Các lỗ hổng bảo mật được công bố và sự kiện an ninh mạng đáng chú ý trong tháng 06

I. Các lỗ hổng bảo mật được công bố trong tháng 06/2025

1. Microsoft

Vào tháng 06/ 2025, Microsoft đã công bố bản cập nhật cho các lỗ hổng bao gồm 66 lỗ hổng, trong đó có một lỗ hổng đang bị khai thác tích cực và một lỗ hổng khác đã được công bố công khai. Bản cập nhật này cũng sửa mười lỗ hổng "nghiêm trọng", tám trong số đó là lỗ hổng thực thi mã từ xa và hai là lỗi leo thang đặc quyền.

Số lượng lỗ hổng theo từng loại như sau:

• 13 lỗ hổng leo thang đặc quyền
• 3 lỗ hổng bỏ qua tính năng bảo mật
• 25 lỗ hổng thực thi mã từ xa
• 17 lỗ hổng tiết lộ thông tin
• 6 lỗ hổng tấn công từ chối dịch vụ
• 2 lỗ hổng giả mạo

Các lỗ hổng này không bao gồm các lỗi của Mariner, Microsoft Edge và Power Automate đã được khắc phục vào đầu tháng này.

Để tìm hiểu thêm về các bản cập nhật không liên quan đến bảo mật được phát hành hôm nay, bạn có thể xem lại các bài viết riêng của chúng tôi về các bản cập nhật tích lũy Windows 11 KB5060842 và KB5060999 và bản cập nhật tích luỹ Windows 10 KB5060533.

Bản vá của tháng này khắc phục một lỗ hổng zero-day đang bị khai thác tích cực và một lỗ hổng đã được tiết lộ công khai. Microsoft phân loại một lỗ hổng zero-day là đã được tiết lộ công khai hoặc đang bị khai thác tích cực trong khi chưa có bản vá chính thức.

Lỗ hổng được khắc phục trong bản cập nhật lần này: 

CVE-2025-33053 - Lỗ hổng Thực thi Mã từ xa trong Web Distributed Authoring and Versioning (WEBDAV)

• Lỗ hổng RCE trong Web Distributed Authoring and Versioning.
• Khai thác “URL WebDAV” trong Windows Web Distributed Authoring and Versioning cho phép thực thi mã từ xa.

Lỗ hổng zero-day đã được tiết lộ công khai:

CVE-2025-33073 - Lỗ hổng Leo thang Đặc quyền trong Windows SMB Client

• Khai thác lỗ hổng giúp kẻ tấn công đạt quyền SYSTEM.
• Kiểm soát truy cập không đúng trong Windows SMB cho phép leo thang đặc quyền.

Các bản cập nhật bảo mật từ các hãng khác trong tháng 06/2025:

Adobe: Cập nhật bảo mật cho InCopy, Experience Manager, Commerce, InDesign, Acrobat Reader, Substance 3D.

Cisco: Thực hiện vá lỗi cho Identity Services Engine (ISE) và Customer Collaboration Platform (CCP).

Fortinet: Triển khai vá lỗi cho FortiManager, FortiAnalyzer & FortiAnalyzer-BigData.

Google: Cập nhật phiên bản bảo mật tháng 6/2025 cho Android.

Hewlett Packard Enterprise (HPE): Thực hiện vá lỗ hổng ảnh hưởng đến StoreOnce.

Ivanti: Công bố vá lỗ hổng nghiêm trọng trong Workspace Control (IWC).

Qualcomm: Triển khai vá lỗ hổng trong GPU Adreno.

Roundcube: Thực hiện vá lỗ hổng RCE nghiêm trọng.

SAP: Triển khai vá lỗ hổng nghiêm trọng trong SAP NetWeaver Application Server cho ABAP.

FPT Cloud khuyến cáo người dùng nào đã và đang sử dụng các sản phẩm nào của Microsoft mà có khả năng nằm trong các phiên bản chứa lỗ hổng trên thì nên thực hiện theo khuyến nghị của Microsoft để tránh bị nhắm tới trong các cuộc tấn công mạng. 

Danh sách dưới đây là các lỗ hổng đã có bản vá trong các bản cập nhật tháng 6/2025:

Chi tiết về từng loại lỗ hổng và bản vá có thể xem thêm tại Tuesday Patch & paper.

2. Linux

CVE-2025-5986 - Mozilla Thunderbird

• Lỗ hổng trong Mozilla Thunderbird cho phép email HTML chứa liên kết mailbox:/// tự động tải tệp .pdf về máy mà không cần thông báo, ngay cả khi đã tắt tự động lưu. Hành vi có thể bị lạm dụng để lấp đầy ổ đĩa bằng dữ liệu rác hoặc rò rỉ thông tin xác thực Windows qua liên kết SMB. 
• Việc xem email ở chế độ HTML là đủ để kích hoạt, ảnh hưởng đến Thunderbird < 128.11.1 và < 139.0.2.

CVE-2025-38004 - Lỗi Out-of-bounds trong bcm_can_tx

• Lỗ hổng vượt giới hạn bộ nhớ trong hàm bcm_can_tx của giao thức CAN trên nhân Linux, do điều kiện cạnh khi cập nhật chuỗi khung CAN trong lúc chạy.
• Hiện tại lỗ hổng đã được vá bằng cách thêm cơ chế khóa đồng bộ.

CVE-2025-38003 - Lỗi trong rcu_read_lock

• Lỗi use-after-free khi đọc nội dung procfs liên quan bcm_op đang bị xóa trong nhân Linux, việc khai thác có thể dẫn đến đọc dữ liệu không đáng tin cậy. 
• Hiện tại lỗi được vá bằng cách bổ sung lệnh rcu_read_lock().

CVE-2025-38002 -  Lỗ hổng trong io_uring_show_fdinfo

• Lỗ hổng rò rỉ thông tin trong hàm io_uring_show_fdinfo() do không chiếm đủ khóa bảo vệ.
• Hiện tại đã được vá bằng cách bao toàn bộ hàm trong trylock().

FPT Cloud khuyến cáo người dùng nhanh chóng nâng cấp lên các bản vá mới nhất nếu đang sử dụng các phiên bản ứng dụng bị ảnh hưởng bởi các lỗ hổng trên.

Xem thêm thông tin chi tiết về các lỗ hổng tại Advisories.

3. VMware

CVE-2025-22243 – VMware NSX Manager UI tấn công cross site scripting

• Giao diện người dùng của VMware NSX Manager dễ bị tấn công Cross-Site Scripting (XSS) dạng lưu trữ do việc kiểm tra đầu vào không đúng cách, kẻ tấn công có quyền tạo hoặc chỉnh sửa thiết lập mạng có thể chèn mã độc, mã này sẽ thực thi khi người dùng khác xem phần thiết lập mạng.
• VMware đánh giá lỗ hổng ở mức quan trọng với điểm CVSSv3 tối đa 7.5.
• FPT Cloud khuyến cáo người dùng cập nhật theo phiên bản được liệt kê trong 'Fixed Version' của 'Response Matrix'.

CVE-2025-22244 – Lỗ hổng Stored Cross-Site Scripting (XSS) trong tường lửa gateway

• VMware NSX chứa lỗ hổng Stored XSS trong tường lửa gateway do kiểm tra đầu vào không đúng cách. Kẻ tấn công có quyền chỉnh sửa trang phản hồi khi lọc URL có thể chèn mã độc, thực thi khi người dùng khác truy cập trang web bị lọc.
• VMware đánh giá mức độ nghiêm trọng của vấn đề ở mức Trung bình với điểm CVSSv3 cơ bản tối đa là 6.9.
• FPT Cloud khuyến cáo cập nhật theo bản vá được chỉ định trong 'Fixed Version'.

CVE-2025-22245 – Lỗ hổng Stored Cross-Site Scripting (XSS) trong cổng định tuyến

• VMware NSX chứa lỗ hổng Stored XSS trong cổng định tuyến do kiểm tra đầu vào không đúng cách. Kẻ tấn công có quyền chỉnh sửa cổng định tuyến có thể chèn mã độc, thực thi khi người dùng khác truy cập cổng đó.
• VMware đánh giá mức độ nghiêm trọng của vấn đề ở mức Trung bình với điểm CVSSv3 cơ bản tối đa là 5.9.
• FPT Cloud khuyến cáo cập nhật theo bản vá được chỉ định trong 'Fixed Version'.

Chi tiết về các bản vá có thể xem tại Advisories.

II. Một số sự kiện an ninh mạng đáng chú ý 

1. Hơn 269.000 trang web bị nhiễm mã độc JavaScript JSFireTruck trong một tháng

Các nhà nghiên cứu bảo mật từ Unit 42 (Palo Alto Networks) mới đây đã cảnh báo về một chiến dịch tấn công mạng quy mô lớn, khi hàng loạt trang web hợp pháp chứa mã JavaScript độc hại sử dụng kỹ thuật làm rối có tên JSFireTruck.

Mã này được thiết kế để kiểm tra referrer của trang web – nếu là một công cụ tìm kiếm như Google, Bing, DuckDuckGo, Yahoo! hoặc AOL, đoạn mã JavaScript sẽ chuyển hướng nạn nhân đến các URL độc hại có thể phát tán phần mềm độc hại, khai thác lỗ hổng, kiếm tiền từ lưu lượng truy cập, hoặc quảng cáo độc hại.

Trong khoảng thời gian từ 26/3 đến 25/4/2025, hệ thống giám sát của Unit 42 đã ghi nhận 269.552 trang web bị nhiễm mã độc, với đỉnh điểm hơn 50.000 trang bị nhiễm chỉ trong một ngày.

Đáng chú ý, một mối đe doạ nguy hiểm mới xuất hiện: HelloTDS#

Không chỉ dừng lại ở mã độc JSFireTruck, các chuyên gia bảo mật còn cảnh báo thêm về HelloTDS - một hệ thống phân phối lưu lượng truy cập (Traffic Distribution Service - TDS) nguy hiểm có tên HelloTDS.

Hệ thống này được thiết kế để điều kiện chuyển hướng nạn nhân đến các trang CAPTCHA giả mạo, lừa đảo hỗ trợ kỹ thuật, cập nhật trình duyệt giả, tiện ích không mong muốn, và các trò lừa đảo tiền mã hóa.

Đặc biệt, HelloTDS sử dụng kỹ thuật đánh giá nạn nhân dựa trên vị trí địa lý, địa chỉ IP và dấu vết trình duyệt. 

Một số chiến dịch lợi dụng HelloTDS còn phân phối mã độc PEAKLIGHT (Emmental Loader), chuyên phát tán các phần mềm đánh cắp thông tin như Lumma Stealer.

FPT Cloud khuyến cáo người dùng cần cảnh giác khi truy cập vào các trang web lạ, đặc biệt là trang phát trực tuyến hoặc chia sẻ tập tin, và thường xuyên cập nhật phần mềm bảo mật để giảm thiểu rủi ro an ninh mạng.

Xem thêm thông tin chi tiết tại đây.

2. Tấn công chiếm dụng liên kết mời Discord phát tán AsyncRAT và Skuld Stealer nhắm đến ví tiền điện tử

Một chiến dịch phần mềm độc hại mới đang khai thác điểm yếu trong hệ thống lời mời (invite) của Discord để phát tán trình đánh cắp thông tin có tên Skuld và trojan điều khiển từ xa AsyncRAT nhắm đến ví tiền điện tử.

Theo báo cáo từ Check Point, những kẻ tấn công đã chiếm dụng các liên kết mời đã hết hạn thông qua việc đăng ký vanity link, âm thầm chuyển hướng người dùng từ các nguồn uy tín đến máy chủ độc hại. Chiến dịch kết hợp ClickFix - kỹ thuật đánh lừa nạn nhân thực hiện các thao tác xác minh giả mạo, nhưng thực chất là cài đặt mã độc.

Khi nhấn vào nút “Verify”, người dùng sẽ vô tình kích hoạt quá trình tải về mã độc, dẫn đến việc cài đặt AsyncRATvà phiên bản Skuld Stealer. AsyncRAT cho phép kẻ tấn công điều khiển từ xa hệ thống bị nhiễm, trong khi Skuld chuyên thu thập dữ bao gồm mật khẩu, seed phrase và thông tin từ các ví tiền điện tử như Exodus và Atomic. 

Đặc biệt, Skuld sử dụng kỹ thuật wallet injection - ay thế các tệp ứng dụng hợp pháp bằng phiên bản đã bị trojan hóa nhằm mục tiêu vào nền tảng mạng xã hội. Các nạn nhân chủ yếu đến từ Hoa Kỳ, Việt Nam, Pháp, Đức, Slovakia, Áo, Hà Lan và Vương quốc Anh.

Hiện nay những cuộc tấn công mạng ngày càng tinh vi và nguy hiểm FPT Smart Cloud khuyến cáo người dùng cần cảnh giác khi truy cập các liên kết mời Discord. Không thực hiện thao tác “xác minh” hoặc chạy lệnh lạ theo hướng dẫn không rõ ràng, nên cập nhật phần mềm bảo mật thường xuyên và tăng cường giám sát để hạn chế rủi ro.

Thông tin chi tiết hơn xem thêm tại đây.

3. Các băng nhóm ransomware khai thác lỗ hổng SimpleHelp chưa được vá để nhắm mục tiêu nạn nhân với hình thức tống tiền kép

Cơ quan An ninh mạng Hoa Kỳ (CISA) tiết lộ rằng các tác nhân ransomware đang đang nhắm mục tiêu các phiên bản SimpleHelp (phiên bản 5.5.7 trở xuống) để thực hiện truy cập vào các phiên bản chưa được vá cho cuộc tấn công tống tiền kép. Các nhóm như DragonForce đã khai thác lỗ hổng để xâm nhập vào nhà cung cấp  sau đó lợi dụng nó để mở rộng sang các khách hàng phía dưới khác.

CISA cũng đã đưa ra khuyến cáo về các biện pháp giảm thiểu dưới đây mà các tổ chức, bao gồm các nhà cung cấp dịch vụ bên thứ ba sử dụng SimpleHelp để kết nối với khách hàng phía dưới, có thể thực hiện để phản ứng tốt hơn với hoạt động.

• Xác định và cô lập các phiên bản máy chủ SimpleHelp khỏi internet và cập nhật chúng lên phiên bản mới nhất.
• Thông báo cho khách hàng phía dưới và hướng dẫn họ thực hiện các hành động để bảo mật điểm cuối của họ.
• Tiến hành các hành động truy tìm mối đe dọa cho các chỉ số xâm nhập và giám sát lưu lượng vào ra bất thường từ máy chủ SimpleHelp (cho khách hàng phía dưới).
• Ngắt kết nối các hệ thống bị ảnh hưởng khỏi internet nếu chúng đã bị mã hóa bởi ransomware, cài đặt lại hệ điều hành và khôi phục dữ liệu từ bản sao lưu sạch.
• Duy trì các bản sao lưu sạch, ngoại tuyến định kỳ.
• Tránh phơi bày các dịch vụ từ xa như Giao thức Màn hình Từ xa (RDP) trên web.

Bên cạnh đó, một số chiến dịch ransomware nguy hiểm khác cũng đang gia tăng:

• Ransomware Fog: Nhắm vào tổ chức tài chính, kết hợp công cụ giám sát nhân viên Syteca, công cụ kiểm tra xâm nhập mã nguồn mở - GC2, Adaptix và Stowaway. 
• LockBit: Mục tiêu nhắm vào Trung Quốc, Đài Loan, Brazil, Thổ Nhĩ Kỳ, bất chấp rò rỉ thông tin nội bộ. 

Xem chi tiết thông tin tại đây.

Đứng trước những cuộc tấn công mạng ngày càng tinh vi và nguy hiểm như hiện nay, FPT Cloud khuyến cáo người dùng nên chủ động cập nhật phần mềm, tiến hành ứng dụng các biện pháp bảo mật dữ liệu tiên tiến giúp sao lưu và khôi phục dữ liệu tức thời, an toàn và toàn vẹn.  

Tìm hiểu thêm thông tin chi tiết về dịch vụ sao lưu dữ liệu của FPT Cloud tại đây.

Liên hệ với chúng tôi để được tư vấn về dịch vụ của FPT Cloud
Fanpage: https://www.facebook.com/fptsmartcloud/
Email: [email protected]
Hotline: 1900 638 399