Diễn đàn trực tuyến nổi tiếng 4chan đã phải tạm ngừng hoạt động trong khoảng hai tuần sau khi bị một cuộc tấn công mạng nghiêm trọng thông qua lỗ hổng bảo mật liên quan đến việc tải lên file PDF. Cuộc tấn công này không chỉ khiến trang web bị sập mà còn dẫn đến việc rò rỉ dữ liệu nội bộ quan trọng, bao gồm mã nguồn và thông tin cá nhân của các quản trị viên.
Chi tiết vụ tấn công
Theo thông báo chính thức từ 4chan, vụ tấn công xảy ra vào chiều ngày 14 tháng 4 năm 2025, khi một hacker sử dụng địa chỉ IP từ Vương quốc Anh đã khai thác lỗ hổng trong một gói phần mềm lỗi thời trên máy chủ của 4chan thông qua việc tải lên một file PDF giả mạo. Với điểm truy cập này, kẻ tấn công cuối cùng đã có thể truy cập vào một trong các máy chủ của 4chan, bao gồm quyền truy cập cơ sở dữ liệu và bảng điều khiển quản trị.
Cuộc điều tra kỹ thuật cho thấy kẻ tấn công đã khai thác một lỗ hổng bảo mật nghiêm trọng trong cách 4chan xử lý file PDF. 4chan cho phép tải lên file PDF trên một số diễn đàn như /gd/, /po/, /qst/, /sci/ và /tg/, nhưng lại không xác minh rằng các file được tải lên thực sự là file PDF. Điều này cho phép kẻ tấn công tải lên file PostScript chứa các lệnh vẽ độc hại.
Cơ chế của cuộc tấn công
Khi file độc hại được tải lên như một file thông thường, hệ thống backend của 4chan (chạy Ghostscript) đã cố gắng xử lý file này. File độc hại kích hoạt thực thi mã từ xa (RCE) trên máy chủ backend, cho phép kẻ tấn công truy cập vào máy chủ. Một chi tiết quan trọng được phát hiện là phiên bản Ghostscript mà 4chan sử dụng có từ năm 2012, chứa đầy các lỗ hổng đã được biết đến.
Từ đó, kẻ tấn công đã sử dụng một binary SUID được cấu hình sai để nâng cao đặc quyền truy cập. Sau khi có quyền truy cập cao hơn, kẻ tấn công đã truy cập và lấy cắp dữ liệu nội bộ nhạy cảm của trang web.
Hậu quả của vụ tấn công
Kẻ tấn công đã dành nhiều giờ để trích xuất các bảng cơ sở dữ liệu và phần lớn mã nguồn của 4chan. Khi họ đã tải xuống những gì họ muốn, họ bắt đầu phá hoại 4chan, tại thời điểm đó các quản trị viên mới nhận ra và máy chủ của 4chan đã bị dừng lại, ngăn chặn truy cập thêm.
Một số nhóm đã tuyên bố chịu trách nhiệm cho cuộc tấn công, trong đó nổi bật là một diễn đàn đối thủ có tên Soyjak.party (còn được gọi là “sharty”). Họ tuyên bố đã đăng tải một lượng lớn dữ liệu nội bộ về trang web đối thủ của họ, bao gồm mã nguồn và thông tin về các quản trị viên và nhân viên kiểm duyệt cấp thấp hơn gọi là “janitors”.
Biện pháp khắc phục
Sau gần hai tuần gián đoạn, 4chan đã trở lại hoạt động với một số thay đổi về bảo mật. 4chan đã xác nhận rằng tính năng tải lên file PDF tạm thời bị vô hiệu hóa, và diễn đàn Flash – một diễn đàn phụ dành cho trò chơi Flash – đã bị đóng cửa vĩnh viễn “vì không có cách thực tế nào để ngăn chặn các lỗ hổng tương tự sử dụng tệp .swf”.
Ban quản trị 4chan cũng tiết lộ rằng họ đang đối mặt với những khó khăn tài chính đáng kể, khiến việc cập nhật phần mềm và cơ sở hạ tầng của họ không đủ nhanh, và “may mắn của chúng tôi đã cạn kiệt”. Hiện tại, trang web đang dựa vào các tình nguyện viên kỹ thuật mới tuyển dụng để giúp giảm bớt gánh nặng trên hệ thống backend trong khi công việc khắc phục và giảm thiểu tác động vẫn đang tiếp tục.
Bài học từ vụ tấn công
Vụ tấn công này là một minh chứng rõ ràng cho tầm quan trọng của việc duy trì các hệ thống và phần mềm cập nhật. Cuộc tấn công này không liên quan đến mật khẩu bị đánh cắp hay tài khoản bị tấn công mạnh. Nó liên quan đến việc khai thác xử lý file bị bỏ qua và phần mềm chưa được vá lỗi – chính xác là loại đường tấn công mà các biện pháp kiểm soát bảo mật truyền thống không thể phát hiện.
Nếu nhìn kỹ, nhiều yếu tố đã dẫn đến thảm họa này – một quy trình tải lên file không an toàn, phần mềm thông dịch lỗi thời và một binary SUID được cấu hình sai. Khi đứng riêng lẻ, mỗi yếu tố này có thể không đủ nguy hiểm, nhưng khi kết hợp lại, chúng có thể gây ra hậu quả tàn khốc.
Vụ tấn công này nhắc nhở tất cả các tổ chức về tầm quan trọng của việc cập nhật phần mềm thường xuyên, kiểm tra kỹ lưỡng các tệp được tải lên và thực hiện nguyên tắc bảo mật cơ bản: “Không bao giờ tin tưởng bất cứ điều gì đến từ phía người dùng.”