CVE-2026-24072: Lỗ hổng leo thang đặc quyền trong Apache mod_rewrite (ap_expr) - Cần update lên 2.4.67

Mục lục

Tóm tắt nhanh

Apache HTTP Server vừa công bố lỗ hổng CVE-2026-24072 trong module mod_rewrite liên quan đến thành phần ap_expr. Lỗ hổng cho phép người viết file .htaccess trên hệ thống chia sẻ (shared hosting) leo thang đặc quyền và đọc các file thuộc tiến trình httpd (thường là user nobody, apache hoặc www-data).

  • Mã CVE: CVE-2026-24072
  • Loại lỗi: CWE-269 - Improper Privilege Management
  • Mức độ: Moderate (trung bình)
  • Phiên bản bị ảnh hưởng: Apache HTTP Server 2.4.66 trở về trước
  • Phiên bản đã fix: Apache HTTP Server 2.4.67 (phát hành 04/05/2026)
  • Báo cáo gốc: 20/01/2026, fix bằng commit r1933350

Lỗ hổng này là gì?

Trong môi trường shared hosting, mỗi khách hàng có một thư mục riêng và được phép tạo file .htaccess để cấu hình lại Apache trong phạm vi của mình - rewrite URL, set header, redirect, v.v. Đây là tính năng cốt lõi giúp WordPress, Laravel, các CMS chạy được trên shared hosting mà không cần đụng tới cấu hình root.

mod_rewrite hỗ trợ một loại "biểu thức điều kiện" thông qua ap_expr, cho phép viết các RewriteCond phức tạp như:

RewriteCond expr "%{REQUEST_URI} =~ /admin/ && -f %{DOCUMENT_ROOT}/auth"

Vấn đề: một số hàm trong ap_expr được Apache đánh giá với quyền của tiến trình httpd, không phải quyền của user sở hữu .htaccess. Kẻ tấn công có quyền viết .htaccess (tức bất kỳ khách hàng shared hosting nào) có thể tạo điều kiện rewrite gọi tới các hàm như file(), filemod() hoặc đọc biến môi trường để truy cập file lẽ ra phải nằm ngoài tầm với - ví dụ file của user khác cùng server, hoặc file cấu hình hệ thống mà httpd đọc được.

Ai bị ảnh hưởng?

Bất kỳ ai vận hành Apache HTTP Server 2.4.66 hoặc cũ hơn, đặc biệt là các kịch bản:

  • Shared hosting dùng cPanel/WHM, DirectAdmin, Plesk - nơi nhiều khách hàng cùng chạy chung một tiến trình Apache.
  • VPS/Dedicated tự cài Apache cho nhiều subdomain hoặc nhiều user.
  • Server cho phép user upload file .htaccess qua FTP/SFTP/file manager.

Nếu bạn đang chạy Apache đứng sau Cloudflare hay nginx reverse proxy, lỗ hổng này vẫn áp dụng vì attacker khai thác qua .htaccess chứ không phải qua HTTP request.

Mức độ nguy hiểm thực tế

Đây không phải lỗ hổng RCE remote. Để khai thác, attacker phải có khả năng ghi file .htaccess trên server - tức là phải đã có tài khoản hosting hợp pháp hoặc đã chiếm được tài khoản của ai đó (qua password yếu, plugin WordPress lỗi, v.v.). Vì vậy Apache xếp mức Moderate.

Tuy nhiên với shared hosting, đây là kịch bản rất thực tế: chỉ cần một khách hàng dùng theme/plugin null hoặc bị brute force, attacker có thể nhảy ra đọc dữ liệu của các site khác cùng server. Với hosting cho doanh nghiệp, rò rỉ file wp-config.php của khách khác là sự cố nghiêm trọng.

Cách khắc phục

1. Nâng cấp Apache lên 2.4.67

Đây là cách dứt điểm. Bản 2.4.67 đã được Apache phát hành ngày 04/05/2026, vá CVE-2026-24072 và một loạt lỗi khác trong mod_proxy_ajp, mod_http2.

Trên CentOS/RHEL/AlmaLinux/Rocky:

yum update httpd
systemctl restart httpd

Trên Ubuntu/Debian:

apt update && apt upgrade apache2
systemctl restart apache2

Trên cPanel/WHM, chạy:

/scripts/easyapache --update
/scripts/upcp --force

Kiểm tra lại phiên bản:

httpd -v
# hoặc
apache2 -v

2. Workaround tạm thời nếu chưa update được

Nếu vì lý do tương thích chưa thể nâng cấp ngay, có thể giảm rủi ro bằng cách hạn chế directive cho phép trong .htaccess. Trong httpd.conf hoặc trong tương ứng, đặt:


    AllowOverride FileInfo Indexes Limit Options=Indexes,SymLinksIfOwnerMatch

Cấu hình trên loại AllowOverride All nhưng vẫn cho phép WordPress, Laravel hoạt động. Cẩn thận test trước khi áp dụng đại trà.

3. Audit log và file .htaccess

Quét toàn bộ server tìm .htaccess chứa RewriteCond expr bất thường:

find /home -name ".htaccess" -exec grep -l "RewriteCond expr" {} \;

Nếu phát hiện rule lạ, cô lập user đó và kiểm tra access log từ thời điểm file được tạo.

TND.vn đã làm gì?

Toàn bộ hệ thống shared hosting và VPS managed của TND.vn đã được rà soát và lên kế hoạch cập nhật Apache 2.4.67 trong cửa sổ bảo trì gần nhất. Khách hàng dùng VPS unmanaged hoặc dedicated server tự quản nên chủ động kiểm tra và cập nhật theo hướng dẫn ở trên.

Nếu cần hỗ trợ kiểm tra phiên bản Apache trên VPS đang thuê, hoặc muốn được TND xử lý giúp, liên hệ team kỹ thuật qua ticket trong khu vực khách hàng.

Kết

CVE-2026-24072 không phải lỗ hổng "world-ending" nhưng đáng để xử lý sớm, đặc biệt nếu bạn đang vận hành shared hosting hoặc cho phép nhiều user cùng đẩy file lên một server Apache. Nâng cấp lên 2.4.67 là việc nên làm trong tuần này.

Tham khảo: Apache HTTP Server 2.4 vulnerabilities, Vulnerability-Lookup CVE-2026-24072, cPanel Security Advisory.

Chia sẻ bài viết

Có thể bạn quan tâm

X
CVE-2026-24072: Lỗ hổng leo thang đặc quyền trong Apache mod_rewrite (ap_expr) - Cần update lên 2.4.67

Cung cấp dịch vụ hosting, VPS nhanh nhất Việt Nam

  • Phòng 1102 Tầng 11 toà nhà Akashi số 10 Lê Hồng Phong, Quận Ngô Quyền, Tp. Hải Phòng

    Trụ sở chính

  • [email protected]

    Hỗ trợ nhiệt tình

  • 1900.2031

    24/7