế thậm chí còn không cần MitM
      Chỉ cần DHCP server độc hại thao túng DNS là đã có thể tấn công

  • AMD đóng báo cáo chỉ sau một ngày với nhãn “out of scope / won't fix” là quá vội
    Điều đó có thể chỉ mang nghĩa là nó không thuộc kênh bug bounty, chứ chưa chắc thật sự là họ sẽ không sửa

  • Trên PC của tôi, AMD AutoUpdate terminal cứ hiện lên mỗi ngày vào nửa đêm và tôi phải tự đóng nó
    Giờ thì đã có thêm lý do để chặn hẳn và quay về cập nhật thủ công

    • À, ra đó là cái cửa sổ đó! Tôi đã mất mấy ngày để tìm xem nó là gì
    • Hồi còn dùng Windows, cửa sổ console đó từng bị treo hàng giờ
      Cuối cùng nếu đóng nó thì đến lần khởi động sau driver lại biến mất và phải cài lại
      Đó là chương trình tự động cập nhật tệ nhất mà tôi từng dùng