Các lỗ hổng bảo mật được công bố và sự kiện an ninh mạng đáng chú ý trong tháng 09

Các lỗ hổng bảo mật được công bố và sự kiện an ninh mạng đáng chú ý trong tháng 09

Tác giả: Nguyễn Ngọc Mai
16:03 24/09/2025

I. Các lỗ hổng bảo mật được công bố trong tháng 09 

1. Microsoft  

Microsoft phát hành bản cập nhật Patch Tuesday tháng 9/2025, bao gồm các bản vá bảo mật cho 81 lỗ hổng, trong đó có hai lỗ hổng zero-day đã được công khai.  

Đợt cập nhật này cũng khắc phục 09 lỗ hổng “Nghiêm trọng” (Critical), trong đó gồm 05 lỗ hổng cho phép thực thi mã từ xa (RCE), 01 lỗ hổng tiết lộ thông tin  và 02 lỗ hổng leo thang đặc quyền.  

Cụ thể, số lượng lỗ hổng theo từng loại như sau: 

  • 41 lỗ hổng leo thang đặc quyền (Elevation of Privilege)  
  • 2 lỗ hổng vượt qua tính năng bảo mật (Security Feature Bypass)  
  • 22 lỗ hổng thực thi mã từ xa (Remote Code Execution)  
  • 16 lỗ hổng tiết lộ thông tin (Information Disclosure)  
  • 3 lỗ hổng từ chối dịch vụ (Denial of Service)  
  • 1 lỗ hổng giả mạo (Spoofing)  

Lỗ hổng zero-day được công bố công khai gồm: 

  • CVE-2025-55234 - Windows SMB Elevation of Privilege Vulnerability  
  • CVE-2024-21907 - Newtonsoft.Json - Xử lý sai điều kiện ngoại lệ  

 Cập nhật gần đây từ các công ty khác: 

  • Adobe: phát hành bản vá bảo mật cho lỗ hổng “SessionReaper” ảnh hưởng đến các cửa hàng thương mại điện tử Magento.  
  • Argo: khắc phục một lỗ hổng trong Argo CD cho phép các token API có quyền hạn thấp vẫn có thể truy cập endpoint API và lấy toàn bộ thông tin xác thực repository liên kết với dự án.  
  • Cisco: phát hành bản vá cho WebEx, Cisco ASA, và các sản phẩm khác.  
  • Google: phát hành bản cập nhật bảo mật Android tháng 9, xử lý tổng cộng 84 lỗ hổng, trong đó có hai lỗ hổng đã bị khai thác tích cực.  
  • SAP: phát hành bản vá bảo mật tháng 9 cho nhiều sản phẩm, bao gồm một bản vá cho lỗ hổng thực thi lệnh với mức độ nghiêm trọng tối đa trong Netweaver.  
  • Sitecore: phát hành bản vá cho lỗ hổng zero-day CVE-2025-53690, đã bị khai thác trong các cuộc tấn công thực tế.  
  • TP-Link: xác nhận tồn tại một lỗ hổng zero-day mới trong một số dòng router; công ty đang đánh giá khả năng khai thác và chuẩn bị phát hành bản vá cho khách hàng tại Mỹ.  

Dưới đây là danh sách đầy đủ các lỗ hổng đã được giải quyết trong các bản cập nhật Patch Tuesday tháng 9 năm 2025:  

Tag   CVE ID   CVE Title   Severity  
Azure - Networking   CVE-2025-54914   Azure Networking Elevation of Privilege Vulnerability   Critical  
Azure Bot Service   CVE-2025-55244   Azure Bot Service Elevation of Privilege Vulnerability   Critical  
Azure Entra   CVE-2025-55241   Azure Entra Elevation of Privilege Vulnerability   Critical  
Dynamics 365 FastTrack Implementation Assets   CVE-2025-55238   Dynamics 365 FastTrack Implementation Assets Information Disclosure Vulnerability   Critical  
Graphics Kernel   CVE-2025-55236   Graphics Kernel Remote Code Execution Vulnerability   Critical  
Graphics Kernel   CVE-2025-55226   Graphics Kernel Remote Code Execution Vulnerability   Critical  
Microsoft Graphics Component   CVE-2025-53800   Windows Graphics Component Elevation of Privilege Vulnerability   Critical  
Microsoft Office   CVE-2025-54910   Microsoft Office Remote Code Execution Vulnerability   Critical  
Windows Imaging Component   CVE-2025-53799   Windows Imaging Component Information Disclosure Vulnerability   Critical  
Windows NTLM   CVE-2025-54918   Windows NTLM Elevation of Privilege Vulnerability   Critical  
Windows Win32K - GRFX   CVE-2025-55224   Windows Hyper-V Remote Code Execution Vulnerability   Critical  
Windows Win32K - GRFX   CVE-2025-55228   Windows Graphics Component Remote Code Execution Vulnerability   Critical  
Xbox   CVE-2025-55242   Xbox Certification Bug Copilot Djando Information Disclosure Vulnerability   Critical  

Chi tiết về từng loại lỗ hổng và bản vá có thể xem thêm tại Tuesday Patch, paper.  

2. Linux

CVE-2025-20128 - ClamAV (OLE2 decryption)  

Lỗi trong cơ chế giải mã OLE2 của ClamAV có thể dẫn đến điều kiện ngoài giới hạn bộ nhớ (heap buffer overflow read / integer underflow trong kiểm tra bounds) khi ClamAV quét file độc hại. Kẻ tấn công từ xa (không cần xác thực) có thể gửi file được chế tạo đặc biệt để làm crash quá trình quét (Denial-of-Service); trong một số trường hợp liên quan đến PDF/OLE2 còn có ghi nhận khả năng thực thi mã tùy ý nếu phối hợp với lỗ hổng khác.  

CVE-2025-20260 - ClamAV (PDF scanning)  

Lỗ hổng liên quan tới xử lý file PDF trong ClamAV có thể gây tràn bộ đệm hoặc DoS; được liệt kê cùng DLA-4292-1. Tương tự CVE-2025-20128 - khả năng crash dịch vụ quét, rủi ro nâng cao nếu kết hợp payload khác; yêu cầu cập nhật ClamAV.  

CVE-2025-57804 - python-h2 (HTTP/2 request splitting → request smuggling)  

Thư viện h2 (Python HTTP/2 stack) trước phiên bản vá có lỗi xử lý khiến kẻ tấn công chèn ký tự CRLF để tách/bẻ ranh giới request khi server xuống cấp (downgrade) HTTP/2 → HTTP/1.1, dẫn tới HTTP request smuggling. Kẻ tấn công có thể vượt qua các kiểm soát phía trước (WAF, CDN), thực hiện request smuggling, lấy quyền truy cập vào session của người dùng, hoặc đầu độc cache. Được đánh giá là nghiêm trọng; đã có bản vá (ví dụ h2 ≥ 4.3.0).  

CVE-2025-58068 - python-eventlet (HTTP request smuggling / WSGI parser)  

python-eventlet (WSGI server/parser) xử lý không đúng phần trailer của HTTP, dẫn tới request smuggling qua cách phân tách/ràng buộc header/trailer. Kẻ tấn công có thể bypass front-end security, tấn công người dùng đang hoạt động, hoặc poison web cache; ảnh hưởng đến các ứng dụng WSGI dùng eventlet. Đã có bản vá trong distro (Debian, SUSE, …).  

CVE-2025-8067 - udisks2 (Out-of-bounds read)  

Lỗi kiểm tra ranh giới trong udisks2 (D-Bus daemon quản lý thiết bị lưu trữ) dẫn tới out-of-bounds read khi xử lý một số thao tác tập tin/descriptor. Có thể khiến daemon udisks2 crash (DoS) hoặc lộ thông tin; kẻ tấn công cục bộ (unprivileged) có khả năng gây ảnh hưởng tới tính sẵn sàng/độc lập của dịch vụ lưu trữ. Đã có bản vá cho các distro (Debian, Fedora, Oracle Linux, Ubuntu…).  

Thông tin chi tiết về các lỗ hổng có thể xem tại Advisories

3. VMware công bố các lỗ hổng tháng 9 

CVE-2025-4517 - VMware Tanzu Greenplum  

  • Mức độ: Critical  
  • Ảnh hưởng: Greenplum trước 7.5.4.  
  • Mô tả: Lỗ hổng cho phép kẻ tấn công khai thác để thực hiện tấn công nghiêm trọng (chi tiết kỹ thuật hạn chế trong advisory).  
  • Khuyến nghị: Cập nhật lên Greenplum 7.5.4.  

CVE-2025-9288 - VMware Tanzu Greenplum  

  • Mức độ: Critical  
  • Ảnh hưởng: Greenplum trước 7.5.4.  
  • Mô tả: Lỗ hổng bảo mật nghiêm trọng trong cơ chế xử lý dữ liệu; có thể dẫn đến compromise hệ thống.  
  • Khuyến nghị: Cập nhật bản vá Greenplum 7.5.4.  

CVE-2025-32462 - VMware Tanzu Platform / Cloud Foundry  

  • Mức độ: Critical (CVSS 10.0)  
  • Ảnh hưởng: Một số thành phần Tanzu Platform.  
  • Mô tả: Cho phép khai thác từ xa, nguy cơ chiếm quyền cao.  
  • Khuyến nghị: Cập nhật bản vá theo advisory tháng 9/2025.  

CVE-2025-6395 - VMware Tanzu Platform  

  • Mức độ: High  
  • Ảnh hưởng: Các bản phát hành Tanzu Application Service.  
  • Mô tả: Lỗ hổng bảo mật nghiêm trọng, chi tiết không công bố đầy đủ.  
  • Khuyến nghị: Nâng cấp lên phiên bản bản vá mới nhất.  

CVE-2025-5916 / CVE-2025-5917 - VMware Tanzu (Stemcells / Hub)  

  • Mức độ: Critical  
  • Ảnh hưởng: Tanzu Stemcells, Tanzu Hub.  
  • Mô tả: Lỗ hổng bảo mật có thể khai thác từ xa, cho phép chiếm quyền hệ thống.  
  • Khuyến nghị: Áp dụng patch từ Broadcom ngay lập tức.  

Thông tin chi tiết về các bản vá có thể xem tại Advisories.

II. Một số sự kiện an ninh mạng đáng chú ý

1. Apple cảnh báo người dùng bị nhắm mục tiêu trong các cuộc tấn công spyware mới 

Trong tháng 9/2025, Apple cảnh báo nhiều người dùng rằng thiết bị của họ đã trở thành mục tiêu của các cuộc tấn công spyware tinh vi.   

Theo CERT-FR, từ đầu năm đến nay Apple đã gửi ít nhất 4 đợt thông báo (5/3, 29/4, 25/6 và 3/9) tới tài khoản của người dùng bị ảnh hưởng. Những cảnh báo này xuất hiện trong email, số điện thoại liên kết với Apple ID và hiển thị khi đăng nhập. Các cuộc tấn công chủ yếu khai thác zero-day hoặc zero-click, không cần tương tác từ người dùng, và nhắm tới các cá nhân có vai trò nhạy cảm như nhà báo, luật sư, chính trị gia, quan chức cấp cao.   

Apple gần đây cũng đã phát hành bản vá khẩn cấp cho lỗ hổng CVE-2025-43300 kết hợp với một lỗ hổng WhatsApp zero-click. Công ty khuyến nghị người dùng bị nhắm mục tiêu kích hoạt Lockdown Mode và liên hệ hỗ trợ khẩn cấp. Từ năm 2021, Apple đã gửi cảnh báo cho người dùng tại hơn 150 quốc gia nhưng không nêu rõ tác nhân tấn công đứng sau. 

2. Microsoft bổ sung cảnh báo liên kết độc hại trong tin nhắn riêng trên Teams

Microsoft vừa công bố tính năng cảnh báo liên kết độc hại trong tin nhắn riêng trên Teams, áp dụng cho khách hàng Microsoft Defender for Office 365 và Teams Enterprise. Tính năng này sẽ hiển thị banner cảnh báo trực tiếp trên tin nhắn có chứa URL bị gắn nhãn spam, phishing hoặc malware, giúp nâng cao nhận thức của người dùng.   

Public preview bắt đầu từ tháng 9/2025 trên desktop, web, Android, iOS, và dự kiến phát hành chính thức vào tháng 11/2025. Admin có thể bật/tắt tính năng trong Teams Admin Center hoặc PowerShell, và khi một tenant bật thì toàn bộ tenant sẽ được áp dụng. Sau khi chính thức ra mắt, tính năng sẽ mặc định bật. Microsoft cũng đang mở rộng khả năng bảo vệ Teams, bao gồm chặn liên lạc từ domain độc hại và xoá tin nhắn từ người dùng bị chặn. Điều này bổ sung cho các tính năng sẵn có như Safe Links và ZAP. Với hơn 320 triệu người dùng hàng tháng trên toàn cầu, Microsoft kỳ vọng tăng cường mạnh mẽ khả năng bảo vệ cho hệ sinh thái Teams.  

Đứng trước những cuộc tấn công mạng ngày càng tinh vi và nguy hiểm như hiện nay, FPT Cloud khuyến cáo người dùng nên chủ động cập nhật phần mềm, tiến hành ứng dụng các biện pháp bảo mật dữ liệu tiên tiến giúp sao lưukhôi phục dữ liệu tức thời, an toàn và toàn vẹn.    

Tìm hiểu thêm thông tin chi tiết về dịch vụ sao lưu dữ liệu của FPT Cloud tại đây.  

Liên hệ với chúng tôi để được tư vấn về dịch vụ của FPT Cloud
Fanpage: https://www.facebook.com/fptsmartcloud/
Email: [email protected]
Hotline: 1900 638 399