Một lỗ hổng nghiêm trọng mang tên GerriScary (CVE-2025-1568) vừa được phát hiện trong nền tảng quản lý mã Gerrit của Google. Lỗ hổng này cho phép kẻ tấn công chèn mã độc vào ít nhất 18 dự án mã nguồn lớn của Google, bao gồm ChromiumOS, Chromium, Dart và Bazel.
Vấn đề bắt nguồn từ việc cấu hình mặc định của Gerrit cho phép tất cả người dùng Google sửa đổi mã đã gửi, kết hợp với thiết lập sai trong “Copy Conditions”, khiến các bản cập nhật mã có thể giữ lại các phê duyệt cũ. Kẻ tấn công chỉ cần đợi mã được phê duyệt và chèn mã độc vào thời điểm trước khi bot tự động hợp nhất, tạo nên cuộc tấn công chuỗi cung ứng tinh vi.
Ngay sau khi nhận được cảnh báo, Google đã phản hồi nhanh chóng. Công ty đã cập nhật lại toàn bộ thiết lập “label persistence” – buộc tất cả các bản vá mới phải trải qua quy trình đánh giá lại, không còn kế thừa phê duyệt cũ. Đặc biệt, đội ngũ ChromiumOS cũng đã thu hồi quyền “addPatchSet” của người dùng đăng ký, chỉ giữ lại cho các nhà phát triển đáng tin cậy.
Tuy Google đã khắc phục lỗ hổng trong các dự án do mình quản lý, các chuyên gia cảnh báo rằng nhiều tổ chức và dự án khác cũng đang sử dụng nền tảng Gerrit, và rất có thể vẫn tồn tại cấu hình sai tương tự.
