Vụ tấn công Vercel: Lỗ hổng OAuth và rủi ro từ công cụ AI bên thứ ba

Vercel, nền tảng đám mây nổi tiếng đứng sau Next.js và hàng triệu lượt tải xuống npm hàng tuần, mới đây đã xác nhận tin tặc đã truy cập trái phép vào hệ thống nội bộ của họ. Sự việc bộc lộ một lỗ hổng bảo mật nghiêm trọng liên quan đến OAuth và các công cụ AI bên thứ ba mà nhiều đội ngũ an ninh hiện nay khó có thể phát hiện hoặc kiểm soát.

Theo thông báo từ Vercel, cuộc tấn công bắt nguồn từ việc một nhân viên của họ đã cài đặt tiện ích mở rộng trình duyệt của Context.ai và đăng nhập bằng tài khoản Google Workspace của công ty. Điều này đã cấp cho tiện ích đó các quyền hạn rộng rãi qua OAuth. Khi Context.ai bị tấn công, kẻ xấu đã thừa hưởng quyền truy cập Workspace của nhân viên Vercel, từ đó xâm nhập vào môi trường của Vercel và leo thang đặc quyền.

Chuỗi tấn công phức tạp từ Infostealer

Theo phân tích của Hudson Rock, nguồn gốc của vụ việc bắt đầu từ tháng 2 năm 2026, khi một nhân viên của Context.ai bị nhiễm mã độc Lumma Stealer sau khi tải các kịch bản cheat cho game Roblox. Từ thiết bị bị nhiễm này, tin tặc đã thu thập được thông tin đăng nhập Google Workspace, cũng như các khóa API quan trọng của Supabase, Datadog và Authkit.

Mặc dù Context.ai đã phát hiện việc truy cập trái phép vào môi trường AWS của mình vào tháng 3 và thuê CrowdStrike điều tra, nhưng phạm vi ảnh hưởng đã bị đánh giá thấp. Kẻ tấn công không chỉ chiếm đoạt quyền truy cập AWS mà còn đánh cắp các token OAuth của người dùng tiêu dùng. Một trong những token này chính là "chìa khóa" mở cửa vào Google Workspace của Vercel.

Bốn bước trong chuỗi tấn công mà hệ thống phát hiện bị "mù"

Để hiểu rõ hơn về sự thất bại trong việc phát hiện mối đe dọa này, chúng ta có thể phân tích chuỗi tấn công qua 4 bước:

1. Infostealer trên thiết bị nhân viên: Nhân viên Context.ai tải script cheat Roblox, dẫn đến nhiễm Lumma Stealer. Hầu hết các doanh nghiệp không theo dõi nhật ký của phần mềm đánh cắp thông tin hay tương tác dữ liệu này với tên miền email nhân viên.
2. Xâm nhập AWS tại Context.ai: Tin tặc sử dụng thông tin đăng nhập bị đánh cắp để truy cập AWS. Context.ai đã chặn truy cập nhưng bỏ sót việc đánh cắp token OAuth.
3. Đánh cắp token OAuth vào Vercel Workspace: Token bị đánh cắp được sử dụng để truy cập tài khoản Google Workspace của nhân viên Vercel. Nhân viên này đã cấp quyền "Cho phép tất cả" (Allow All) qua tiện ích Chrome. Rất ít tổ chức có quy trình phê duyệt hoặc phát hiện bất thường trên việc sử dụng token OAuth từ bên thứ ba.
4. Di chuyển ngang vào môi trường sản xuất Vercel: Tin tặc liệt kê các biến môi trường (environment variables) không được đánh dấu là "nhạy cảm" (sensitive). Các biến này có thể truy cập dưới dạng văn bản thuần túy (plaintext) qua dashboard và API, trở thành con đường leo thang đặc quyền của tin tặc.

Sáu thất bại trong quản trị bảo mật

Vụ việc trên Vercel đã phơi bày sáu thất bại quản trị nghiêm trọng mà các giám đốc an ninh cần lưu ý:

1. Phạm vi OAuth của công cụ AI không được kiểm toán: Một nhân viên Vercel đã cấp quyền "Allow All" cho tài khoản công ty. Hầu hết các đội ngũ bảo mật không có danh sách kiểm kê các công cụ AI mà nhân viên đã cấp quyền truy cập OAuth.
2. Phân loại biến môi trường đóng vai trò then chốt: Vercel phân biệt biến "nhạy cảm" (không thể đọc được) và biến thường (có thể đọc được). Tin tặc đã khai thác các biến thường để leo thang. Hiện tại, Vercel đã thay đổi mặc định để các biến môi trường mới đều ở chế độ "nhạy cảm".
3. Chuỗi leo thang từ Infostealer đến SaaS và chuỗi cung ứng thiếu lớp bảo vệ: Chuỗi tấn công này vượt qua bốn ranh giới tổ chức mà không một lớp phát hiện đơn lẻ nào bao quát hết.
4. Thời gian thông báo từ nhà cung cấp quá dài: Có gần một tháng giữa lúc Context.ai phát hiện xâm nhập và lúc Vercel công bố. Các CISO cần xem xét lại các điều khoản hợp đồng về thời gian thông báo.
5. Công cụ AI bên thứ ba là Shadow IT mới: Context.ai được mô tả là một công cụ AI nhỏ. Việc nhân viên tự ý sử dụng các công cụ này (Shadow AI) đang tạo ra những lỗ hổng khổng lồ.
6. Tin tặc sử dụng AI tăng tốc tấn công: CEO Guillermo Rauch nhận định kẻ tấn công "được tăng tốc đáng kể bởi AI", nén thời gian từ lúc truy cập đến leo thang đặc quyền rất nhanh.

Kế hoạch hành động cho Giám đốc An ninh

Để đối phó với các mối đe dọa tương tự, các chuyên gia khuyến nghị các hành động sau:

• Quản trị OAuth: Kiểm kê mọi quyền cấp OAuth cho công cụ AI trong toàn tổ chức. Thu hồi các quyền vượt quá mức cần thiết.
• Phân loại biến môi trường: Mặc định các biến ở chế độ không thể đọc được. Yêu cầu xác nhận của bảo mật để hạ cấp mức độ bảo mật của biến.
• Tình báo Infostealer: Tương quan nguồn cấp dữ liệu tình báo về infostealer với tên miền email nhân viên và tự động xoay vòng thông tin đăng nhập khi chúng xuất hiện trong nhật ký của tin tặc.
• Giảm thiểu Shadow AI: Mở rộng phát hiện Shadow IT sang các nền tảng tác nhân AI. Xử lý việc sử dụng trái phép như một sự kiện bảo mật.

Kiểm tra IoC ngay hôm nay

Các quản trị viên Google Workspace được khuyến cáo kiểm tra ngay hai ID ứng dụng OAuth sau trong bảng điều khiển quản trị (Security > API Controls > Manage Third-Party App Access):

1. 110671459871-30f1spbu0hptbs60cb4vsmv79i7bbvqj.apps.googleusercontent.com (Liên quan đến Context.ai Office Suite).
2. 110671459871-f3cq3okebd3jcg1lllmroqejdbka8cqq.apps.googleusercontent.com (Liên quan đến tiện ích Chrome của Context.ai, có quyền đọc Google Drive).

Nếu bất kỳ ứng dụng nào trong số này chạm vào môi trường của bạn, bạn có thể nằm trong phạm vi ảnh hưởng, bất kể Vercel công bố gì tiếp theo.

Vụ việc Vercel là một bằng chứng điển hình cho thấy các tích hợp OAuth của tác nhân AI đang tạo ra một lớp lỗ hổng mới mà hầu hết các chương trình bảo mật doanh nghiệp hiện nay chưa thể phát hiện hoặc ngăn chặn. Một lần tải xuống cheat game đơn giản có thể dẫn đến việc truy cập hạ tầng sản xuất chỉ sau vài tháng, mà không cần đến bất kỳ lỗ hổng zero-day nào.