Chào mừng đến với Blog của Haposoft

Tuần này tiếp tục là một tuần đầy thách thức đối với những người đang vận hành cơ sở hạ tầng tự lưu trữ. Vào ngày 7 tháng 5 năm 2026, Vercel đã công bố 13 lỗ hổng bảo mật mới ảnh hưởng đến môi trường tự lưu trữ và phát hành các bản vá bảo mật khẩn cấp cho các phiên bản Next.js 15.5.18 và 16.2.6. Trong số đó, CVE-2026-44578 đã thu hút sự chú ý từ cộng đồng bảo mật do phạm vi ảnh hưởng rộng lớn của nó. Theo thông báo, lỗ hổng này cho phép kẻ tấn công lợi dụng việc xử lý nâng cấp WebSocket để kích hoạt hành vi giả mạo yêu cầu phía máy chủ (SSRF) bên trong các máy chủ Next.js dễ bị tổn thương. Nếu bạn đang vận hành một ứng dụng Next.js tự lưu trữ, bạn cần phải hành động ngay bây giờ. Tình hình Bản cập nhật bảo mật tháng 5 năm 2026 của Vercel khắc phục 13 lỗ hổng CVE thuộc nhiều loại khác nhau, bao gồm bỏ qua phần mềm trung gian, tấn công từ chối dịch vụ, làm nhiễm độc bộ nhớ cache, tấn công XSS và các lỗ hổng SSRF mức độ nghiêm trọng cao. Đây không phải là các vấn đề lý thuyết mà ảnh hưởng đến hoạt động thực tế của các ứng dụng Next.js phía máy chủ, và hầu hết đều có thể bị khai thác mà không cần xác thực. Nếu bạn triển khai Next.js trên nền tảng của Vercel, bạn đã được bảo vệ. Cơ sở hạ tầng biên của họ đã được vá lỗi trước khi thông tin được công khai. Nhưng nếu bạn tự lưu trữ, dù trên máy chủ riêng, Docker, Kubernetes hay VPS, bạn có trách nhiệm nhanh chóng áp dụng các bản vá lỗi. Các phiên bản bị ảnh hưởng là tất cả các bản phát hành Next.js trước phiên bản 15.5.18 (đối với nhánh 15.x) và 16.2.6 (đối với nhánh 16.x). Nguồn: Vercel Security Changelog – May 2026 Lỗ hổng bảo mật nghiêm trọng: CVE-2026-44578 Vấn đề nghiêm trọng nhất trong bản phát hành này là CVE-2026-44578, một lỗ hổng SSRF được kích hoạt trong quá trình xử lý thiết lập kết nối với WebSocket. Cách thức hoạt động Next.js xác thực sai tiêu đề X-Forwarded-Host khi xử lý các yêu cầu bao gồm các tiêu đề websocket Connection: Upgrade và Upgrade. Kẻ tấn công có thể tạo ra một yêu cầu như sau: GET /api/public HTTP/1.1 Host: victim-app.com Connection: Upgrade Upgrade: websocket X-Forwarded-Host: http://169.254.169.254/latest/meta-data/ Nếu máy chủ không được vá lỗi, Next.js sẽ sử dụng ngữ cảnh mạng của chính máy chủ để chuyển tiếp các yêu cầu đến địa chỉ được chỉ định bởi X-Forwarded-Host. Điều này có nghĩa là kẻ tấn công bên ngoài có thể truy cập vào các tài nguyên nội bộ mà máy chủ không nên để lộ. Tại sao điều này lại quan trọng Rủi ro trước mắt là việc truy cập vào các điểm cuối siêu dữ liệu đám mây: AWS IMDSv1: http://169.254.169.254/latest/meta-data/ Siêu dữ liệu GCP: http://metadata.google.internal/computeMetadata/v1/ Azure IMDS: http://169.254.169.254/metadata/instance Các điểm cuối này thường trả về thông tin xác thực IAM, mã thông báo tài khoản dịch vụ hoặc dữ liệu cấu hình phiên bản. Với những thông tin đó, kẻ tấn công có thể di chuyển ngang, can thiệp đặc quyền hoặc đánh cắp dữ liệu. Các nhà nghiên cứu bảo mật ước tính hiện có khoảng 79.000 phiên bản Next.js tự lưu trữ đang được kết nối với internet công cộng. Nếu bạn đang sử dụng một trong số đó và chưa vá lỗi, bạn rất có thể dễ bị tấn công. Ai bị ảnh hưởng? Bạn có nguy cơ gặp rủi ro nếu: Bạn chạy Next.js ở chế độ máy chủ (SSR, định tuyến API, middleware) trên cơ sở hạ tầng của riêng bạn. Phiên bản Next.js của bạn thấp hơn 15.5.18 hoặc 16.2.6. Ứng dụng của bạn chấp nhận lưu lượng HTTP từ bên ngoài (trực tiếp hoặc thông qua bộ cân bằng tải). Bạn có thể an toàn nếu: Bạn đang lưu trữ trên Vercel (đã được vá lỗi ở vùng biên). Bạn sử dụng lệnh xuất tiếp theo để tạo một trang web hoàn toàn tĩnh. Phiên bản Next.js của bạn không thể truy cập được từ internet và bạn có các quy tắc kiểm soát truy cập ra nghiêm ngặt. Ghi chú: Việc sử dụng phần mềm trung gian để xác thực không làm giảm thiểu các lỗ hổng này. Một số lỗ hổng CVE đã được khắc phục cố tình bỏ qua logic của phần mềm trung gian. Cách kiểm tra phiên bản của bạn Chạy một trong các lệnh sau trong thư mục dự án của bạn: Kiểm tra phiên bản đã cài đặt. Nếu thấp hơn 15.5.18 hoặc 16.2.6 (tùy thuộc vào phiên bản chính của hệ điều hành), bạn cần nâng cấp.Ngoài ra, hãy kiểm tra file package.json của bạn. Nếu bạn sử dụng các phạm vi có dấu mũ hoặc dấu ngã (^15.5.0 hoặc ~16.2.0), hãy đảm bảo rằng file lockfile của bạn thực sự trỏ đến một phiên bản đã được vá lỗi. Đừng giả định – hãy kiểm tra file node_modules/next/package.json. Các hành động cần thực hiện ngay lập tức Nếu nhóm của bạn tự quản lý Next.js, việc vá lỗi cần được xử lý khẩn cấp. 1. Cập nhật Next.js ngay lập tức Nâng cấp lên: Next.js 15.5.18 Next.js 16.2.6 Hoặc các bản phát hành được vá lỗi mới hơn Nếu ứng dụng của bạn có liên quan đến internet, đừng trì hoãn việc này. 2. Chặn các điểm cuối siêu dữ liệu nội bộ Ngay cả sau khi vá lỗi, các dịch vụ siêu dữ liệu đám mây không bao giờ được phép truy cập công khai từ các vùng chứa ứng dụng trừ khi thực sự cần thiết. Hạn chế quyền truy cập vào: 169.254.169.254 AWS IMDSv1 Điểm cuối siêu dữ liệu GCP Azure IMDS Người dùng AWS cũng nên vô hiệu hóa hoàn toàn IMDSv1 và bắt buộc sử dụng IMDSv2. 3. Xem lại các quy tắc về máy chủ proxy ngược. Kiểm tra: Cấu hình Nginx Thiết lập Traefik Bộ cân bằng tải Quy tắc chuyển tiếp WebSocket Các tiêu đề nâng cấp được cấu hình sai đôi khi có thể làm tăng nguy cơ bị tấn công. 4. Giám sát các yêu cầu nội bộ đáng ngờ Hãy tìm kiếm các mô hình giao thông bất thường liên quan đến: Địa chỉ IP siêu dữ liệu Phạm vi RFC1918 nội bộ Yêu cầu gửi đi không mong đợi Các sự cố bất thường khi nâng cấp WebSocket Điều này đặc biệt quan trọng đối với các cụm máy chủ sản xuất xử lý lưu lượng truy cập công cộng. 5. Bảo mật về môi trường đánh giá Nếu có khả năng phiên bản của bạn đã bị lộ ra ngoài khi đang ở trạng thái dễ bị tổn thương: Xoay vòng thông tin đăng nhập đám mây Xoay vòng khóa API Xem xét hoạt động IAM Kiểm tra nhật ký đánh giá để tìm kiếm quyền truy cập bất thường. Không nên chủ quan rằng những nỗ lực khai thác thất bại sẽ không để lại dấu vết. Tại sao điều này lại xảy ra? Next.js đang phát triển rất nhanh chóng. Các tính năng như middleware, server actions, WebSocket proxies và React Server Components mở rộng chức năng, nhưng cũng làm tăng diện tích bề mặt tấn công. Với việc tự lưu trữ, trách nhiệm theo dõi và áp dụng các bản cập nhật bảo mật thuộc về người dùng. Không có gì có thể thay thế cho một quy trình vá lỗi có kỷ luật. Hãy đăng ký nhận thông báo bảo mật từ Vercel. Theo dõi kho lưu trữ GitHub của Next.js để biết các thẻ bảo mật. Coi các bản cập nhật lớn của framework là các sự kiện bảo mật tiềm ẩn, chứ không chỉ là các bản phát hành tính năng. Vấn đề lớn hơn: Sự tiện lợi so với quyền sở hữu cơ sở hạ tầng Sự việc này nêu bật một thực tế khó chấp nhận mà nhiều đội cuối cùng cũng đối mặt: "Tự lưu trữ có thể giúp tiết kiệm chi phí" – cho đến khi việc bảo trì cơ sở hạ tầng trở thành vấn đề an ninh. Các framework như Next.js đang phát triển với tốc độ rất nhanh. Mặc dù tốc độ này cải thiện trải nghiệm của nhà phát triển, nhưng nó cũng làm tăng gánh nặng vận hành đối với việc triển khai tự lưu trữ. Áp dụng các bản vá lỗi bảo mật Tăng cường bảo mật trong quá trình hoạt động Bảo trì máy chủ proxy ngược Quản lý phụ thuộc Giám sát cơ sở hạ tầng Đối với các nhóm nhỏ không có quy trình DevSecOps chuyên dụng, các bản vá lỗi quan trọng rất dễ bị bỏ sót. Nếu bạn quản lý cơ sở hạ tầng trọng yếu và không có đủ nguồn lực để kiểm tra, vá lỗi và tăng cường bảo mật ngay lập tức, hãy cân nhắc thuê dịch vụ hỗ trợ. Haposoft có thể giúp các nhóm: Kiểm tra các triển khai Next.js để phát hiện các lỗ hổng bảo mật CVE đã biết. Áp dụng các bản vá khẩn cấp với chiến lược không gây gián đoạn hoạt động. Tăng cường bảo mật cơ sở hạ tầng đám mây chống lại các cuộc tấn công SSRF, rò rỉ siêu dữ liệu và vượt qua xác thực. Thiết lập các quy trình bảo mật tự động để đảm bảo khả năng phục hồi lâu dài. Nếu cần hỗ trợ, vui lòng liên hệ qua trang liên hệ hoặc để lại bình luận bên dưới. Chúng tôi sẽ phản hồi nhanh chóng đối với các vấn đề an ninh khẩn cấp. Lời kết Các framework hiện đại không còn chỉ là công cụ front-end; chúng đang phát triển để hoạt động như các nền tảng ứng dụng. Điều này làm thay đổi đáng kể kỳ vọng về bảo mật. Khi chạy Next.js trong môi trường sản xuất bên ngoài một nền tảng được quản lý, việc quản lý bản vá và tăng cường bảo mật cơ sở hạ tầng không còn được coi là các nhiệm vụ bảo trì tùy chọn; chúng trở thành một phần không thể thiếu trong vòng đời của ứng dụng.

Các ứng dụng global hiếm khi thất bại vì code. Chúng thất bại vì latency tăng theo khoảng cách và các đợt traffic spike làm quá tải các hệ thống tập trung. Khi người dùng phân bố across nhiều region, mỗi millisecond của round-trip time đều có tác động tích lũy. Đồng thời, lưu lượng không dự đoán trước có thể đẩy origin servers vượt quá giới hạn xử lý. AWS CloudFront giúp giải quyết cả hai vấn đề này, nhưng hiệu năng phụ thuộc rất lớn vào cách cấu hình caching và thiết kế origin. Một chiến lược caching phù hợp với CloudFront không phải là tùy chọn — nó quyết định liệu hệ thống của bạn có scale mượt mà hay gặp khó khăn dưới áp lực tải. Vấn Đề Latency Global Và Cách CloudFront Giải Quyết Tại sao người dùng global trải nghiệm latency cao hơn Latency tăng khi khoảng cách tăng. Một request từ Europe đến một origin host tại Asia phải đi qua nhiều mạng trước khi trả về response. Ngay cả khi backend được tối ưu tốt, khoảng cách vật lý và số lượng network hops vẫn tạo ra độ trễ không thể tránh khỏi. Đối với các ứng dụng global, điều này có nghĩa là hiệu năng thay đổi theo region, và người dùng ở xa origin luôn trải nghiệm thời gian load chậm hơn. Theo thời gian, điều này ảnh hưởng đến cả trải nghiệm người dùng và tỷ lệ chuyển đổi. Đồng thời, các đợt traffic spike làm trầm trọng thêm vấn đề. Khi hàng nghìn người dùng request cùng một nội dung cùng lúc, mỗi cache miss sẽ tạo ra một request khác đến origin. Nếu caching không được cấu hình đúng, phần lớn lưu lượng sẽ bypass hoàn toàn lớp edge. Điều này dẫn đến CPU spikes, thời gian response kéo dài và khả năng suy giảm dịch vụ. Việc scale origin alone không thể giải quyết hoàn toàn nút cổ chai mang tính cấu trúc này. Cách CloudFront giảm latency và áp lực lên origin CloudFront giới thiệu một lớp caching phân tán giữa người dùng và origin. Mỗi request được route đến edge location gần nhất, nơi nội dung có thể được phục vụ trực tiếp nếu đã có trong cache. Điều này giảm đáng kể round-trip time và cải thiện tính nhất quán across các region. Nếu nội dung không khả dụng tại edge đó, request sẽ chuyển đến Regional Edge Cache - nơi lưu trữ objects lâu hơn và giảm các lần fetch từ origin lặp lại across nhiều locations. Chỉ khi cả hai lớp cache đều miss, CloudFront mới liên hệ với origin server. Mô hình phân lớp này chuyển phần lớn lưu lượng ra khỏi backend và đưa lại gần người dùng hơn. Kết quả là latency giảm và origin được bảo vệ khỏi tải không cần thiết. Tuy nhiên, hiệu quả của hệ thống này phụ thuộc hoàn toàn vào cách caching được cấu hình - đây chính là lúc chiến lược trở nên quan trọng. Best Practices Cấu Hình Cache CloudFront Hiệu năng CloudFront phụ thuộc rất lớn vào cấu hình cache. Các thiết lập TTL và cấu trúc cache key quyết định liệu requests có được serve tại edge hay được forward đến origin. Khi cấu hình đúng, caching giảm latency và bảo vệ hệ thống backend. Khi cấu hình sai, phần lớn requests bypass cache và hit origin một cách không cần thiết. Cache Policy Cache Policy kiểm soát hai yếu tố cốt lõi: TTL (Minimum / Default / Maximum) Xác định thời gian objects tồn tại trong cache trước khi cần revalidation. Cấu thành cache key Định nghĩa các thành phần request được dùng để phân biệt các cached objects, bao gồm: Query strings Headers Cookies Mỗi thành phần bổ sung vào cache key làm tăng số lượng variations của cache. Nhiều variations đồng nghĩa với hit ratio thấp hơn và nhiều origin fetches hơn. Best Practices Để Tăng Hit Ratio Để cải thiện hiệu quả cache, cấu hình cần được thực hiện có chủ đích và tối giản. Giảm số chiều của cache key Chỉ forward những query strings, headers hoặc cookies thực sự ảnh hưởng đến response. Các parameters không cần thiết tạo ra sự phân mảnh cache. Static assets: TTL dài + versioning Sử dụng TTL dài cho các files như app.abc123.js. Versioning đảm bảo nội dung cập nhật sẽ sinh ra filename mới, cho phép caching aggressive mà không serve stale data. APIs: TTL ngắn + caching có chọn lọc Responses của API nên sử dụng TTL ngắn hơn nhưng vẫn có thể được cache dựa trên các parameters thực sự ảnh hưởng đến output. Tránh disable caching hoàn toàn trừ khi thực sự cần thiết. Anti-Patterns Cần Tránh Một số cấu hình làm giảm đáng kể hiệu quả cache: Forward tất cả cookies và headers cho mọi path Điều này mở rộng cache key một cách đáng kể và làm giảm hit ratio. Đặt TTL quá ngắn cho static content Các files static hết hạn quá nhanh, buộc phải request origin lặp lại và tăng tải backend mà không mang lại lợi ích thực tế. Cấu hình cache nên thay đổi theo loại nội dung. Áp dụng một policy đồng nhất across tất cả paths thường dẫn đến áp lực origin không cần thiết. Thiết Kế Kiến Trúc Multi-Origin Caching alone là chưa đủ nếu tất cả lưu lượng được route đến một backend duy nhất. Các loại nội dung khác nhau có các pattern hiệu năng, yêu cầu scaling và hành vi caching khác nhau. CloudFront cho phép nhiều origins trong một distribution và route lưu lượng dựa trên path-based cache behaviors. Điều này làm khả thi việc tách biệt workloads thay vì buộc mọi thứ đi qua một origin. Với path patterns, requests có thể được map rõ ràng: /static/* → Amazon S3 /api/* → Application Load Balancer hoặc API Gateway /media/* → Dedicated media origin Mỗi path được route đến một backend cụ thể được tối ưu cho workload đó. Sự tách biệt này cải thiện cả hiệu năng và khả năng kiểm soát vận hành. Static content có thể sử dụng caching aggressive và TTL dài mà không ảnh hưởng đến hành vi API. Traffic API có thể sử dụng TTL ngắn hơn và cache policies chặt chẽ hơn. Media delivery có thể được tối ưu cho throughput và kích thước file thay vì tần suất request. Mục tiêu của thiết kế multi-origin là workload isolation. Bằng cách tách biệt static assets, APIs và media thành các origins khác nhau, các hệ thống backend scale độc lập và tránh coupling không cần thiết. Kết hợp với cấu hình cache phù hợp, kiến trúc này giảm áp lực origin và cho phép mỗi loại nội dung follow chiến lược tối ưu riêng của nó. Khi Nào Sử Dụng Origin Shield Và Lambda@Edge Ngay cả với cấu hình cache phù hợp và thiết kế multi-origin, lưu lượng multi-region vẫn có thể tạo áp lực lên origin. Điều này thường xảy ra khi cùng một object được request đồng thời từ nhiều edge locations. Nếu mỗi region trải nghiệm cache miss cùng lúc, origin sẽ nhận nhiều requests giống hệt nhau. Hiện tượng này thường được gọi là miss amplification. Origin Shield: Centralizing Cache Misses Origin Shield thêm một lớp caching tập trung bổ sung giữa Regional Edge Caches và origin. Thay vì nhiều regions fetch cùng một object độc lập, các requests được consolidate thông qua một shield region duy nhất. Hành vi chính: Nhiều edge hoặc regional caches miss cùng một object Origin Shield intercept và consolidate những misses đó Origin nhận ít duplicate fetches hơn Khi enable Origin Shield, best practice được khuyến nghị là chọn region gần origin nhất. Điều này giảm thiểu latency giữa lớp shield và backend. Origin Shield hiệu quả nhất khi: Người dùng phân bố global Nội dung có thể cache được Traffic spikes xảy ra đồng thời across các regions Trong các scenario này, nó giảm đáng kể tải origin và cải thiện tính ổn định. Lambda@Edge: Executing Lightweight Logic tại Edge Trong khi Origin Shield tập trung vào giảm áp lực backend, Lambda@Edge tập trung vào việc đưa logic quyết định đơn giản lại gần người dùng hơn. Thay vì gửi mọi request đến origin cho routing hoặc modification, lightweight processing có thể diễn ra tại các edge locations. Lambda@Edge hoạt động trong bốn phases: Viewer Request: rewrite URL, thực hiện lightweight authentication, áp dụng geo-based routing Origin Request: modify headers hoặc dynamically select origin trước khi forward Origin Response: normalize headers hoặc set cookies sau khi nhận response từ origin Viewer Response: thêm security headers hoặc adjust caching headers trước khi return về user Lợi thế chính là giảm các round-trips không cần thiết đến origin cho logic đơn giản. Các quyết định như routing, header injection hoặc query normalization có thể được xử lý gần người dùng hơn, cải thiện thời gian response và khả năng scale. Practical Use Cases Các implementations phổ biến bao gồm: Geo-based routing (ví dụ: EU users đến EU origin, APAC users đến APAC origin) URL rewrite để cải thiện khả năng cache bằng cách normalize query strings Lightweight A/B testing trong phase viewer request Injecting security headers trong phase viewer response Operational Considerations Lambda@Edge nên được giữ ở mức lightweight. Heavy computation hoặc complex business logic không nên chạy tại edge. Edge execution phù hợp nhất cho các operations đơn giản, nhanh chóng giúp giảm dependency vào origin. Logging và monitoring cũng cần được chú ý. Vì execution diễn ra tại các edge regions, observability phải tính đến distributed logging và metrics collection. Deployment Checklist Cho Một CloudFront Setup Hiệu Năng Cao Một kiến trúc CloudFront được thiết kế tốt cần có khả năng đo lường và lặp lại. Trước khi go live, checklist sau giúp đảm bảo hệ thống được tối ưu cho cả latency và scalability. Define cache strategy by path Static assets nên sử dụng TTL dài với versioning. APIs nên sử dụng TTL ngắn hơn với cấu hình cache key có chọn lọc. Minimize cache key dimensions Chỉ forward những query strings, headers và cookies trực tiếp ảnh hưởng đến response. Tránh forward mọi thứ theo default. Separate workloads using multi-origin Route /static/*, /api/* và /media/* đến các origins phù hợp. Điều này ngăn backend coupling và cho phép scaling độc lập. Enable Origin Shield khi serving multi-region traffic Đặc biệt hữu ích khi traffic spikes xảy ra across các regions và nội dung có thể cache được. Sử dụng Lambda@Edge cho lightweight logic only Handle URL rewrites, routing và header adjustments tại edge. Giữ business logic trong backend services. Monitor cache hit ratio và origin metrics Theo dõi hit ratio, origin latency và 5xx error rates. Những metrics này cho biết liệu chiến lược caching có hiệu quả hay không. Kết Luận CloudFront chỉ cải thiện hiệu năng global khi caching được cấu hình một cách có chủ đích. TTL, thiết kế cache key, separation multi-origin, Origin Shield và Lambda@Edge không phải là các tính năng độc lập. Chúng hoạt động cùng nhau để giảm dependency vào origin và giữ latency predictable across các regions. Trong thực tế, hầu hết các vấn đề hiệu năng gây ra bởi misconfiguration cache hơn là giới hạn hạ tầng. Khi cache hit ratio tăng, áp lực backend giảm ngay lập tức. Khi tải origin giảm, scaling trở nên đơn giản và cost-efficient hơn. Haposoft làm việc với các engineering teams để review và tối ưu hóa các kiến trúc AWS, bao gồm chiến lược cache CloudFront, thiết kế origin và implementation edge logic. Mục tiêu rất rõ ràng: hiệu năng ổn định dưới traffic thực tế, mà không cần mở rộng backend không cần thiết. Đây cũng là một phần trong dịch vụ AWS Architecture & Optimization của Haposoft, nơi team đi từ việc audit hệ thống hiện tại đến đề xuất và triển khai các cải tiến có thể đo lường được về hiệu năng và chi phí. Nếu bạn muốn review nhanh kiến trúc hiện tại hoặc cần một góc nhìn thứ hai, hãy liên hệ trực tiếp với team Haposoft để tối ưu hóa hệ thống ngay hôm nay!