Tăng tốc khởi nghiệp với FPT Smart Cloud

1. CVE-2025-55182 – Lỗ hổng RCE “React2Shell” & Thống kê đáng báo động Cuối năm 2025, cộng đồng bảo mật toàn cầu đã bị báo động mạnh mẽ bởi một lỗ hổng cực kỳ nguy hiểm mang tên CVE-2025-55182, hay còn gọi là React2Shell, liên quan đến cơ chế React Server Components (RSC) và lan rộng đến các framework như Next.js, vốn được sử dụng phổ biến trong hàng chục triệu ứng dụng web và dịch vụ đám mây. Theo dữ liệu nghiên cứu bảo mật, ~39% môi trường cloud surveyed chứa instance dễ bị tấn công bởi lỗ hổng này, tức là gần 4 trong 10 hệ thống cloud đang hoạt động có nguy cơ bị khai thác nếu chưa vá lỗi. Những gì khiến CVE-2025-55182 trở nên “nóng”: (1) Điểm CVSS tối đa 10.0, mức nghiêm trọng cao nhất, cho phép thực thi mã từ xa ngay cả khi không xác thực; (2) Exploit đã bắt đầu xuất hiện trong tự nhiên chỉ sau vài giờ kể từ khi được công khai, với nhiều scanner tự động và tay hacker chủ động tìm kiếm mục tiêu; (3) Các nhóm tội phạm mạng được ghi nhận khai thác lỗ hổng này để chèn malware, mở backdoor và thu thập credential; (4) Báo cáo cho thấy ít nhất ~30 tổ chức ở nhiều lĩnh vực khác nhau đã bị xâm nhập, bao gồm rò rỉ thông tin đăng nhập, cài malware khai thác tiền điện tử và mở lối vào hệ thống. Trong bối cảnh này, việc phát hiện sớm lỗ hổng trong container image, hiểu rõ chính xác package/version bị ảnh hưởng ngay từ đầu, và xử lý trước khi sản phẩm được đưa vào production là ưu tiên hàng đầu của mọi đội DevSecOps. Và đây là lúc FPT AppSec - với tính năng Image Scanning mạnh mẽ, phát huy vai trò quan trọng, giúp doanh nghiệp scan hàng nghìn image tự động, xác định đúng vị trí tồn tại lỗ hổng như CVE-2025-55182 và giảm thiểu rủi ro trong thời gian ngắn nhất. 2. Case study: FPT AppSec – Giải pháp phát hiện & xử lí CVE-2025-55182 chỉ trong vài giây Khi khách hàng kích hoạt Image Scanning (tích hợp Docker registry hoặc CI/CD pipeline), FPT AppSec lập tức phân tích tất cả layer của image. Trong phát hiện CVE-2025-55182, hệ thống đã: (1) Nhanh chóng xác định đúng image bị ảnh hưởng; (2) Highlight rõ gói [email protected] đang chứa lỗ hổng; (3) Chỉ ra layer build mà package này được đưa vào container; (4) Xếp hạng mức độ Critical và cảnh báo real-time. Nhờ vậy, thay vì phải grep log build hoặc manually check package version, đội kỹ thuật có thể xử lí ngay, đúng vị trí gây rủi ro, giảm đáng kể thời gian điều tra. [caption id="attachment_69816" align="aligncenter" width="977"] FPT AppSec phát hiện image chứa thành phần Next.js bị ảnh hưởng bởi lỗ hổng CVE-2025-55182[/caption] Một trong những khó khăn lớn nhất khi xử lý lỗ hổng trong container là: “Package này đến từ đâu? Layer nào? Tại sao image lại mang phiên bản dễ tổn thương?” Với FPT AppSec, người dùng có thể giải quyết triệt để bằng cách hiển thị Dockerfile layer gây ra việc cài đặt dependency và cho biết danh sách phiên bản an toàn (patched versions). [caption id="attachment_69817" align="aligncenter" width="977"] FPT AppSec chỉ rõ lỗ hổng xuất hiện ở layer nào trong image[/caption] FPT AppSec sở hữu những tính năng ưu việt giúp người dùng xử lý nhanh chóng, chính xác những sự cố như CVE-2025-55182: Quét số lượng lớn image cùng lúc: Hệ thống được xây dựng theo kiến trúc cloud-native, scale-out linh hoạt, có thể xử lí mượt mà 100 hay 10.000 container images. Phát hiện lỗ hổng real-time: Ngay khi CVE mới được công bố, hệ thống tự động đồng bộ dữ liệu vulnerability feed và re-scan nếu cần. Giảm thời gian phản ứng từ hàng giờ xuống vài phút: Đội DevSecOps không cần truy ngược build log, không cần manually inspect, mọi thứ hiển thị trực quan. Dễ dàng tích hợp vào hệ thống CI/CD hiện tại: Chỉ một bước thêm vào pipeline, FPT AppSec sẽ quét trước khi image được push lên registry. 3. Hướng dẫn chi tiết Cách xử lý CVE-2025-55182 trong thực tế CVE-2025-55182 là một lỗ hổng Remote Code Execution (RCE) cực kỳ nghiêm trọng trong React Server Components (RSC), cho phép kẻ tấn công thực thi mã trên server mà không cần xác thực thông qua payload đặc biệt gửi tới endpoint RSC. Lỗi gốc nằm ở việc deserialization không an toàn của các component trên server. NVD Bước 1: Xác định phạm vi ảnh hưởng - React Server Components Các phiên bản sau của React Server Components bị ảnh hưởng: react-server-dom-webpack: 0.0, 19.1.0, 19.1.1, 19.2.0 react-server-dom-parcel: 0.0, 19.1.0, 19.1.1, 19.2.0 react-server-dom-turbopack: 0.0, 19.1.0, 19.1.1, 19.2.0 NVD Những phiên bản này là đích ngắm chính của exploit do lỗi xử lý unsafe deserialization trong Flight Protocol. NVD Next.js Mặc dù lỗi gốc là ở React RSC, Next.js cũng chịu ảnh hưởng khi sử dụng RSC trong App Router. Theo advisory từ Next.js, các version Next.js bị ảnh hưởng và đã được patched bao gồm: Next.js Next.js Tình trạng 15.0.0 – 15.0.4 Vulnerable 15.1.0 – 15.1.8 Vulnerable 15.2.0 – 15.2.5 Vulnerable 15.3.0 – 15.3.5 Vulnerable 15.4.0 – 15.4.7 Vulnerable 15.5.0 – 15.5.6 Vulnerable 16.0.0 – 16.0.6 Vulnerable Tương ứng các bản an toàn (patched) đã được Next.js phát hành: 0.5, 15.1.9, 15.2.6 3.6, 15.4.8, 15.5.7 0.7 Next.js Bước 2: Cập nhật dependency ngay Nguyên tắc đầu tiên và quan trọng nhất là không chạy code với phiên bản RSC/Next.js dễ bị tấn công: React Server Components: Cập nhật các package RSC lên phiên bản an toàn mới nhất (ví dụ 19.2.1 hoặc cao hơn nếu đã phát hành) npm install [email protected] \ [email protected] \ [email protected] Lưu ý: Nếu bạn không trực tiếp thêm các package RSC vào project, hãy kiểm tra plugin/bundler (ví dụ Webpack/Turbopack) đang sử dụng có phụ thuộc RSC hay không và cập nhật tương ứng. Next.js: Nâng Next.js lên ít nhất một trong các bản đã patched. Đảm bảo lựa chọn đúng phiên bản phù hợp với nhánh hiện tại của bạn để không gây xung đột dependency. npm install [email protected]   # nếu đang dùng 15.0.x npm install [email protected]   # nếu đang dùng 15.1.x npm install [email protected]   # nếu đang dùng 15.2.x npm install [email protected]   # nếu đang dùng 15.3.x npm install [email protected]   # nếu đang dùng 15.4.x npm install [email protected]   # nếu đang dùng 15.5.x npm install [email protected]   # nếu đang dùng 16.x Bước 3. Quét lại & xác nhận bằng FPT AppSec Sau khi nâng cấp: Rebuild toàn bộ image/container để loại bỏ dependency cũ. Scan lại với FPT AppSec Image Scanning để đảm bảo không còn phiên bản vulnerable trong bất kỳ layer nào. Kiểm tra điều kiện chạy (runtime environment, build cache, CI/CD pipeline) để chắc chắn không còn CVE-2025-55182. FPT AppSec sẽ chỉ ra chính xác: Image nào còn chứa phiên bản vulnerable; Layer nào cài đặt các package đó; Package/version hiện tại đã được cập nhật hay chưa. Điều này giúp bạn chốt được việc xử lý tận gốc, không chỉ patch tạm thời. Tác giả: Lê Ngọc Linh Chuyên gia Bảo mật - FPT Smart Cloud, Tập đoàn FPT

Trong vài năm trở lại đây, phần lớn doanh nghiệp có xu hướng chuyển dần sang hạ tầng cloud hoặc các mô hình hybrid. Điều này mang lại tốc độ triển khai ứng dụng vượt bậc nhưng đồng thời cũng thay đổi hoàn toàn cách chúng ta đối diện với rủi ro bảo mật. Từ những cuộc tấn công tinh vi hơn do AI thúc đẩy, đến mức độ phức tạp ngày càng cao của kiến trúc microservices - tất cả đều khiến các công cụ bảo mật truyền thống trở nên “đuối sức". Bài viết này chia sẻ góc nhìn từ quá trình xây dựng hệ thống bảo vệ cloud-native tại FPT Smart Cloud, dựa trên triết lý CNAPP (Cloud-Native Application Protection Platform). Thay vì nói về “một sản phẩm”, chúng ta sẽ nói về “một hành trình” - và hành trình đó bắt đầu từ việc nhìn lại chính những điểm yếu thường trực trong môi trường ứng dụng hiện đại. 1. Khi tốc độ phát triển vượt quá tốc độ kiểm soát: Mối nguy hình thành từ đâu?  Điều đầu tiên cần thừa nhận: Hầu hết lỗ hổng xuất hiện không phải do hacker quá thông minh, mà do hệ thống quá phức tạp và đang thay đổi quá nhanh.  Nếu như trước đây, một ứng dụng cần vài tháng để có một bản cập nhật mới thì ngày nay, một đội DevOps nhỏ có thể triển khai hàng chục phiên bản mới mỗi tuần nhờ pipeline CI/CD luôn hoạt động, commit liên tục và khả năng tạo lập hạ tầng tức thì bằng IaC.Cùng với đó, container, microservices, serverless... khiến bề mặt tấn công được mở rộng theo cấp số nhân. Trong bối cảnh đó, những sai sót như S3 bucket để public, IAM role cấp quyền quá rộng, API key lọt vào repo hay các gói thư viện chứa CVE nghiêm trọng rất dễ bị bỏ sót giữa hàng trăm thay đổi mỗi ngày. Song song với đó, việc AI được sử dụng trong tấn công mạng đã giúp gia tăng tốc và mức độ tinh vi của các kỹ thuật tấn công một cách đáng kể. Một số báo cáo gần đây cho thấy những chiến dịch tấn công có dấu hiệu được tự động hóa bằng AI để mở rộng quy mô dò quét, tạo email giả mạo, thậm chí giả lập hành vi người dùng. Khi bên tấn công có “tốc độ máy”, bên phòng thủ không thể tiếp tục vận hành theo kiểu thủ công. Nói cách khác, tốc độ và mức độ phức tạp của các cuộc tấn công hiện nay khiến doanh nghiệp buộc phải thay đổi chiến lược bảo vệ. 2. Tại sao chỉ quét production là chưa đủ? Một thực tế thú vị trong ngành bảo mật là phần lớn lỗ hổng bảo mật nằm ngay trong code và cấu hình ở giai đoạn đầu, nhưng lại được phát hiện muộn nhất - thường là ở runtime. Trong khi đó, chi phí sửa lỗi trong production có thể tốn kém gấp 30 lần so với khi phát hiện ngay lúc viết code. Con số có thể thay đổi tùy báo cáo, nhưng ý nghĩa thì không đổi khi càng phát hiện muộn, chi phí càng lớn, từ downtime, ảnh hưởng tới người dùng, đến tài nguyên SOC. Thực tế tại nhiều doanh nghiệp, đội vận hành phải dành hàng giờ kiểm tra thủ công sự cố, trong khi nếu doanh nghiệp tích hợp công cụ quét vào pipeline, cùng lỗi đó có thể được phát hiện và ngăn ngay khi developer push code. Như vậy, nếu mục tiêu là “phản ứng nhanh và khắc phục tự động”, việc phòng thủ phải bắt đầu trước khi mã chạy, chứ không thể đợi đến khi incident xảy ra. 3. CNAPP - Giải pháp hợp nhất thay cho hệ thống bảo mật rời rạc Trong nhiều năm, các mảng AppSec, CSPM, CWPP, SIEM, hay SOAR… hoạt động như những “mảnh ghép rời rạc". Mỗi bộ phận triển khai công cụ riêng như đội DevSecOps quản lý SAST/DAST, đội hạ tầng phụ trách CSPM, SOC vận hành SIEM/SOAR hay nhóm vận hành container sử dụng CWPP. Mỗi công cụ này đều có giá trị riêng, nhưng khi đứng tách biệt, chúng không thể trả lời câu hỏi quan trọng nhất: “Trong hàng nghìn cảnh báo mỗi ngày, điều gì thực sự khiến hệ thống gặp rủi ro?” CNAPP ra đời để giải quyết vấn đề này. Đây không phải một sản phẩm cụ thể, mà là một cách hợp nhất góc nhìn bảo mật từ code → hạ tầng → runtime → vận hành. Sau khi gom toàn bộ tín hiệu riêng lẻ vào một bức tranh thống nhất, CNAPP áp dụng phân tích ngữ cảnh để hiểu mối liên hệ giữa chúng. Từ đó, hệ thống có thể xác định, ưu tiên các lỗ hổng quan trọng, tự động hoá bước khắc phục và rút ngắn thời gian phản ứng từ hàng giờ xuống chỉ còn vài phút. Đặc biệt, CNAPP không chỉ quét, nó còn có khả năng hiểu ngữ cảnh. Một lỗ hổng CVE mức cao có thể có mức độ rủi ro thấp nếu container đó không public ra ngoài và hoàn toàn không có traffic. Ngược lại, việc để lộ một API trong repo nhưng pipeline lại không ngăn chặn có thể là mối đe doạ nghiêm trọng. Chỉ khi có bức tranh tổng thể này, doanh nghiệp mới đưa ra quyết định đúng, tập trung vào những rủi ro đáng xử lý nhất mà không bị “ngộp” bởi hàng nghìn cảnh báo ồn ào. 4. Từ kinh nghiệm triển khai: Vì sao AppSec/ASPM nên là điểm khởi đầu? Ở FPT Smart Cloud, AppSec là bước mang lại hiệu quả rõ rệt nhất ngay từ đầu. Các bản quét code giúp phát hiện sớm những lỗi logic hoặc lỗ hổng injection. Việc quét IaC cũng giúp nhận diện các cấu hình sai như việc mở port không cần thiết, bỏ sót encryption hay IAM role quá rộng. Các công cụ secret scan giúp phát hiện kịp thời API key hoặc credentials trong repo. Đồng thời, image scan giúp làm rõ những gói phụ thuộc tồn tại CVE nghiêm trọng. Trước đây, những việc này được làm thủ công mất từ vài giờ đến vài ngày. Sau khi tự động hóa trong pipeline CI/CD, thời gian xử lý rút xuống chỉ còn vài phút. Chính vì vậy, điểm cốt lõi không nằm ở việc “dùng công cụ gì”, mà ở cách đưa bảo mật vào đúng thời điểm, biến nó thành một phần tự nhiên của vòng đời phát triển. Tham khảo: FPT AppSec hỗ trợ đội ngũ bảo mật tìm ra CVE-2025-63601 tại đây. 5. Từ code đến vận hành: Các lớp bảo mật doanh nghiệp cần mở rộng AppSec giúp giảm rủi ro từ gốc, nhưng để một hệ thống thực sự có khả năng phát hiện và phản ứng nhanh, doanh nghiệp cần thêm các lớp bảo vệ mạnh mẽ. CSPM (Cloud Security Posture Management) đóng vai trò quan sát cấu hình cloud theo thời gian thực. Nhờ đó, doanh nghiệp có thể phát hiện các rủi ro như storage bucket bị public, network rule mở quá rộng, các encryption bị tắt hoặc các dữ liệu nhạy cảm nằm sai vị trí. Điều đáng nói là phần lớn những sự cố cloud lớn trong suốt thập kỷ qua đều bắt nguồn từ cấu hình sai tương tự. Bên cạnh CSPM, CWPP (Cloud Workload Protection Platform)giúpbảo vệ workload trong quá trình runtime với khả năng phát hiện những hành vi bất thường, quy trình lạ trong container/VM, hỗ trợ tự động cô lập phiên bản bị xâm nhập. Ở tầng mạng, Cloud Network Firewall đóng vai trò phòng thủ quan trọng trong các môi trường multi-cloud hoặc hybrid. Firewall giúp phân vùng mạng, giảm nguy cơ lateral movement. Một số giải pháp firewall hiện đại còn tích hợp thêm WAF hoặc IDPS. Cuối cùng, SIEM kết hợp cùng SOAR giúp kết nối mọi dữ liệu để tự động hóa phản ứng. Một nền tảng SIEM/SOAR mạnh có khả năng thu thập log từ AppSec, CSPM, CWPP, Firewall, IAM sau đó mapping theo MITRE ATT&CK để xác minh hành vi tấn công, thay vì xem từng alert nhỏ lẻ. Khi cần, hệ thống có thể tự động chạy playbook để cô lập workload, vô hiệu hoá credential, chặn IP độc hại mà không cần con người can thiệp. Đây là bước quan trọng giúp doanh nghiệp chuyển từ thế “bị động" sang “chủ động". 6. FPT Cloud Defense - Giải pháp hiện thực hoá CNAPP theo cách linh hoạt FPT Cloud Defense hiện thực hoá triết lý CNAPP bằng cách chia nhỏ thành các năng lực dễ áp dụng và phù hợp với trạng thái trưởng thành của doanh nghiệp theo lộ trình: Bước 1: Bắt đầu bằng AppSec/ASPM, vì đây là phần dễ triển khai nhất và mang lại giá trị tức thì. Bước 2: Mở rộng sang CSPM và CWPP để quan sát posture và runtime. Bước 3: Kết hợp Cloud Network Firewall để bảo đảm phân vùng mạng và phòng thủ tầng network. Bước 4: Hợp nhất tất cả vào SIEM/SOAR, từ đó cho phép tự động hóa khắc phục theo mô hình end-to-end. Điều quan trọng là cách tiếp cận phù hợp, FPT Cloud Defense không phải là một “siêu sản phẩm" hay cố thay đổi toàn bộ hệ thống ngay lập tức, FPT Cloud Defense giúp doanh nghiệp từng bước, giúp nhìn rõ bề mặt tấn công, giảm thiểu lỗ hổng ngay từ code, xây dựng khả năng tự động xử lý sự cố theo playbook và giảm áp lực đáng kể cho đội SOC và DevSecOps. 7. Doanh nghiệp nên bắt đầu từ đâu? Từ góc nhìn và kinh nghiệm triển khai thực tiễn, đây là thứ tự mà nhiều tổ chức chọn khi triển khai bảo mật cloud-native: Bước 1: Triển khai AppSec/ASPM vào pipeline CI/CD. Bắt đầu bằng secret scan và IaC scan - hai nguồn rủi ro phổ biến nhất. Bước 2: Kích hoạt CSPM cơ bản để sửa lỗi cấu hình sớm. Bước 3: Thiết lập bảo vệ runtime (CWPP) cho workload quan trọng. Bước 4: Tối ưu firewall & network segmentation, nhất là nếu có multi-cloud. Bước 5: Kết nối vào SIEM, xây playbook SOAR, ưu tiên 2-3 playbook quan trọng trước (ví dụ: khóa tài khoản bị xâm nhập, chặn IP, rollback cấu hình). Bước 6: Tối ưu liên tục bằng cách đưa dữ liệu từ sự cố thực tế quay về quy trình phát triển. Đây là cách hầu hết doanh nghiệp trưởng thành về bảo mật cloud-native thực hiện trong 3-6 tháng đầu để tăng cường khả năng phòng thủ trước những cuộc tấn công mạng tinh vi. 8. Doanh nghiệp chuyển từ “chống đỡ” sang “chủ động” Câu chuyện bảo mật không còn là “đặt thêm tường lửa” hay “mua thêm công cụ”. Điều quan trọng doanh nghiệp cần là khả năng nhìn thấy rủi ro xuyên suốt - từ code tới production - và xử lý nó trước khi gây thiệt hại. Triết lý CNAPP, cùng sự kết hợp giữa AppSec, CSPM, CWPP, Network Firewall và SIEM/SOAR chính là cách tiếp cận giúp doanh nghiệp chủ động, thống nhất hơn trong bảo vệ toàn bộ hệ thống. Với FPT Cloud Defense, chúng tôi không đặt mục tiêu tạo ra “một công cụ thần kỳ”, mà hướng tới tạo ra một phương pháp phòng thủ hiện đại, giúp doanh nghiệp Việt Nam nâng cao năng lực bảo mật theo đúng cách mà thế giới đang chuyển dịch. Lắng nghe chia sẻ đầy đủ về cách tiếp cận phòng thủ chủ động dựa trên CNAPP và ASPM từ anh Lê Ngọc Linh, Chuyên gia bảo mật, FPT Smart Cloud, Tập đoàn FPT tại đây. Tác giả: Lê Ngọc Linh, Chuyên gia bảo mật, FPT Smart Cloud, Tập đoàn FPT Liên hệ với chúng tôi để được tư vấn chi tiết về các giải pháp, dịch vụ của FPT Cloud Hotline: 1900 638 399 Email: [email protected] Support: m.me/fptsmartcloud

Trong vài năm trở lại đây, trí tuệ nhân tạo (AI) phát triển với tốc độ chưa từng có, mở ra vô số cơ hội đổi mới cho doanh nghiệp và xã hội, đồng thời đẩy bối cảnh an ninh mạng trở nên phức tạp, tinh vi và khó lường hơn. Những cuộc tấn công mạng sử dụng AI, các chiến dịch tấn công được cá nhân hóa, mô hình bị đánh lừa bởi dữ liệu giả đang tạo ra sức ép chưa từng thấy lên đội ngũ lãnh đạo công nghệ. Giữa những biến động ấy, câu chuyện về AI và an ninh mạng không còn là hai chủ đề tách rời mà trở thành hai mặt của cùng một bức tranh lớn - nơi cả cơ hội lẫn rủi ro đều song hành.  Tại buổi chia sẻ trong khuôn khổ sự kiện về An toàn dữ liệu doanh nghiệp trong kỷ nguyên AI bùng nổ dành cho các lãnh đạo, startup công nghệ, anh Đặng Hải Sơn - Offensive Security Manager, FPT Smart Cloud, Tập đoàn FPT, khẳng định:“Mối quan hệ giữa AI và An ninh mạng đã chuyển từ trạng thái tuyến tính sang trạng thái tương hỗ phức tạp: AI giúp tăng cường năng lực phòng thủ, nhưng đồng thời việc ứng dụng AI lại tạo ra những lỗ hổng và bề mặt tấn công mới. Hai chiều này không thể tách rời - tổ chức muốn tận dụng AI thì phải hiểu đầy đủ cách AI can thiệp vào an ninh mạng và ngược lại, muốn vận hành AI một cách an toàn thì phải có nền tảng an ninh mạng đủ mạnh để kiểm soát.”  AI cho an ninh mạng: Cơ hội hình thành lớp phòng thủ chủ động thế hệ mới  Từ góc nhìn phòng thủ, AI đang mở ra một kỷ nguyên mới cho lĩnh vực an ninh mạng. Trước đây, các hệ thống bảo mật phần lớn dựa vào quy tắc cố định và khả năng phân tích thủ công của con người. Điều này dẫn đến tình trạng quá tải: đội ngũ SOC phải xử lý hàng nghìn cảnh báo mỗi ngày, rất nhiều trong số đó là cảnh báo giả, khiến phản ứng chậm trễ và tạo khoảng trống cho kẻ tấn công.   Sự xuất hiện của AI đã thay đổi hoàn toàn cục diện này. AI có thể phân tích dữ liệu bảo mật theo thời gian thực và học từ các mẫu tấn công trong quá khứ để dự đoán rủi ro trước khi sự cố xảy ra. Những mô hình học sâu giúp hệ thống nhận diện nhanh các hành vi bất thường trong lưu lượng mạng, từ đó phát hiện những mối đe dọa mà con người khó nhận ra. Quan trọng hơn, AI còn cho phép tự động hóa phản ứng - một máy chủ bị nghi ngờ có hành vi bất thường có thể được cô lập ngay lập tức mà không phải chờ sự can thiệp của chuyên gia. Điều này rút ngắn thời gian phản ứng từ hàng giờ xuống còn vài phút, tạo nên một hệ thống phòng thủ chủ động thay vì chỉ theo kiểu “chữa cháy” như trước.  Nhưng AI không thay thế con người. Như anh Sơn nhấn mạnh:“Cần dùng trí tuệ của con người kết hợp với tốc độ của AI để đưa ra quyết định cuối cùng.” Sự kết hợp giữa AI và con người tạo nên một mô hình phòng thủ lai vừa linh hoạt, vừa có chiều sâu, vừa tận dụng được tốc độ xử lý của máy tính vừa giữ được khả năng phán đoán chiến lược của con người. Chính sự bổ sung cho nhau này đang định hình lại cách các doanh nghiệp tổ chức vận hành an ninh mạng trong thời đại số.  An ninh mạng cho AI: Khi chính hệ thống AI trở thành mục tiêu tấn công  Ở chiều ngược lại, AI không chỉ là công cụ hỗ trợ phòng thủ mà chính nó cũng trở thành một tài sản giá trị cao và vì vậy luôn nằm trong tầm ngắm của các hacker. Các mô hình AI có thể bị thao túng chỉ bằng những tín hiệu nhỏ đến mức con người khó nhận ra. Những cuộc tấn công đối kháng (adversarial attack) có thể khiến hệ thống nhận diện hình ảnh hiểu sai biển báo, làm lệch quyết định của mô hình hỗ trợ xe tự lái và trực tiếp đe dọa an toàn con người.  Nghiêm trọng hơn là các hình thức tấn công sâu vào quá trình phát triển mô hình như đầu độc dữ liệu (data poisoning), khi dữ liệu độc hại được đưa vào giai đoạn huấn luyện khiến mô hình hoạt động sai lệch một cách âm thầm. Cùng với đó là chèn lệnh/prompt độc hại (prompt injection) - một kỹ thuật ngày càng phổ biến trong thời đại GenAI - khi các chỉ thị độc hại được giấu trong email, tệp tài liệu hoặc đường link, buộc mô hình phải thực thi những hành động vượt ngoài phạm vi an toàn đã được thiết lập và có thể dẫn đến rò rỉ dữ liệu nhạy cảm.  Những nguy cơ này cho thấy một thực tế rõ ràng: AI không được bảo vệ đúng cách có thể trở thành điểm yếu chí mạng, gây ra rủi ro lớn hơn rất nhiều so với những sự cố mất dữ liệu truyền thống.   Chính vì vậy, doanh nghiệp cần xây dựng một kiến trúc an ninh dành cho AI theo nhiều lớp, bao gồm bảo vệ dữ liệu, bảo vệ mô hình, bảo vệ hạ tầng triển khai và kiểm soát toàn bộ quá trình vận hành. Điều này đòi hỏi mã hóa dữ liệu và mô hình, tách biệt môi trường xử lý, giám sát hành vi mô hình theo thời gian thực, thực hiện red-teaming chuyên biệt cho AI và tuân thủ các tiêu chuẩn quốc tế như ISO, NIST AI RMF hay EU AI Act để bảo đảm hệ thống AI hoạt động an toàn, bền vững và đáng tin cậy.  Hai chiều - Một bức tranh thống nhất  Khi nhìn vào cả hai hướng - AI hỗ trợ an ninh mạng và an ninh mạng bảo vệ AI - có thể thấy rõ đây không còn là hai chiều hướng phát triển tách biệt với nhau. AI càng phát triển mạnh thì an ninh mạng càng cần đầu tư sâu để bảo vệ AI. Và chỉ khi nền tảng an ninh mạng đủ vững chắc, doanh nghiệp mới có khả năng để triển khai AI một cách an toàn, tận dụng trọn vẹn giá trị mà công nghệ này mang lại.  Trong phần kết của bài chia sẻ, anh Sơn nhấn mạnh thông điệp dành cho các nhà lãnh đạo: “AI không chờ đợi ai - Lãnh đạo cũng phải hành động ngay.” Doanh nghiệp không thể đợi đến khi sự cố xảy ra mới nghĩ đến việc bảo vệ AI. Thay vào đó, cần nhìn nhận đúng cả cơ hội và rủi ro, đưa an toàn vào ngay từ giai đoạn thiết kế, xem bảo mật AI như một phần của quản trị rủi ro tổng thể và đầu tư đúng mức cho những năng lực an ninh trọng yếu.  AI đang thay đổi mọi thứ với tốc độ nhanh hơn khả năng thích ứng của nhiều tổ chức. Những doanh nghiệp hành động sớm - xây dựng nền tảng an ninh vững chắc, chủ động trong chiến lược AI – sẽ là những doanh nghiệp dẫn đầu trong quá trình chuyển đổi số. Trong hành trình đó, FPT tiếp tục đóng vai trò đồng hành, mang đến các nền tảng Cloud và giải pháp AI được thiết kế theo tiêu chuẩn an toàn quốc tế, vận hành an ninh mạng toàn diện với mục tiêu không chỉ là hỗ trợ doanh nghiệp ứng dụng AI, mà là giúp ứng dụng AI một cách an toàn, bền vững để tiến xa hơn trong kỷ nguyên số.  Lắng nghe chia sẻ đầy đủ của anh Đặng Hải Sơn về bức tranh hai chiều của AI và An ninh mạng tại đây. Liên hệ với chúng tôi để được tư vấn chi tiết về các giải pháp, dịch vụ của FPT Cloud   Hotline: 1900 638 399      Email: [email protected]      Support: m.me/fptsmartcloud      

I. Các lỗ hổng bảo mật được công bố trong tháng 11  1. Microsoft Microsoft phát hành bản cập nhật Patch Tuesday tháng 11/2025, bao gồm các bản vá bảo mật cho 63 lỗ hổng, trong đó có 1 lỗ hổng zero-day.   Patch Tuesday này cũng khắc phục bốn lỗ hổng được đánh giá là “Critical” (nghiêm trọng), trong đó hai lỗ hổng là thực thi mã từ xa (RCE), một lỗ hổng là leo thang đặc quyền, và lỗ thứ tư là rò rỉ thông tin.   Số lượng lỗ hổng theo từng loại chi tiết như sau:   29 lỗ hổng leo thang đặc quyền (Elevation of Privilege)   2 lỗ hổng bỏ qua tính năng bảo mật (Security Feature Bypass)   16 lỗ hổng thực thi mã từ xa (Remote Code Execution)   11 lỗ hổng rò rỉ thông tin (Information Disclosure)   3 lỗ hổng từ chối dịch vụ (Denial of Service)   2 lỗ hổng giả mạo (Spoofing)   1 lỗ hổng zero-day đang bị khai thác tích cực:    CVE-2025-62215 – Lỗ hổng leo thang đặc quyền trong Windows Kernel   Microsoft đã vá một lỗ hổng trong Windows Kernel, lỗ hổng này từng bị khai thác để chiếm quyền SYSTEM trên thiết bị Windows.   “Thực thi đồng thời sử dụng tài nguyên chia sẻ với đồng bộ không đúng cách (‘race condition’) trong Windows Kernel cho phép kẻ tấn công có quyền hợp pháp leo thang đặc quyền cục bộ,” Microsoft giải thích.   Microsoft cho biết lỗ hổng yêu cầu kẻ tấn công phải thắng race condition, sau đó họ nhận được quyền SYSTEM.   Microsoft đã xác nhận lỗ hổng nhờ trung tâm Threat Intelligence Center (MSTIC) & Microsoft Security Response Center (MSRC) nhưng chưa tiết lộ cách lỗ hổng bị khai thác.   Các bản cập nhật gần đây từ các công ty khác:   Adobe phát hành bản cập nhật bảo mật cho InDesign, InCopy, Photoshop, Illustrator, Substance 3D, Pass và Adobe Format.   Cisco phát hành bản vá cho nhiều sản phẩm, bao gồm Cisco ASA, Unified Contact Center và Identity Services. Cisco cũng cảnh báo về một cuộc tấn công mới khai thác các lỗ hổng cũ.   expr-eval phát hành bản vá để sửa lỗ hổng RCE nghiêm trọng trong thư viện JavaScript.   Fortinet phát hành bản cập nhật bảo mật cho lỗ hổng leo thang đặc quyền mức trung bình trong FortiOS.   Google phát hành thông báo bảo mật Android tháng 11 với bản vá cho hai lỗ hổng.   Ivanti phát hành các bản vá bảo mật trong Patch Tuesday tháng 11/2025.   runC phát hành bản vá cho các lỗ hổng cho phép kẻ tấn công thoát container Docker và Kubernetes.   QNAP phát hành bản vá cho bảy lỗ hổng zero-day bị khai thác để tấn công thiết bị lưu trữ mạng (NAS) trong cuộc thi Pwn2Own Ireland 2025.   SAP phát hành các bản vá bảo mật tháng 11 cho nhiều sản phẩm, bao gồm sửa lỗi 10/10 hardcoded credentials trong SQL Anywhere Monitor.   Samsung phát hành các bản vá bảo mật tháng 11, sửa 25 lỗ hổng.   Dưới đây là danh sách đầy đủ các lỗ hổng đã được giải quyết trong các bản cập nhật Patch Tuesday tháng 11 năm 2025:   Tag   CVE ID   CVE Title   Severity   Microsoft Office   CVE-2025-62199   Microsoft Office Remote Code Execution Vulnerability   Critical   Nuance PowerScribe   CVE-2025-30398   Nuance PowerScribe 360 Information Disclosure Vulnerability   Critical   Visual Studio   CVE-2025-62214   Visual Studio Remote Code Execution Vulnerability   Critical   Windows DirectX   CVE-2025-60716   DirectX Graphics Kernel Elevation of Privilege Vulnerability   Critical    Chi tiết về từng loại lỗ hổng và bản vá có thể xem thêm tại Tuesday Patch, paper.   2. Linux  CVE   Mô tả lỗ hổng   CVE‑2025‑40121   ASoC: Intel bytcr_rt5651: fix mapping quirk không hợp lệ — nếu truyền giá trị sai qua “quirk”, driver trước đây bỏ qua → có thể gây OOB access.   CVE‑2025‑40186   Một lỗ hổng kernel (theo NVD) được công bố ngày 12/11/2025.   CVE‑2025‑40152   DRM / MSM: lỗi bootup crash khi sử dụng tham số separate_gpu_drm = 1 do gpuva.list chưa khởi tạo.   CVE‑2025‑40178   Trong phần xử lý PID namespace: nếu ns là NULL, có thể dẫn đến NULL pointer dereference gây kernel panic.    CVE‑2025‑40147   Vấn đề throttle group: hàm blk_throtl_activated() được thắt chặt để tránh truy cập khi policy chưa đính kèm, ngăn lỗi truy cập không hợp lệ.    CVE‑2025‑40171   NVMe‑FC (nvmet-fc): lỗ hổng leak reference khi nhiều lệnh bất đồng bộ (async) cùng thực thi; fix bằng cách di chuyển work item vào struct nvmet_fc_ls_req_op.    Chi tiết về các lỗ hổng có thể xem tại  Advisories.  3. VMware  CVE   Mô tả lỗ hổng   CVE‑2025‑41244   Tăng quyền cục bộ (local privilege escalation) trên máy ảo sử dụng VMware Tools hoặc VMware Aria Operations.   CVE‑2025‑22247   Xử lý tệp không an toàn trong VMware Tools, có thể dẫn đến rủi ro bảo mật.   Chi tiết về các bản vá có thể xem tại  Advisories.  II. Một số sự kiện an ninh mạng đáng chú ý 1. Washington Post bị rò rỉ dữ liệu, ảnh hưởng gần 10.000 nhân viên và nhà thầu  Gần 10.000 nhân viên và nhà thầu của Washington Post bị lộ dữ liệu cá nhân và tài chính sau vụ tấn công khai thác lỗ hổng zero-day CVE-2025-61884 trong Oracle E-Business Suite. Nhóm Clop ransomware được cho là thủ phạm. Dữ liệu bị lộ gồm tên, số tài khoản ngân hàng, SSN, số thuế và ID. Nạn nhân được cung cấp 12 tháng dịch vụ bảo vệ danh tính miễn phí, đồng thời được khuyến nghị đóng băng tín dụng và đặt cảnh báo gian lận. Vụ việc có khả năng liên quan đến cuộc tấn công email các nhà báo trước đó.  2. Microsoft triển khai tính năng ngăn chụp màn hình cho người dùng Teams Microsoft Teams Premium vừa triển khai tính năng “Prevent screen capture” giúp ngăn chặn chụp màn hình và ghi hình trong các cuộc họp trên Windows và Android. Tính năng này mặc định tắt và phải được tổ chức viên bật cho từng cuộc họp; trên các nền tảng không hỗ trợ, người tham dự sẽ chỉ nghe bằng âm thanh. Mặc dù vậy, thông tin nhạy cảm vẫn có thể bị ghi lại bằng cách chụp màn hình bằng điện thoại. Đây là một trong các nỗ lực bảo vệ dữ liệu nhạy cảm của Teams, bên cạnh việc cảnh báo người dùng về tệp và liên kết độc hại trong chat. Hiện Teams có hơn 320 triệu người dùng hàng tháng trên toàn cầu.   Đứng trước những cuộc tấn công mạng ngày càng tinh vi và nguy hiểm như hiện nay, FPT Cloud khuyến cáo người dùng nên chủ động cập nhật phần mềm, tiến hành ứng dụng các biện pháp bảo mật dữ liệu tiên tiến giúp sao lưu và khôi phục dữ liệu tức thời, an toàn và toàn vẹn.      Tìm hiểu thêm thông tin chi tiết về dịch vụ sao lưu dữ liệu của FPT Cloud.     Liên hệ với chúng tôi để được tư vấn về dịch vụ của FPT Cloud Fanpage: https://www.facebook.com/fptsmartcloud/ Email: [email protected] Hotline: 1900 638 399 

Tập đoàn FPT ra mắt AI Notebook - dịch vụ nền tảng điện toán đám mây cung cấp môi trường lập trình AI, kết hợp với sức mạnh tính toán từ NVIDIA GPU, đáp ứng nhu cầu chuyên biệt về nghiên cứu và đào tạo phát triển AI. Khai thác hạ tầng siêu máy tính của FPT AI Factory và kiến trúc mã nguồn mở JupyterLab, AI Notebook mang đến không gian phát triển AI được cấu hình sẵn với nhiều tùy chọn GPU hiệu năng cao. Người dùng có thể khởi tạo, thử nghiệm và tinh chỉnh mô hình nhanh chóng, trực quan, đồng thời chỉ phải trả phí khi sử dụng GPU. [caption id="attachment_68070" align="aligncenter" width="1024"] Nền tảng lập trình AI trực tuyến, giúp các nhà phát triển tăng tốc nghiên cứu và triển khai mô hình AI.[/caption]   AI Notebook đơn giản hóa việc triển khai và quản lý hạ tầng so với JupyterLab truyền thống, rút ngắn chu trình thử nghiệm – huấn luyện AI với chi phí tối ưu. Đối với các trường đại học và viện nghiên cứu, nền tảng mở ra môi trường đào tạo AI hiện đại, hỗ trợ quản lý tập trung và phân bổ tài nguyên linh hoạt theo từng dự án, qua đó thúc đẩy xây dựng các mô hình và giải pháp AI mới. Lợi ích nổi bật của AI Notebook bao gồm: Nâng cao hiệu quả nghiên cứu và phát triển: Giao diện trực quan, được tối ưu sẵn để người dùng dễ dàng viết và kiểm thử các đoạn mã, khai phá dữ liệu, xây dựng và tinh chỉnh mô hình AI. Quy trình làm việc đơn giản và thuận tiện hơn, giúp nhanh chóng hiện thực hóa ý tưởng thành mô hình AI hoàn chỉnh. Mở rộng dễ dàng, thanh toán linh hoạt: Tùy chọn cấu hình với NVIDIA H100 và NVIDIA H200 Tensor Core GPU, đáp ứng nhu cầu ở mọi giai đoạn phát triển mô hình AI, đảm bảo hiệu suất ổn định khi mở rộng quy mô. Người dùng có thể quản lý chi phí hiệu quả nhờ cơ chế kiểm soát tài nguyên tự động và mô hình giá pay-as-you-go linh hoạt, minh bạch. Cộng tác và quản lý hiệu quả: Thiết lập không gian làm việc cộng tác theo mô hình AI Lab với các tính năng nâng cao, cho phép triển khai nhiều dự án song song. Toàn bộ tiến trình và kết quả được quản lý tập trung, dễ dàng đối chiếu, tái sử dụng và chuyển tiếp nhanh từ nghiên cứu đến ứng dụng thực tế. Phát triển an toàn, bảo mật cao: Vận hành trên hạ tầng mạnh mẽ theo chuẩn của NVIDIA, nền tảng đảm bảo quá trình nghiên cứu, phát triển diễn ra an toàn, tuân thủ và hiệu quả. Người dùng có thể tự do sáng tạo trong khi dữ liệu và khối lượng công việc luôn được bảo vệ toàn diện. Ông Lê Hồng Việt, Tổng Giám đốc FPT Smart Cloud, Tập đoàn FPT, nhấn mạnh: “Với AI Notebook, chúng tôi cung cấp công cụ cần thiết cho các nhà nghiên cứu, kỹ sư, giảng viên, sinh viên trong việc thử nghiệm huấn luyện và tinh chỉnh mô hình AI. Việc loại bỏ rào cản hạ tầng và ngân sách giúp các tổ chức giáo dục, viện nghiên cứu phát triển AI hiệu quả, tiết kiệm hơn, từ đó thúc đẩy đổi mới sáng tạo và làm chủ công nghệ theo chiến lược quốc gia về AI." Người dùng có thể đăng ký sử dụng AI Notebook, cũng như khám phá các dịch vụ phát triển AI trên hạ tầng GPU mạnh mẽ của FPT AI Factory. Tạo tài khoản miễn phí và trải nghiệm dịch vụ với ưu đãi lên tới $100 tại https://ai.fptcloud.com/.