Các lỗ hổng bảo mật được công bố và sự kiện an ninh mạng đáng chú ý trong tháng 04

I. Các lỗ hổng bảo mật được công bố trong tháng 04/2025 

1. Microsoft  

Vào tháng 04/2025, Microsoft đã công bố bản cập nhật giúp khắc phục 134 lỗ hổng, trong đó có 31 lỗ hổng thực thi mã từ xa và 3 lỗ hổng zero-days. Bản cập nhật này cũng sửa mười một lỗ hổng nghiêm trọng (Critical), tất cả đều thuộc loại thực thi mã từ xa (Remote Code Execution). 

 Số lượng lỗ hổng theo từng loại như sau: 

• 49 lỗ hổng nâng cao đặc quyền (Elevation of Privilege Vulnerabilities). 

• 9 lỗ hổng bỏ qua tính năng bảo mật (Security Feature Bypass Vulnerabilities). 

• 31 lỗ hổng thực thi mã từ xa (Remote Code Execution Vulnerabilities). 

• 17 lỗ hổng rò rỉ thông tin (Information Disclosure Vulnerabilities). 

• 14 lỗ hổng tấn công từ chối dịch vụ (Denial of Service Vulnerabilities). 

• 3 lỗ hổng giả mạo (Spoofing Vulnerabilities). 

Trong bản vá tháng này, Microsoft đã sửa một lỗ hổng zero-day đang bị khai thác tích cực và đã được công khai. Microsoft định nghĩa lỗ hổng zero-day là lỗ hổng đã được công khai hoặc đang bị khai thác trước khi có bản sửa lỗi chính thức. 

Lỗ hổng zero-day được khắc phục trong bản cập nhật lần này là: 

CVE-2025-29824 - Lỗ hổng nâng cao đặc quyền trong Windows Common Log File System Driver 

• Microsoft cho biết lỗ hổng này cho phép kẻ tấn công cục bộ giành được quyền SYSTEM trên thiết bị. Lỗ hổng đã bị khai thác dưới dạng zero-day bởi nhóm ransomware RansomEXX để nâng quyền đặc biệt. 

• Bản cập nhật bảo mật dành cho Windows 10 phiên bản x64 và phiên bản 32-bit hiện chưa có sẵn. Các bản cập nhật sẽ được phát hành sớm nhất có thể và khách hàng sẽ được thông báo khi có. 

• Các bản vá chưa có sẵn cho Windows 10 LTSB 2015 nhưng sẽ được Microsoft phát hành trong tương lai. 

• Trung tâm Tình báo Đe dọa Microsoft (Microsoft Threat Intelligence Center) là đơn vị phát hiện ra lỗ hổng này. 

 Các bản cập nhật bảo mật từ các hãng khác trong tháng 4/2025: 

Apache  

• Apache đã khắc phục lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng tối đa trong Apache Parquet. 

Apple  

• Apple phát hành bản vá cho các lỗ hổng đang bị khai thác, đồng thời cập nhật lại (backport) cho các thiết bị cũ hơn. 

Google 

• Google công bố bản vá cho 62 lỗ hổng Android, trong đó có 2 lỗ hổng zero-day đang bị khai thác trong các cuộc tấn công có chủ đích. 

Ivanti 

• Ivanti phát hành bản vá tháng 4 và một bản vá quan trọng trước đó cho lỗ hổng RCE trên Connect Secure, bị tấn công bởi nhóm tin tặc Trung Quốc. 

 Fortinet 

• Fortinet cập nhật bảo mật cho nhiều sản phẩm, bao gồm một lỗ hổng nghiêm trọng cho phép kẻ tấn công thay đổi mật khẩu admin trên FortiSwitch. 

MediaTek 

• MediaTek phát hành bản cập nhật bảo mật tháng 4/2025. 

Minio 

• Minio vá lỗ hổng liên quan đến “xác thực chữ ký chưa đầy đủ” cho các upload có phần trailer chưa ký, và khuyến cáo người dùng cập nhật ngay lập tức. 

SAP 

• SAP cập nhật bảo mật cho nhiều sản phẩm, bao gồm ba lỗ hổng nghiêm trọng. 

WinRAR 

• WinRAR tiết lộ một lỗ hổng khiến cho cơ chế Mark of the Web không được áp dụng cho các tệp được giải nén, ảnh hưởng đến khả năng cảnh báo bảo mật. 

FPT Cloud khuyến cáo người dùng nào đã và đang sử dụng các sản phẩm của Microsoft mà có khả năng nằm trong các phiên bản chứa lỗ hổng trên thì nên thực hiện theo khuyến nghị của Microsoft để tránh bị nhắm tới trong các cuộc tấn công mạng. 

Danh sách dưới đây liệt kê 6 lỗ hổng đã có bản vá trong tháng 4 được đánh giá ở mức độ nghiêm trọng: 

•  Chi tiết về từng loại lỗ hổng và bản vá có thể xem thêm tại Tuesday Patch & paper. 

2. Linux  

CVE-2025-22015: Lỗi dereference con trỏ NULL trong Linux Kernel tại hàm folio_migrate_mapping 

• Lỗ hổng trong thành phần quản lý bộ nhớ (mm/migrate) của nhân Linux ảnh hưởng đến việc xử lý folio bộ nhớ chia sẻ (shmem) trong quá trình di chuyển. Vấn đề phát sinh trong quá trình xử lý các folio thuộc bộ nhớ chia sẻ trong bộ nhớ đệm trang (page cache) hoặc bộ nhớ đệm hoán đổi (swap cache), có thể dẫn đến lỗi khi cập nhật các mục đa chỉ mục trong xarray. Cụ thể, sự cố này bắt nguồn từ việc xác định không chính xác số lượng mục trong xarray cần được cập nhật trong quá trình di chuyển. 

• Lỗ hổng này có thể gây ra sự không ổn định hệ thống hoặc sự cố hệ thống. Với điểm CVSS là 5.5 và tác động cao đến khả năng sẵn sàng, một kẻ tấn công với quyền truy cập thấp có thể kích hoạt lỗi quản lý bộ nhớ, làm suy giảm khả năng sẵn sàng của hệ thống. Độ phức tạp của cuộc tấn công là thấp và không yêu cầu tương tác của người dùng. 

CVE-2025-22016 – Lỗi dereference con trỏ NULL trong Linux Kernel tại xa_alloc_cyclic 

• Một lỗ hổng trong thành phần dpll (Digital Phase-Locked Loop) của nhân Linux liên quan đến xử lý lỗi không đúng trong hàm xa_alloc_cyclic(). Vấn đề có thể dẫn đến việc truy cập một con trỏ chưa được cấp phát (pin) khi hàm trả về giá trị 1, biểu thị hiện tượng cuộn vòng. Lỗi này được phát hiện thông qua phân tích mã nguồn thay vì tình huống sử dụng thực tế. 

• Kẻ tấn công với quyền truy cập cục bộ và đặc quyền thấp có thể gây ra sự cố về tính sẵn sàng của hệ thống. Lỗ hổng này có ảnh hưởng cao đến tính sẵn sàng, có thể dẫn đến sập hệ thống hoặc từ chối dịch vụ. Vì vectơ tấn công là cục bộ và chỉ yêu cầu quyền truy cập thấp, mức độ rủi ro đối với sự ổn định của hệ thống được đánh giá là trung bình. 

CVE-2025-22017 – Lỗi dereference con trỏ NULL trong Linux Kernel tại xa_alloc_cyclic 

• Một lỗ hổng trong thành phần devlink của nhân Linux liên quan đến xử lý lỗi không đúng trong hàm xa_alloc_cyclic(). Khi hàm trả về giá trị 1 (biểu thị hiện tượng cuộn vòng) có thể dẫn đến việc truy cập con trỏ chưa được cấp phát, gây ra sự cố nghiêm trọng trong quản lý bộ nhớ. 

• Lỗ hổng cục bộ này cho phép kẻ tấn công có quyền truy cập thấp có thể gây ra tấn công từ chối dịch vụ (DoS) bằng cách kích hoạt lỗi dereference con trỏ trong kernel. Mức ảnh hưởng cao đến tính sẵn sàng cho thấy khả năng gây sập hệ thống hoặc khiến tài nguyên không khả dụng. 

CVE-2025-26675 – Lỗ hổng đọc ngoài vùng nhớ trong Windows Subsystem for Linux 

• Lỗ hổng đọc ngoài vùng nhớ (out-of-bounds read) trong Windows Subsystem for Linux (WSL) cho phép kẻ tấn công cục bộ đã được xác thực có thể leo thang đặc quyền. 

• Kẻ tấn công với quyền truy cập cấp thấp có thể khai thác lỗ hổng này để giành được quyền hệ thống cao hơn. Lỗ hổng có mức độ ảnh hưởng nghiêm trọng, có khả năng dẫn đến việc chiếm quyền điều khiển toàn bộ hệ thống. Nó ảnh hưởng đến nhiều phiên bản Windows, bao gồm cả Windows Server và Windows 10/11. Với điểm CVSS nghiêm trọng (7.8), lỗ hổng này mang lại rủi ro cao liên quan đến truy cập trái phép, thao túng dữ liệu và gián đoạn hệ thống. 

FPT Cloud khuyến cáo người dùng nếu đang sử dụng các phiên bản ứng dụng bị ảnh hưởng bởi các lỗ hổng trên thì nhanh chóng nâng cấp lên các bản vá mới nhất. 

• Chi tiết về các lỗ hổng có thể xem tại Advisories.

3. VMware  

Lỗ hổng leo thang đặc quyền cục bộ (CVE-2025-22231) 

• VMware Aria Operations tồn tại một lỗ hổng leo thang đặc quyền cục bộ. VMware đánh giá mức độ nghiêm trọng của lỗ hổng này ở mức Quan trọng với điểm CVSSv3 cơ bản tối đa là 7.8. 

• Một tác nhân độc hại với quyền quản trị viên cục bộ có thể khai thác lỗ hổng này để leo thang đặc quyền lên root trên thiết bị đang chạy VMware Aria Operations. 

Lỗ hổng bỏ qua xác thực trong VMware Tools (CVE-2025-22230) 

• VMware Tools dành cho Windows tồn tại lỗ hổng bỏ qua xác thực do kiểm soát truy cập không đúng cách. VMware đánh giá mức độ nghiêm trọng của lỗ hổng này ở mức Quan trọng, với điểm CVSSv3 cơ bản tối đa là 7.8. 

• Một tác nhân độc hại có quyền không phải quản trị viên trên máy ảo Windows (guest VM) có thể khai thác lỗ hổng này để thực hiện một số thao tác có đặc quyền cao trong máy ảo đó. 

FPT Cloud khuyến cáo người dùng nếu đang sử dụng các phiên bản ứng dụng bị ảnh hưởng bởi các lỗ hổng trên thì nhanh chóng nâng cấp lên các bản vá mới nhất.  

• Chi tiết về các bản vá có thể xem tại Advisories. 

 II. Một số sự kiện an ninh mạng đáng chú ý 

1. Fortinet cảnh báo: Kẻ tấn công duy trì quyền truy cập FortiGate sau khi vá lỗ hổng qua Exploit Symlink SSL-VPN 

Fortinet đã tiết lộ rằng các tác nhân đe dọa đã tìm cách duy trì quyền truy cập chỉ đọc vào các thiết bị FortiGate dễ bị tấn công ngay cả sau khi vector tấn công ban đầu được vá. 

Các kẻ tấn công được cho là đã khai thác các lỗ hổng bảo mật đã biết và hiện đã được vá, bao gồm nhưng không giới hạn các lỗ hổng CVE-2022-42475, CVE-2023-27997, và CVE-2024-21762. 

Fortinet cho biết đã có những thay đổi xảy ra trong hệ thống tệp người dùng mà không bị phát hiện, cho phép các liên kết tượng trưng (symlink) vẫn tồn tại ngay cả sau khi các lỗ hổng bảo mật - vốn là nguyên nhân dẫn đến quyền truy cập ban đầu - đã được vá. 

Điều này đã cho phép các tác nhân đe dọa duy trì quyền truy cập chỉ đọc vào các tệp trên hệ thống tệp của thiết bị, bao gồm cả cấu hình. Tuy nhiên, các khách hàng chưa bao giờ kích hoạt SSL-VPN sẽ không bị ảnh hưởng bởi vấn đề này. 

Hiện tại vẫn chưa xác định được danh tính các tác nhân đứng sau hoạt động này, nhưng Fortinet cho biết cuộc điều tra của họ chỉ ra rằng vụ tấn công không nhắm vào bất kỳ khu vực hay ngành công nghiệp cụ thể nào. Công ty cũng thông báo trực tiếp cho các khách hàng bị ảnh hưởng bởi sự cố này. 

Để ngăn ngừa các vấn đề tương tự xảy ra trong tương lai, một loạt các bản cập nhật phần mềm cho FortiOS đã được phát hành: 

• FortiOS 7.4, 7.2, 7.0, và 6.4 - Liên kết tượng trưng (symlink) được đánh dấu là độc hại và sẽ bị xóa tự động bởi công cụ antivirus. 

• FortiOS 7.6.2, 7.4.7, 7.2.11, 7.0.17, và 6.4.16 - Liên kết tượng trưng đã được xóa và giao diện SSL-VPN đã được sửa đổi để ngừng phục vụ các liên kết tượng trưng độc hại. 

Fortinet khuyến cáo khách hàng nâng cấp lên các phiên bản FortiOS 7.6.2, 7.4.7, 7.2.11, 7.0.17 hoặc 6.4.16. Đồng thời, người dùng nên rà soát lại toàn bộ cấu hình thiết bị, coi như đã bị xâm nhập, và thực hiện các biện pháp phục hồi phù hợp nhằm đảm bảo an toàn hệ thống. 

Cơ quan An ninh Mạng và Cơ sở Hạ tầng Hoa Kỳ (CISA) đã phát hành một thông báo riêng, khuyến nghị người dùng đặt lại mật khẩu bị lộ và cân nhắc tạm thời vô hiệu hóa chức năng SSL-VPN cho đến khi các bản vá có thể được áp dụng. Cơ quan Ứng phó Khẩn cấp Máy tính của Pháp (CERT-FR), trong một thông báo tương tự, cho biết họ đã nhận thức được các cuộc tấn công xảy ra từ đầu năm 2023. 

Benjamin Harris, Giám đốc điều hành watchTowr, cho biết vụ việc này là mối quan ngại vì hai lý do quan trọng: 

• Thứ nhất, việc khai thác thực tế đang diễn ra nhanh hơn rất nhiều so với tốc độ vá lỗi của các tổ chức. Đặc biệt, các kẻ tấn công rõ ràng đã nhận thức sâu sắc về sự thật này. 

• Thứ hai, sau khi khai thác thành công, các kẻ tấn công nhanh chóng triển khai các công cụ và cửa hậu nhằm duy trì sự hiện diện và quyền truy cập vào hệ thống bị xâm nhập, bất chấp các biện pháp vá lỗi, nâng cấp hay khôi phục cài đặt gốc mà tổ chức đã áp dụng để xử lý sự cố. 

Harris cũng cho biết các cửa hậu đã được triển khai trên toàn bộ cơ sở khách hàng của watchTowr, và họ đang "thấy tác động tại các tổ chức mà nhiều người sẽ gọi là cơ sở hạ tầng quan trọng." 

• Thông tin chi tiết hơn xem thêm tại đây.

2. Paper Werewolf triển khai Implant PowerModul trong các cuộc tấn công nhắm mục tiêu vào các ngành tại Nga 

Tác nhân đe dọa được biết đến với tên gọi Paper Werewolf đã được ghi nhận là nhắm vào các tổ chức tại Nga với một implant mới có tên PowerModul. 

Hoạt động này diễn ra từ tháng 7 đến tháng 12 năm 2024, nhắm vào các tổ chức trong lĩnh vực truyền thông đại chúng, viễn thông, xây dựng, các cơ quan chính phủ và ngành năng lượng, theo một báo cáo mới từ Kaspersky phát hành vào thứ Năm. 

Paper Werewolf, còn được biết đến với tên gọi GOFFEE, được đánh giá đã thực hiện ít nhất bảy chiến dịch kể từ năm 2022, theo BI.ZONE, với các cuộc tấn công chủ yếu nhắm vào chính phủ, năng lượng, tài chính, truyền thông và các tổ chức khác. 

Các chuỗi tấn công do tác nhân đe dọa này thực hiện cũng đã được ghi nhận là có chứa một thành phần phá hoại, trong đó các cuộc xâm nhập không chỉ phân phối phần mềm độc hại cho mục đích gián điệp mà còn thay đổi mật khẩu của các tài khoản nhân viên. 

Các cuộc tấn công được khởi xướng thông qua email lừa đảo chứa tài liệu có macro, khi được mở và macro được kích hoạt, tạo ra điều kiện cho việc triển khai một trojan truy cập từ xa dựa trên PowerShell có tên là Power RAT. 

Phần mềm độc hại này được thiết kế để triển khai các payload ở giai đoạn tiếp theo, thường bao gồm các biến thể tùy chỉnh của tác nhân Mythic framework, như PowerTaskel và QwakMyAgent. Ngoài ra, trong bộ công cụ của nhóm tác nhân đe dọa còn có một mô-đun IIS độc hại có tên Owowa, được sử dụng để đánh cắp thông tin xác thực Microsoft Outlook mà người dùng nhập thông qua giao diện web. 

Bộ tấn công mới nhất được Kaspersky ghi nhận bắt đầu với một tệp đính kèm RAR độc hại chứa một tệp thực thi giả mạo dưới dạng tệp PDF hoặc Word thông qua một phần mở rộng kép (ví dụ, *.pdf.exe hoặc *.doc.exe). Khi tệp thực thi được khởi chạy, tệp giả mạo sẽ được tải xuống từ máy chủ từ xa và hiển thị cho người dùng, trong khi quá trình lây nhiễm tiếp tục ở phía sau. 

"Tệp này là một tệp hệ thống Windows (explorer.exe hoặc xpsrchvw.exe), với một phần mã của nó đã bị vá với shellcode độc hại," Kaspersky cho biết Shellcode này tương tự như những gì ông đã thấy trong các cuộc tấn công trước đây, nhưng còn chứa thêm một agent Mythic bị che giấu, ngay lập tức bắt đầu giao tiếp với máy chủ chỉ huy và điều khiển (C2). 

Paper Werewolf triển khai Implant PowerModul 

Một chuỗi tấn công thay thế, tinh vi hơn, sử dụng tệp RAR chứa tài liệu Microsoft Office có nhúng macro. Macro này đóng vai trò như một dropper dùng để triển khai và khởi chạy PowerModul – một script PowerShell có khả năng nhận và thực thi các script PowerShell bổ sung từ máy chủ điều khiển và chỉ huy (C2). 

Backdoor này được cho là đã được sử dụng từ đầu năm 2024, với các tác nhân đe dọa ban đầu sử dụng nó để tải và thực thi PowerTaskel trên các hệ thống bị xâm nhập. Một số payload khác được PowerModul thả ra bao gồm: 

• FlashFileGrabber: được sử dụng để đánh cắp các tệp từ phương tiện truyền thông có thể tháo rời như ổ flash và xuất khẩu chúng đến máy chủ C2. 

• FlashFileGrabberOffline: một biến thể của công cụ FlashFileGrabber, được thiết kế để tìm kiếm các tệp có phần mở rộng cụ thể trên thiết bị lưu trữ di động. Khi phát hiện các tệp mục tiêu, công cụ này sẽ sao chép chúng vào ổ đĩa cục bộ, tại thư mục "%TEMP%\CacheStore\connect". 

• USB Wormz; có khả năng lây nhiễm các phương tiện truyền thông có thể tháo rời với bản sao của PowerModul. 

PowerTaskel hoạt động tương tự như PowerModul về mặt chức năng, cũng được thiết kế để chạy các script PowerShell do máy chủ C2 gửi. Tuy nhiên, nó cũng có thể gửi thông tin về môi trường mục tiêu dưới dạng một tin nhắn "checkin", cũng như thực thi các lệnh khác nhận được từ máy chủ C2 dưới dạng các nhiệm vụ. Nó cũng được trang bị khả năng nâng cao quyền hạn bằng cách sử dụng tiện ích PsExec. 

Đã có trường hợp PowerTaskel được phát hiện nhận một script với thành phần FolderFileGrabber, không chỉ sao chép các tính năng của Flash File Grabber mà còn bao gồm khả năng thu thập các tệp từ hệ thống từ xa qua một đường dẫn mạng cứng mã hóa sử dụng giao thức SMB. 

"Đây là lần đầu tiên, họ đã sử dụng tài liệu Word với các script VBA độc hại cho nhiễm bệnh ban đầu," Kaspersky cho biết. Gần đây, ông đã quan sát thấy rằng GOFFEE ngày càng bỏ qua việc sử dụng PowerTaskel để chuyển sang agent Mythic nhị phân trong quá trình di chuyển ngang." 

Sự phát triển này diễn ra trong bối cảnh BI.ZONE ghi nhận một nhóm đe dọa khác có tên Sapphire Werewolf thực hiện một chiến dịch lừa đảo với việc phân phối phiên bản cập nhật của Amethyst, một nhánh của SapphireStealer mã nguồn mở. 

Phần mềm đánh cắp này thu thập "thông tin xác thực từ Telegram và các trình duyệt khác nhau, bao gồm Chrome, Opera, Yandex, Brave, Orbitum, Atom, Kometa và Edge Chromium cũng như các tệp cấu hình FileZilla và SSH," công ty Nga cho biết, đồng thời nó cũng có thể thu thập các tài liệu, bao gồm cả những tài liệu được lưu trữ trên phương tiện truyền thông có thể tháo rời. 

• Thông tin chi tiết hơn xem thêm tại đây. 

3. Palo Alto Networks cảnh báo về các nỗ lực tấn công Brute-Force nhắm mục tiêu cổng GlobalProtect PAN-OS 

Palo Alto Networks đã tiết lộ rằng họ đang quan sát nỗ lực đăng nhập brute-force nhằm vào các cổng GlobalProtect của PAN-OS sau khi các chuyên gia tìm kiếm mối đe dọa cảnh báo về sự gia tăng hoạt động quét đăng nhập nghi ngờ nhắm vào các thiết bị của hãng. 

Sự phát triển này diễn ra sau khi công ty trình báo mối đe dọa GreyNoise cảnh báo về một đợt gia tăng hoạt động quét đăng nhập nghi ngờ nhắm vào các cổng PAN-OS GlobalProtect. 

Công ty cũng lưu ý rằng hoạt động này bắt đầu vào ngày 17 tháng 3 năm 2025, đạt đỉnh với 23.958 địa chỉ IP độc nhất trước khi giảm dần vào cuối tháng trước. Mẫu hoạt động này cho thấy một nỗ lực có phối hợp nhằm kiểm tra các phòng thủ mạng và xác định những hệ thống bị lộ hoặc dễ bị tấn công. 

Hoạt động quét đăng nhập chủ yếu nhắm vào các hệ thống tại Hoa Kỳ, Vương quốc Anh, Ireland, Nga và Singapore. 

Hiện tại, chưa rõ mức độ lan rộng của các nỗ lực này cũng như liệu chúng có phải là hành động của một tác nhân đe dọa cụ thể nào hay không. The Hacker News đã liên hệ với Palo Alto Networks để yêu cầu thêm bình luận, và chúng tôi sẽ cập nhật tình hình khi có thông tin. 

Trong khi chờ đợi, tất cả khách hàng được khuyến cáo đảm bảo rằng họ đang chạy phiên bản PAN-OS mới nhất. Các biện pháp giảm thiểu khác bao gồm thi hành xác thực đa yếu tố (MFA), cấu hình GlobalProtect để hỗ trợ thông báo MFA, thiết lập các chính sách bảo mật để phát hiện và ngăn chặn các cuộc tấn công brute-force, và hạn chế những tiếp xúc không cần thiết với Internet. 

• Thông tin chi tiết hơn xem thêm tại đây. 

Đứng trước những cuộc tấn công mạng ngày càng tinh vi và nguy hiểm như hiện nay, FPT Cloud khuyến cáo người dùng nên tích hợp các giải pháp bảo mật dữ liệu tiên tiến cùng sao lưu và khôi phục dữ liệu tức thời, an toàn và toàn vẹn.  

Tìm hiểu thêm thông tin chi tiết về dịch vụ sao lưu dữ liệu tại đây. 

Liên hệ với chúng tôi để được tư vấn về sản phẩm của FPT Cloud
Fanpage: https://www.facebook.com/fptsmartcloud/
Email: [email protected]
Hotline: 1900 638 399