Các lỗ hổng bảo mật được công bố và sự kiện an ninh mạng đáng chú ý trong tháng 05

I. Các lỗ hổng bảo mật được công bố trong tháng 05/2025 

1. Microsoft  

Vào tháng 05/2025, Microsoft đã công bố bản cập nhật giúp khắc phục 72 lỗ hổng, trong đó có 05 lỗ hổng đang bị khai thác tích cực và 02 lỗ hổng zero-day. Bản cập nhật này cũng sửa sáu lỗ hổng "Quan trọng", năm lỗ hổng thuộc loại thực thi mã từ xa (Remote Code Execution) và một lỗ hổng lỗi tiết lộ thông tin.  

Số lượng lỗ hổng theo từng loại như sau: 

• 17 lỗ hổng nâng cao đặc quyền (Elevation of Privilege Vulnerabilities). 
• 02 lỗ hổng bỏ qua tính năng bảo mật (Security Feature Bypass Vulnerabilities). 
• 28 lỗ hổng thực thi mã từ xa (Remote Code Execution Vulnerabilities). 
• 15 lỗ hổng rò rỉ thông tin (Information Disclosure Vulnerabilities). 
• 07 lỗ hổng tấn công từ chối dịch vụ (Denial of Service Vulnerabilities). 
• 02 lỗ hổng giả mạo (Spoofing Vulnerabilities). 

 Để tìm hiểu thêm về các bản cập nhật không liên quan đến bảo mật, có thể tham khảo các bài viết riêng về các bản cập nhật tích lũy Windows 11 KB5055523 & KB5055528 và bản cập nhật Windows 10 KB5055518. 

Trong bản vá tháng này, Microsoft đã sửa một lỗ hổng zero-day đang bị khai thác tích cực và đã được công khai. Microsoft định nghĩa lỗ hổng zero-day là lỗ hổng đã được công khai hoặc đang bị khai thác trước khi có bản sửa lỗi chính thức. 

Lỗ hổng được khắc phục trong bản cập nhật lần này là: 

CVE-2025-30400 - Microsoft DWM Core Library Elevation of Privilege 

• Khai thác lỗ hổng leo thang đặc quyền giúp kẻ tấn công đạt được quyền SYSTEM. 

• “Use after free" trong Windows DWM cho phép kẻ tấn công đã xác thực leo thang đặc quyền. 

CVE-2025-32701 - Windows Common Log File System Driver Elevation of Privilege 

• Khai thác lỗ hổng giúp kẻ tấn công đạt được quyền SYSTEM. 

• “Use after free" trong Windows Common Log File System Driver cho phép leo thang đặc quyền cục bộ.  

CVE-2025-32706 - Windows Common Log File System Driver Elevation of Privilege  

• Khai thác lỗ hổng giúp kẻ tấn công đạt được quyền SYSTEM.  

• Xác thực đầu vào không đúng trong Windows Common Log File System Driver.  

CVE-2025-32709 - Windows Ancillary Function Driver for WinSock Elevation of Privilege  

• Khai thác lỗ hổng giúp kẻ tấn công đạt được quyền SYSTEM.  

• "Use after free" trong Windows Ancillary Function Driver for WinSock.  

CVE-2025-30397 - Scripting Engine Memory Corruption  

• Lỗ hổng RCE qua Microsoft Edge hoặc Internet Explorer.  

• Khai thác "type confusion" trong Microsoft Scripting Engine có thể dẫn đến thực thi mã từ xa.  

Các bản cập nhật bảo mật từ các hãng khác trong tháng 5/2025: 

Apple: Apple phát hành bản cập nhật bảo mật cho iOS, iPads và macOS.  

Cisco: Cisco công bố bản vá lỗi nghiêm tọng trong IOS XE Software.  

Fortinet: Fortinet thực hiện vá lỗ hổng zero-day trên FortiVoice. 

Google: Google cập nhật phiên bản bảo mật tháng 5/2025 cho Android. 

Intel: Intel triển khai vá lỗi “Branch Privilege Injection". 

SAP: SAP thực hiện vá lỗ hổng RCE nghiêm trọng.  

SonicWALL: SonicWALL triển khai vá lỗ hổng zero-day đang bị khai thác. 

FPT Cloud khuyến cáo người dùng nào đã và đang sử dụng các sản phẩm của Microsoft mà có khả năng nằm trong các phiên bản chứa lỗ hổng trên thì nên thực hiện theo khuyến nghị của Microsoft để tránh bị nhắm tới trong các cuộc tấn công mạng. 

Danh sách dưới đây liệt kê 6 lỗ hổng đã có bản vá trong tháng 5 được đánh giá ở mức độ nghiêm trọng: 

Chi tiết về từng loại lỗ hổng và bản vá có thể xem thêm tại Tuesday Patch & paper. 

2. Linux  

CVE-2025-21756: “Attack of the Vsock” 

• Lỗ hổng nghiêm trọng trong mô-đun vsoclk (Virtual Socket) của nhân Linux, cho phép kẻ tấn công leo thang đặc quyền lên root thông qua lỗi use-after-free. Lỗ hổng đặc biệt nguy hiểm với các hệ thống ảo hoá như VMware, Docker, Kubernetes và môi trường đám mây. 

• Hiện nay đã có các bản vá cho các phiên bản kernel 6.6.79, 6.12.16, 6.13.4 và 6.14-rc1. 

• Xem thêm thông tin chi tiết tại: gbhackers.com+1Medium+1ASEC  

CVE-2025-37810: Lỗi trong TIOCL_SELMOUSEREPORT 

• Một lỗ hổng lỗi logic trong xử lý chế độ TIOCL_SELMOUSEREPORT của tty subsystem, cho phép kẻ tấn công giả lập đầu vào bàn phím trên terminal, tương tự như tấn công TIOCSTI. Lỗ hổng có thể dẫn đến chèn lệnh trái phép vào các ứng dụng dòng lệnh như bash hoặc readline. 

• Hiện tại đã có bản vá yêu cầu quyền CAP_SYS_ADMIN cho mọi trường hợp sử dụng TIOCL_SELMOUSEREPORT. 

• Xem thêm thông tin chi tiết tại: wiz.io  

CVE-2025-37821: Lỗi trong bộ lập lịch EEVDF 

• Lỗi xuất hiện trong hàm dequeue_entities() của bộ lập lịch EEVDF có thể đặt giá trị slice của một thực thể lập lịch thành U64_MAX, dẫn đến sự cố hệ thống gây treo hoặc sập hệ thống khi xử lý các thực thể lập lịch bị trì hoãn.  

• Hiện tại đã có bản vá để xử lý giá trị slice không hợp lệ. 

• Xem thêm thông tin chi tiết tại: wiz.io 

CVE-2025-21863: Lỗi trong io_uring 

• Lỗ hổng trong io_uring liên quan đến việc sử dụng sqe->opcode mà không kiểm tra đúng cách, có thể dẫn đến hành vi không mong muốn tạo điều kiện cho các tấn công dự đoán opcode, ảnh hưởng đến tính toàn vẹn của hệ thống.  

• Hiện tại đã có bản vá để ngăn chặn việc dự đoán opcode không hợp lệ. 

• Xem thêm thông tin chi tiết tại: nvd.nist.gov+1TechRadar+1  

FPT Cloud khuyến cáo người dùng nếu đang sử dụng các phiên bản ứng dụng bị ảnh hưởng bởi các lỗ hổng trên thì nhanh chóng nâng cấp lên các bản vá mới nhất. 

Chi tiết về các lỗ hổng có thể xem tại Advisories. 

3. VMware  

CVE-2025-22231 – Lỗ hổng leo thang đặc quyền cục bộ trong VMware Aria Operations 

• VMware Aria Operations tồn tại một lỗ hổng cho phép kẻ tấn công có quyền quản trị viên cục bộ leo thang đặc quyền lên root trên thiết bị chạy VMware Aria Operatuons, ảnh hưởng trực tiếp lên VMware Aria Operations, VMware Cloud Foundation, VMware Telco Cloud Platform và VMware Telco Cloud Infrastructure. 

• VMware đánh giá mức độ nghiêm trọng của lỗ hổng này ở mức Quan trọng với điểm CVSSv3 cơ bản tối đa là 7.8. 

• Phiên bản VMware Aria Operations 8.x trước phiên bản 8.18 HF5 sẽ trực tiếp chịu ảnh hưởng bởi lỗ hổng này. 

• FPT Cloud khuyến cáo người dùng nên cập nhật lên phiên bản 8.18 HF5 để khắc phục lỗ hổng này. 

CVE-2025-22230 – Lỗ hổng bỏ qua xác thực trong VMware Tools for Windows 

• VMware Tools dành cho Windows tồn tại lỗ hổng cho phép kẻ tấn công có quyền không phải quản trị viên trên máy ảo Windows thực hiện các thao tác có đặc quyền cáo trong máy ảo đó do kiểm soát truy cập không đúng cách.  

• VMware đánh giá mức độ nghiêm trọng của lỗ hổng này ở mức Quan trọng, với điểm CVSSv3 cơ bản tối đa là 7.8. 

• VMware Tools for Windows phiên bản 11.x và 12.x trước 12.5.1 trực tiếp chịu ảnh hưởng bởi lỗ hổng này. 

• FPT Cloud khuyến cáo người dùng nên cập nhật VMware Tools for Windows lên phiên bản 12.5.1 để khắc phục lỗ hổng này.  

Chi tiết về các bản vá có thể xem tại Advisories. 

II. Một số sự kiện an ninh mạng đáng chú ý 

1. Gói PyPI độc hại giả mạo công cụ Solana đánh cắp mã nguồn 

Các nhà nghiên cứu an ninh mạng đã phát hiện một gói độc hại trên kho PyPI (Python Package Index) mang tên "solana-token". Gói này giả dạng là một công cụ liên quan đến blockchain Solana nhưng thực tế lại chứa mã độc nhằm đánh cắp mã nguồn và các bí mật của nhà phát triển.  

• Số lượt tải xuống: 761 lần  

• Thời gian công bố: Đầu tháng 4/2024  

• Tình trạng hiện tại: Gói đã bị xóa khỏi PyPI 

Hành vi gây hại: 

• Khi được cài đặt, gói độc hại cố gắng trích xuất mã nguồn và bí mật nhà phát triển từ máy của nạn nhân đến một địa chỉ IP cố định.  

• Hành vi này được thực thi thông qua hàm giả mạo có tên "register_node()".  

• Nhắm vào các nhà phát triển đang xây dựng blockchain tùy chỉ. 

Gói độc hại này có khả năng trộm cắp bí mật về tiền mã hoá, đặc biệt là những bí mật được nhúng trong mã nguồn. Mặc dù chưa rõ cách thức phát tán nhưng có thể gói được quảng bá trên các nền tảng dành cho lập trình viên.  

Các nhà phát triển nên giám sát chặt chẽ các thay đổi bất thường trong các thư viện mã nguồn mở hoặc thương mại của bên thứ ba. 

FPT Cloud khuyến cáo người dùng nên kiểm tra kỹ lưỡng trước khi cài đặt bất kỳ gói PyPI nào, đặc biệt là các gói ít người sử dụng hoặc có tên đáng ngờ, giám sát hoạt động bất thường trong môi trường phát triển phần mềm và cập nhật phần mềm bảo mật để phát hiện các gói độc hại sớm nhất có thể. 

2. Nhóm APT Konni của Triều Tiên tấn công Ukraine để theo dõi tiến độ xâm lược của Nga 

Nhóm tin tặc Konni APT (còn được gọi là Opal Sleet, Osmium, TA406, Vedalia) được cho là đứng sau chiến dịch tấn công lừa đảo (phishing) nhắm vào các cơ quan chính phủ tại Ukraine. Mục đích là thu thập thông tin về tiến trình xâm lược của Nga. 

Phương án tấn công được sử dụng:  

• Sử dụng email lừa đảo giả danh một chuyên gia cao cấp của tổ chức không tồn tại có tên Royal Institute of Strategic Studies.  

• Tệp đính kèm: Liên kết đến tệp RAR được bảo vệ bằng mật khẩu, chứa một tệp CHM với nội dung đánh lạc hướng.  

• Cơ chế lây nhiễm:  

• • Nếu nạn nhân nhấp vào, lệnh PowerShell được kích hoạt để tải xuống payload từ máy chủ bên ngoài.  

• • Payload là một tập lệnh PowerShell mã hóa Base64, thu thập thông tin hệ thống và gửi về máy chủ của kẻ tấn công.  

• Biến thể tấn công:  

• • Sử dụng tệp HTML chứa liên kết đến tệp ZIP có chứa một tệp LNK và tệp PDF vô hại.  

• • Khi tệp LNK chạy, nó giải mã và kích hoạt tập lệnh JavaScript Encoded (JSE) thông qua Visual Basic Script để liên lạc với máy chủ của kẻ tấn công. 

Nhóm Konni còn sử dụng email giả mạo cảnh báo bảo mật của Microsoft từ tài khoản ProtonMail, nhằm thu thập thông tin đăng nhập của các tổ chức chính phủ Ukraine.  

Mục tiêu:  

• Konni APT: Thu thập thông tin chiến lược, chính trị để hỗ trợ chính quyền Triều Tiên, không tập trung vào các thông tin chiến thuật trên chiến trường như các nhóm tin tặc Nga.  

• Kimsuky: Tấn công các cơ quan chính phủ Hàn Quốc, sử dụng kỹ thuật tấn công đa giai đoạn với tệp LNK, PowerShell, và PEBBLEDASH để thu thập dữ liệu nhạy cảm.  

Trong thời gian gần đây, Operation ToyBox Story - nhắm vào các nhà hoạt động tại Hàn Quốc, sử dụng tệp LNK để kích hoạt mã độc RoKRAT, thu thập thông tin hệ thống và sử dụng dịch vụ đám mây làm máy chủ điều khiển (C2).  

FPT Cloud khuyến cáo người dùng nên: 

• Cảnh giác với email lừa đảo: Không mở các tệp đính kèm hoặc nhấp vào liên kết từ nguồn không xác minh.  

• Giám sát lưu lượng mạng: Phát hiện các kết nối đáng ngờ đến máy chủ bên ngoài.  

• Tăng cường bảo mật PowerShell: Giới hạn quyền thực thi và theo dõi các lệnh đáng ngờ.  

• Bảo mật hệ thống: Thực hiện cập nhật bảo mật thường xuyên và triển khai các giải pháp giám sát mối đe dọa.

3. Khai thác lỗ hổng Zero-Day, phần mềm độc hại nhắm vào nhà phát triển, botnet IoT và các chiến dịch lừa đảo sử dụng AI 

Trong tuần này, các mối đe dọa an ninh mạng tập trung vào việc khai thác lỗ hổng Zero-Day, phần mềm độc hại nhắm vào nhà phát triển, botnet IoT và các chiến dịch lừa đảo được hỗ trợ bởi AI. Một loạt lỗ hổng bảo mật nghiêm trọng đã bị khai thác, bao gồm lỗ hổng leo thang đặc quyền trên Windows (CVE-2025-29824) và các lỗ hổng trong hệ thống IT như SysAid, SonicWall, Cisco và Elastic Kibana.  

Tội phạm mạng tiếp tục tận dụng các thiết bị IoT lỗi thời để xây dựng mạng botnet phục vụ các cuộc tấn công DDoS, điển hình là mạng proxy 5Socks vừa bị triệt phá. Ngoài ra, mã độc nhắm vào nhà phát triển cũng đáng lo ngại, với các gói npm độc hại giả danh công cụ API của Cursor, nhắm vào môi trường macOS.  

Trong khi đó, các chiến dịch lừa đảo do AI hỗ trợ ngày càng phức tạp, gây nhiễu loạn cho các chương trình tìm lỗi bảo mật bằng cách tạo ra các báo cáo giả mạo. Ngoài ra, các nhóm tấn công có liên kết với nhà nước như COLDRIVER và Golden Chickens tiếp tục triển khai phần mềm gián điệp để thu thập dữ liệu nhạy cảm từ các tổ chức chính phủ và tài chính.  

Trong bối cảnh đó, việc thực thi các biện pháp bảo vệ cơ sở hạ tầng trọng yếu và cập nhật hệ thống kịp thời trở nên cấp thiết hơn bao giờ hết. Các tổ chức cần chủ động trong việc vá lỗi, quản lý quyền truy cập đặc quyền và bảo vệ hệ thống OT để đối phó với các mối đe dọa ngày càng tinh vi.  

Đứng trước những cuộc tấn công mạng ngày càng tinh vi và nguy hiểm như hiện nay, FPT Cloud khuyến cáo người dùng nên tiến hành ứng dụng các biện pháp bảo mật dữ liệu tiên tiến giúp sao lưu và khôi phục dữ liệu tức thời, an toàn và toàn vẹn.  

• Tìm hiểu thêm thông tin chi tiết về dịch vụ sao lưu dữ liệu của FPT Cloud tại đây. 

Liên hệ với chúng tôi để được tư vấn về sản phẩm của FPT Cloud
Fanpage: https://www.facebook.com/fptsmartcloud/ 
Email: [email protected]
Hotline: 1900 638 399