- Một nhà nghiên cứu phát hiện ra có thể subscribe vào SignalR hub của Azure SRE Agent và đọc toàn bộ chat stream của tenant khác — LLM thinking, tool calls, shell commands.
- Auth check có, nhưng sai chỗ.
- CVSS 8.6, bounty $20,000, Microsoft đã patch.
TL;DR
CVE-2026-32173 là lỗ hổng improper authentication (CWE-287) trên Azure SRE Agent Gateway — SignalR Hub. Một attacker không cần tài khoản, không cần quyền gì, chỉ cần reach được endpoint qua mạng là có thể subscribe vào luồng chat AI agent của bất kỳ tenant khác — bao gồm cả chain-of-thought của LLM, tool calls và shell commands mà agent đang chạy. CVSS 8.6 High, đã patched server-side, bounty $20,000 cho Yanir Tsarimi (Enclave).
Chuyện gì vừa xảy ra
Ngày 2/4/2026, MSRC công bố advisory cho CVE-2026-32173. Nhà nghiên cứu Yanir Tsarimi kể lại trên X rằng anh tìm ra lỗ hổng "by steering a single agent" — bằng cách thao túng một session Azure SRE Agent duy nhất và soi kỹ luồng SignalR phía sau. Kết quả: có thể lắng nghe chat stream của bất kỳ khách hàng Azure nào đang dùng SRE Agent.
Quote của researcher gói gọn bản chất bug:
"The auth check was there, but at the wrong place."
Đây không phải là kiểu "quên authenticate" — code đã có auth, nhưng được đặt sai layer trong pipeline SignalR, để lộ cổng subscribe cho bất kỳ client nào hit đúng endpoint.
Vì sao nó quan trọng
Azure SRE Agent GA từ cuối 2025, được Microsoft định vị là "AI teammate" vận hành production: nó có quyền đọc source code, logs, metrics, traces và chạy remediation commands dưới sự kiểm soát governance của tổ chức. Nghĩa là chat stream của nó thường chứa:
- Connection strings, access tokens mà engineer paste vào prompt
- Snippet code private, đường dẫn repo nội bộ
- Resource ID, topology hạ tầng, subnet layout
- Commands chuẩn bị chạy trên prod — bao gồm cả output sau khi chạy
Nghe lén được stream này tương đương với ngồi sau lưng SRE team của tenant khác trong lúc họ handle incident. Đó là lý do CVSS ăn Scope: Changed — data vượt qua ranh giới tenant, không còn nằm trong confidentiality của victim.
Chi tiết kỹ thuật
| Thuộc tính | Giá trị |
|---|---|
| CVE ID | CVE-2026-32173 |
| CVSS v3.1 | 8.6 High |
| Vector | AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N |
| CWE | CWE-287 Improper Authentication |
| Component | Azure SRE Agent Gateway — SignalR Hub |
| Ngày publish | 2026-04-02 14:00 UTC |
| Reporter | Yanir Tsarimi (Enclave) |
| Bounty | $20,000 |
Điểm đáng chú ý nhất trong CVSS vector: PR:N (no privileges) và UI:N (no user interaction) cộng với S:C (scope changed). Đây là combo cực kỳ nguy hiểm cho một service multi-tenant — bất kỳ ai chạm được endpoint là xong.
So sánh với các CVE AI-agent khác của Azure 2026
| CVE | Component | CVSS | Impact |
|---|---|---|---|
| CVE-2026-32173 | Azure SRE Agent (SignalR) | 8.6 High | Info Disclosure (chat stream) |
| CVE-2026-32211 | Azure MCP Server | 9.1 Critical | Improper Auth → Data exposure |
| CVE-2026-33105 | Azure Kubernetes Service | — | Elevation of Privilege |
Pattern lặp lại: các control plane của AI agent (SRE Agent, MCP, Copilot) đang là lớp yếu nhất trong stack Azure 2026. Auth logic viết cho request HTTP đồng bộ thường quên áp lên các kênh streaming bất đồng bộ (SignalR, WebSocket, SSE) — nơi AI agent tuôn output.
Ai bị ảnh hưởng và nên làm gì
Về mặt kỹ thuật, Microsoft ghi rõ "No customer action required" — fix đã deploy server-side cho toàn bộ tenant. Nhưng nếu bạn là SOC/DevSecOps của tổ chức đang dùng SRE Agent, đừng coi đây là xong chuyện:
- Giả định leak đã xảy ra cho khoảng thời gian trước 2026-04-02. Không có log khách hàng nào chứng minh được là không bị lắng nghe.
- Rotate mọi secret có thể đã xuất hiện trong prompt/chat gửi cho SRE Agent trước ngày patch — connection strings, SAS tokens, API keys engineer paste vào.
- Review incident runbook: commands sensitive nào đã được SRE Agent thực thi trong window này, attacker có thể replay nếu còn valid.
- Audit endpoint streaming khác trong stack của bạn — WebSocket, SignalR, SSE. Pattern "auth đặt sai layer" không chỉ Microsoft gặp.
Giới hạn & bounty
CVSS temporal: Exploit Maturity E:U (Unproven — chưa có PoC public), Remediation Level RL:O (Official fix), Report Confidence RC:C (Confirmed). Không có binary/patch cho khách hàng tải — đây là exclusively-hosted service, Microsoft sửa là xong.
Bounty $20,000 thuộc tier cao của MSRC Cloud + AI Bounty Program cho lỗi auth bypass nghiêm trọng. Trade-off hợp lý với một bug có thể lấy được chain-of-thought và commands của mọi tenant Azure SRE Agent.
Còn gì tiếp theo
Câu chuyện CVE-2026-32173 chỉ là phần nổi. Năm 2026 chứng kiến AI agent dịch chuyển từ preview sang GA với tốc độ nhanh hơn tốc độ security review. Khi mọi SaaS đều có một con agent streaming suy nghĩ qua SignalR/WebSocket/SSE, chain-of-thought của LLM trở thành class-A sensitive data — ngang access token. Kỳ vọng nhiều CVE cùng pattern sẽ xuất hiện trong 6–12 tháng tới.
Bài học cho builder: mỗi endpoint streaming AI output phải được pentest như một auth boundary riêng, không kế thừa assumption từ REST API cùng host.
Nguồn: MSRC, CIRCL Vulnerability-Lookup, RedPacket Security, Yanir Tsarimi on X.
