Các lỗ hổng bảo mật được công bố và sự kiện an ninh mạng đáng chú ý trong tháng 10

I. Các lỗ hổng bảo mật được công bố trong tháng 10 

1. Microsoft

Microsoft phát hành bản cập nhật Patch Tuesday tháng 10/2025, bao gồm các bản vá bảo mật cho 172 lỗ hổng, trong đó có 6 lỗ hổng zero-day - một trong những đợt cập nhật lớn nhất trong năm. 

Đợt vá lỗi này cũng khắc phục 8 lỗ hổng “Nghiêm trọng” (Critical), bao gồm 5 lỗ hổng thực thi mã từ xa (Remote Code Execution - RCE) và 3 lỗ hổng leo thang đặc quyền (Elevation of Privilege - EoP). 

Thống kê số lượng lỗ hổng theo từng loại: 

• 80 lỗ hổng leo thang đặc quyền (Elevation of Privilege) 
• 11 lỗ hổng bỏ qua tính năng bảo mật (Security Feature Bypass) 
• 31 lỗ hổng thực thi mã từ xa (Remote Code Execution) 
• 28 lỗ hổng tiết lộ thông tin (Information Disclosure) 
• 11 lỗ hổng từ chối dịch vụ (Denial of Service) 
• 10 lỗ hổng giả mạo (Spoofing) 

Theo BleepingComputer, con số này chỉ bao gồm các bản vá phát hành trong ngày, không tính những bản sửa lỗi trước đó cho Azure, Mariner, Microsoft Edge và các bản cập nhật khác trong tháng. 

Đáng chú ý, Windows 10 chính thức kết thúc vòng đời hỗ trợ kể từ ngày 14/10/2025, đánh dấu Patch Tuesday cuối cùng có bản vá bảo mật miễn phí cho hệ điều hành này. Người dùng cá nhân có thể đăng ký gói Cập nhật Bảo mật Mở rộng (Extended Security Updates - ESU) thêm 1 năm, còn doanh nghiệp được gia hạn tối đa 3 năm. 

Để tìm hiểu thêm về các bản cập nhật không liên quan đến bảo mật được phát hành hôm nay, bạn có thể xem các bài viết chuyên biệt về bản cập nhật Windows 11 KB5066835 và KB5066793.  

Sáu lỗ hổng zero-day bị khai thác bao gồm:  

• CVE-2025-24990 - Windows Agere Modem Driver Elevation of Privilege
  Lỗ hổng leo thang đặc quyền trong trình điều khiển Agere Modem, cho phép chiếm quyền quản trị hệ thống. Microsoft đã gỡ bỏ tệp ltmdm64.sys, khiến một số phần cứng Fax modem ngừng hoạt động. 
• CVE-2025-59230 - Windows Remote Access Connection Manager Elevation of Privilege
  Lỗ hổng cho phép người dùng đã xác thực nâng quyền lên SYSTEM thông qua kiểm soát truy cập không đúng cách. 
• CVE-2025-47827 - Secure Boot Bypass trong IGEL OS trước phiên bản 11
  Do xác minh chữ ký sai, Secure Boot có thể bị bỏ qua, cho phép gắn hình ảnh hệ thống không xác thực. 
• CVE-2025-0033 - AMD RMP Corruption During SNP Initialization
  Ảnh hưởng đến CPU AMD EPYC dùng công nghệ SEV-SNP, có thể cho phép hypervisor bị xâm phạm chỉnh sửa bảng nhớ RMP, ảnh hưởng tính toàn vẹn bộ nhớ. 
• CVE-2025-24052 - Windows Agere Modem Driver Elevation of Privilege
  Tương tự CVE-2025-24990, ảnh hưởng tới tất cả các phiên bản Windows, ngay cả khi không sử dụng modem. 
• CVE-2025-2884 - Out-of-Bounds Read trong TCG TPM 2.0
  Lỗ hổng đọc ngoài phạm vi trong triển khai tham chiếu TPM 2.0, có thể gây rò rỉ thông tin hoặc tấn công từ chối dịch vụ (DoS). 

Cập nhật gần đây từ các công ty khác: 

• Adobe: phát hành bản cập nhật bảo mật cho nhiều sản phẩm. 
• Cisco: vá lỗi cho Cisco IOS, Cisco Unified Communications Manager và Cyber Vision Center. 
• DrayTek: khắc phục lỗ hổng thực thi mã từ xa (RCE) trước xác thực trong nhiều mẫu router Vigor. 
• Gladinet: cảnh báo về zero-day trong CentreStack đang bị khai thác. 
• Ivanti: phát hành bản vá cho Ivanti Endpoint Manager Mobile (EPMM) và Ivanti Neurons for MDM. 
• Oracle: khắc phục hai lỗ hổng zero-day bị khai thác trong E-Business Suite. 
• Redis: vá lỗ hổng RCE mức độ nghiêm trọng cao. 
• SAP: phát hành bản vá tháng 10 cho nhiều sản phẩm, bao gồm lỗi thực thi lệnh nghiêm trọng trong NetWeaver. 
• Synacor: vá một zero-day trong Zimbra Collaboration Suite bị khai thác để đánh cắp dữ liệu. 

Dưới đây là danh sách đầy đủ các lỗ hổng đã được giải quyết trong các bản cập nhật Patch Tuesday tháng 10 năm 2025: 

Chi tiết về từng loại lỗ hổng và bản vá có thể xem thêm tại Tuesday Patch, paper.  

2. Linux 

CVE-2018-25117 - Vesta Control Panel malicious code  

Giữa hai commit a3f0fa1 và ee03eff (từ 31/5 đến 13/6/2018), trình cài đặt VestaCP bị chèn mã độc (supply-chain compromise). Bản cài đặt này chứa Linux/ChachaDDoS – botnet DDoS đa tầng viết bằng Lua. Khi cài đặt, phần mềm độc hại khiến: 

• Rò rỉ thông tin quản trị (mật khẩu admin mã hóa base64, tên miền máy chủ) tới máy chủ bên ngoài. 
• Thả và thực thi payload DDoS với đặc quyền hệ thống cục bộ.  

CVE-2025-62376 - pwncollege dojo improper authentication  

Lỗ hổng xác thực sai trong endpoint /workspace của nền tảng giáo dục pwn.college DOJO (trước commit 781d91157cfc234a434d0bab45cbcf97894c642e).
Hàm view_desktop cho phép truy cập trái phép vào máy ảo Windows. Kẻ tấn công chỉ cần cung cấp user ID và mật khẩu tùy ý để mạo danh người dùng khác và giành toàn quyền truy cập VM nạn nhân. 

CVE-2025-33177 - NVIDIA Jetson Orin/Jetson Thor/IGX Orin NvMap resource consumption  

Lỗi theo dõi phân bổ bộ nhớ trong NvMap cho phép kẻ tấn công cục bộ gây over-allocation, dẫn tới từ chối dịch vụ (DoS). 

CVE-2025-33182 - NVIDIA Jetson Orin/Jetson Xavier UEFI authorization  

Xác thực không đúng trong UEFI có thể cho phép người dùng đặc quyền sửa đổi cấu trúc Linux Device Tree, gây sai lệch dữ liệu (data tampering) hoặc DoS. 

CVE-2025-59497 - Microsoft Defender for Endpoint toctou  

Lỗ hổng time-of-check-to-time-of-use (TOCTOU) trong Defender cho Linux có thể bị khai thác bởi người dùng cục bộ đã xác thực để thao túng quy trình bảo vệ hệ thống.  

• Chi tiết về các lỗ hổng có thể xem tại Advisories. 

3. VMware công bố các lỗ hổng cuối tháng 9 và đầu tháng 10 

CVE-2025-41246 - Lỗ hổng leo thang đặc quyền cục bộ   

Mức độ: Important (CVSS 7.8) 

Ảnh hưởng: Aria Operations, VMware Tools. 

Mô tả: Lỗ hổng leo thang đặc quyền cục bộ (Local Privilege Escalation) cho phép người dùng có quyền hạn thấp giành quyền truy cập cao hơn trên hệ thống. 

FPT khuyến nghị người dùng cập nhật ngay các bản vá do Broadcom phát hành.  

CVE-2025-41245 - Lỗ hổng tiết lộ thông tin trong VMware Aria Operations   

Mức độ: Moderate (CVSS 4.9) 

Ảnh hưởng: Aria Operations. 

Mô tả: Lỗ hổng tiết lộ thông tin (Information Disclosure) cho phép người dùng không có quyền quản trị truy cập vào credentials của người dùng khác trong cùng hệ thống. 

FPT khuyến nghị người dùng áp dụng bản cập nhật bảo mật mới nhất cho Aria Operations. 

CVE-2025-41246 - Lỗ hổng phân quyền không đúng trong VMware Tools cho Windows   

Mức độ: Important (CVSS 7.6) 

Ảnh hưởng: VMware Tools chạy trên Windows guest VM. 

Mô tả: Lỗ hổng phân quyền và kiểm soát truy cập không đúng (Improper Authorization) cho phép người dùng không phải quản trị trên một VM truy cập vào các VM khác, nếu có thông tin đăng nhập của vCenter hoặc ESX. 

FPT khuyến nghị người dùng cập nhật VMware Tools lên bản vá mới nhất. 

CVE-2025-41250 - Lỗ hổng chèn tiêu đề SMTP trong vCenter   

Mức độ: Important (CVSS 8.5) 

Ảnh hưởng: VMware vCenter. 

Mô tả: Lỗ hổng chèn tiêu đề SMTP (SMTP Header Injection) cho phép kẻ tấn công có quyền tạo tác vụ theo lịch (scheduled tasks) thao túng nội dung email thông báo gửi từ hệ thống. 

FPT khuyến nghị người dùng cập nhật vCenter theo bản vá tháng 10/2025.  

CVE-2025-41251 - Lỗ hổng cơ chế khôi phục mật khẩu yếu trong NSX   

Mức độ: Important (CVSS 8.1) 

Ảnh hưởng: VMware NSX. 

Mô tả: Cơ chế khôi phục mật khẩu yếu (Weak Password Recovery) cho phép liệt kê các tên người dùng hợp lệ, tạo điều kiện cho tấn công brute-force. 

FPT khuyến nghị người dùng áp dụng bản vá bảo mật từ Broadcom ngay lập tức. 

• Chi tiết về các bản vá có thể xem tại Advisories.  

II. Một số sự kiện an ninh mạng đáng chú ý

1. Tin tặc Trung Quốc lợi dụng ArcGIS Server làm backdoor trong hơn một năm 

ReliaQuest phát hiện một chiến dịch do nhóm có liên hệ với nhà nước Trung Quốc - Flax Typhoon (còn gọi Ethereal Panda, RedJuliett; theo chính phủ Mỹ liên quan tới Integrity Technology Group) - xâm nhập một máy chủ ArcGIS công khai và biến nó thành backdoor trong hơn một năm. Thông tin được ReliaQuest chia sẻ với The Hacker News cho thấy cuộc xâm nhập có quy mô và tính bền vững cao, đủ để tồn tại ngay cả sau khi khôi phục hệ thống. 

Kẻ tấn công xâm phạm tài khoản quản trị của cổng ArcGIS và triển khai một SOE (Server Object Extension) Java đã bị chỉnh sửa thành web shell hoạt động thông qua API REST (dùng tiện ích chuẩn JavaSimpleRESTSOE). SOE độc hại này không chỉ thực thi lệnh từ xa mà còn được nhúng vào các bản sao lưu hệ thống, giúp duy trì quyền truy cập lâu dài. 

Để ngăn chặn việc bị phát hiện hoặc can thiệp, SOE chứa một khóa mã hóa sẵn do kẻ tấn công thêm vào. Khóa này bảo đảm quyền kiểm soát độc quyền - ngăn các tác nhân khác hoặc quản trị viên tò mò vô hiệu hóa backdoor - và khiến việc phát hiện hoạt động độc hại trở nên rất khó khăn. 

Sau khi cài đặt web shell, kẻ tấn công thực hiện dò quét mạng nội bộ và tải lên payload: SoftEther VPN được đổi tên thành bridge.exe và đặt trong thư mục System32, kèm một dịch vụ tự động khởi động tên SysBridge để bảo đảm persist. Tiến trình này sau đó thiết lập kết nối HTTPS ra ngoài qua cổng 443 tới máy chủ do kẻ tấn công kiểm soát, tạo thành một kênh VPN ngầm cho phép mở rộng mạng nội bộ mục tiêu tới vị trí từ xa. 

Kênh VPN ngầm cho phép kẻ tấn công di chuyển ngang trong mạng, trích xuất dữ liệu và né tránh giám sát ở cấp mạng, vì lưu lượng trông giống như kết nối nội bộ hợp lệ. ReliaQuest cũng ghi nhận họ nhắm vào hai máy trạm của nhân viên CNTT để thu thập thông tin đăng nhập; điều tra cho thấy kẻ tấn công có quyền quản trị và có khả năng đặt lại mật khẩu. 

Về chiến thuật, Flax Typhoon tận dụng mạnh mẽ phương pháp living-off-the-land (LotL) và thao tác thủ công (hands-on-keyboard) để ẩn hoạt động, biến các thành phần phần mềm hợp pháp thành công cụ tấn công nhằm né tránh phát hiện. Đây là ví dụ điển hình của xu hướng kẻ tấn công vũ khí hóa chức năng hợp pháp thay vì luôn phải dùng exploit N-day. 

Như vậy, vụ việc nhấn mạnh rằng rủi ro không chỉ đến từ lỗ hổng phần mềm mà còn từ sai thực hành bảo mật (như mật khẩu quản trị yếu) và khả năng kẻ tấn công lợi dụng cơ chế sao lưu hoặc tính mở rộng của hệ thống để duy trì truy cập lâu dài. ReliaQuest cho biết họ không thể tiết lộ thời điểm chính xác khởi đầu xâm nhập, chỉ xác nhận rằng quyền truy cập đã tồn tại hơn một năm.

2. Threat Hunting - Bước chuyển từ nhận thức sang chủ động xây dựng năng lực sẵn sàng

Tháng 10 -  Tháng Nhận Thức An Ninh (Cybersecurity Awareness Month) là một trong những cột mốc đáng chú ý với giới bảo mật, được CISA và Liên minh An ninh mạng Quốc gia (NCA) khởi xướng từ năm 2004. Mục tiêu của chương trình là giúp mọi cá nhân, doanh nghiệp và tổ chức công xây dựng thói quen kỹ thuật số an toàn hơn, đồng thời nâng cao nhận thức về những rủi ro mạng ngày càng tinh vi. 

Thế nhưng, khi tháng 10 kết thúc, sự nhiệt huyết đó cũng thườn giảm dân khi áp lực từ công việc khiến những sai sót quen thuộc như mật khẩu yếu, cấu hình sai, tài khoản không dùng, lại xuất hiện. Nhận thức chỉ thật sự có giá trị khi đi kèm một cơ chế có thể xác minh, giám sát và củng cố liên tục: hệ thống có khả năng kiểm chứng danh tính, cấu hình và quyền truy cập theo thời gian thực. 

Việc hiểu về rủi ro không đồng nghĩa với việc loại bỏ rủi ro. Phần lớn công cụ hiện nay như EDR, SIEM hay trình quét lỗ hổng chỉ phản ứng sau khi sự cố đã xảy ra. Trong khi đó, phòng thủ hiệu quả cần bắt đầu từ chủ động phát hiện và ngăn chặn. Đó là lúc threat hunting phát huy vai trò của mình - tìm kiếm sai sót trong cấu hình, thông tin đăng nhập bị lộ hay quyền truy cập dư thừa, trước khi chúng trở thành điểm khai thác. 

Một trong những phương pháp then chốt của threat hunting hiện đại là Continuous Threat Exposure Management (CTEM) - mô hình quản lý liên tục mức độ phơi nhiễm mối đe dọa. CTEM giúp doanh nghiệp duy trì quy trình nhận diện, kiểm soát và khắc phục lỗ hổng một cách liên tục, thay vì xử lý rời rạc từng sự cố. Trong kỷ nguyên mà AI giúp tin tặc hành động nhanh hơn bao giờ hết, tư duy phòng thủ truyền thống không còn đủ - chỉ khi hiểu cách kẻ tấn công suy nghĩ, chúng ta mới có thể ngăn chặn họ kịp thời. 

Threat hunting xây dựng năng lực sẵn sàng thông qua ba bước: 

• Thu thập đúng dữ liệu: Tập hợp thông tin về lỗ hổng, cấu hình hệ thống, danh tính và mạng lưới kết nối để tái tạo bức tranh tổng thể dưới góc nhìn của kẻ tấn công. Công cụ digital twin giúp mô phỏng an toàn toàn bộ môi trường và phát hiện các điểm phơi nhiễm tiềm ẩn. 
• Lập sơ đồ đường tấn công: Từ dữ liệu thu được, doanh nghiệp có thể xác định cách các điểm yếu nhỏ kết nối với nhau thành một chuỗi tấn công hoàn chỉnh - chuyển từ phỏng đoán sang bằng chứng cụ thể. 
• Ưu tiên theo tác động kinh doanh: Liên kết các đường tấn công với tài sản và quy trình quan trọng để xác định đâu là rủi ro cần xử lý trước. Kết quả là danh sách hành động rõ ràng, có trọng tâm và mang lại hiệu quả thực tế. 

Nhận thức là nền tảng, nhưng threat hunting sẽ chủ động mang lại điều mà nhận thức không thể như bằng chứng thực tế về mức độ an toàn của hệ thống. Nó thu hẹp khoảng cách giữa “những gì ta biết” và “những gì ta có thể ngăn chặn”. 

Cuối cùng, nhận thức là điểm khởi đầu, còn năng lực sẵn sàng mới là đích đến. Threat hunting biến hiểu biết thành hành động, giúp tổ chức biết chính xác mình đang ở đâu trên bản đồ rủi ro. Hai yếu tố này tạo nên một chu trình liên tục: nhận thức giúp nhìn thấy mối nguy, threat hunting chứng minh liệu mối nguy đó còn tồn tại hay không. 

Lưu ý: Bài viết được viết và đóng góp bởi Jason Frugé, CISO in Residence tại XM Cyber.  

Đứng trước những cuộc tấn công mạng ngày càng tinh vi và nguy hiểm như hiện nay, FPT Cloud khuyến cáo người dùng nên chủ động cập nhật phần mềm, tiến hành ứng dụng các biện pháp bảo mật dữ liệu tiên tiến giúp sao lưu và khôi phục dữ liệu tức thời, an toàn và toàn vẹn.     

Tìm hiểu thêm thông tin chi tiết về dịch vụ sao lưu dữ liệu của FPT Cloud tại đây.   

Liên hệ với chúng tôi để được tư vấn về dịch vụ của FPT Cloud
Fanpage: https://www.facebook.com/fptsmartcloud/
Email: [email protected]
Hotline: 1900 638 399