Bản tin An toàn thông tin tuần số 18

Tạp chí An toàn thông tin giới thiệu toàn cảnh về những sự kiện, tin tức nổi bật về bảo mật và an toàn thông tin trong Tuần 37 (8/9 - 14/9), Bản tin gồm các sự kiện an toàn thông tin nổi bật trong nước và quốc tế. Trong tuần qua, Phó Thủ tướng Hồ Đức Phớc đã ký ban hành Nghị quyết số 05/2025/NQ-CP của Chính phủ về việc triển khai thí điểm thị trường tài sản mã hóa tại Việt Nam. Đặc biệt là những diễn biến mới nhất liên quan đến vụ vi phạm dữ liệu tại Trung tâm Thông tin tín dụng quốc gia Việt Nam (CIC), với hàng loạt khuyến cáo đến từ các tổ chức và cơ quan chức năng. Bên cạnh đó, nhiều ông lớn công nghệ tuần này đã phát hành bản vá khắc phục các lỗ hổng bảo mật, các cảnh báo an ninh mạng,... là một số thông tin đáng chú ý khác.

ĐIỂM TIN TRONG NƯỚC

Triển khai thí điểm thị trường tài sản mã hóa tại Việt Nam kể từ ngày 09/9/2025

Ngày 09/9/2025, thay mặt Chính phủ, Phó Thủ tướng Hồ Đức Phớc đã ký ban hành Nghị quyết số 05/2025/NQ-CP của Chính phủ về việc triển khai thí điểm thị trường tài sản mã hóa tại Việt Nam. Nghị quyết này có hiệu lực thi hành kể từ ngày 9/9/2025; thời gian thực hiện thí điểm là 5 năm.

Nghị quyết này quy định về triển khai thí điểm chào bán, phát hành tài sản mã hóa, tổ chức thị trường giao dịch tài sản mã hóa và cung cấp dịch vụ tài sản mã hóa; quản lý nhà nước về thị trường tài sản mã hóa tại Việt Nam. Đối tượng thực hiện thí điểm bao gồm: Tổ chức cung cấp dịch vụ tài sản mã hóa; tổ chức phát hành tài sản mã hóa; tổ chức, cá nhân Việt Nam và tổ chức, cá nhân nước ngoài tham gia đầu tư tài sản mã hóa và hoạt động trên thị trường tài sản mã hóa tại Việt Nam trong phạm vi quy định tại Nghị quyết này.

IGB Group và MobiFone Global đẩy mạnh các giải pháp bảo mật và giám sát an toàn thông tin

Ngày 11/9, tại Hà Nội, Công ty cổ phần IGB (IGB Group) và Công ty cổ phần Công nghệ MobiFone toàn cầu (MobiFone Global) đã ký kết thỏa thuận hợp tác chiến lược, đánh dấu bước tiến quan trọng trong tiến trình chuyển đổi số Việt Nam. Hai bên cam kết đẩy mạnh các giải pháp bảo mật và giám sát an toàn thông tin, thực hiện các tiêu chuẩn quản lý cấp độ an ninh mạng theo quy định của Nhà nước.

Theo thỏa thuận, IGB và MobiFone Global sẽ phối hợp tận dụng thế mạnh về hạ tầng, công nghệ và quan hệ đối tác để triển khai các dự án số hóa quy mô lớn, từ cấp tỉnh, thành phố đến các ngành kinh tế - xã hội trọng điểm.

Ngân hàng Nhà nước cảnh báo bẫy lừa xuyên biên giới, AI deepfake để chiếm đoạt tài sản

Theo thông tin từ Vụ Thanh toán - Ngân hàng Nhà nước, thời gian gần đây, tình trạng tội phạm công nghệ cao, lừa đảo tài chính qua các kênh điện tử có chiều hướng gia tăng, với nhiều thủ đoạn tinh vi như mạo danh ngân hàng gửi tin nhắn, phát tán đường link hoặc QR code giả mạo, giả danh cơ quan công an, tòa án, lừa đảo tuyển dụng “việc nhẹ lương cao” từ nước ngoài, hay sử dụng công nghệ AI, deepfake để chiếm đoạt thông tin cá nhân và tài sản.

Trước thực trạng này, Vụ Thanh toán khuyến nghị người dân tuyệt đối không cung cấp thông tin bảo mật bao gồm mật khẩu, OTP, số thẻ, CVV, sinh trắc học cho bất kỳ ai dưới bất kỳ hình thức nào. Đồng thời không truy cập link, QR code, ứng dụng không rõ nguồn gốc, thường xuyên kiểm tra, xác minh thông tin qua các kênh chính thức của ngân hàng.

Nguy cơ rò rỉ hơn 160 triệu thông tin tín dụng người dùng Việt Nam

Ngày 8/9, nhóm tin tặc khét tiếng ShinyHunters tuyên bố đã đánh cắp hơn 160 triệu hồ sơ tín dụng từ CIC và rò rỉ những thông tin này. Các tin tặc ShinyHunters rao bán 175.000 USD trên một diễn đàn tin tặc và cung cấp một mẫu dữ liệu lớn, cùng mô tả hơn 160 triệu bản ghi với “thông tin rất nhạy cảm bao gồm PII chung, thanh toán tín dụng, phân tích rủi ro, thẻ tín dụng,… Về cách thức tấn công, các tác nhân đe dọa lợi dụng một lỗ hổng n-day trong một phần mềm đã hết vòng đời để xâm nhập vào CIC và đánh cắp khoảng hơn 3 tỉ bản ghi, trong đó có 160 triệu bản ghi chứa thông tin cá nhân người Việt.

Thông tin rò rỉ trên diễn đàn tin tặc

VNCERT khuyến cáo người dân cần nâng cao cảnh giác trước sự cố an ninh mạng tại CIC

Chiều ngày 11/9, Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT) đã có thông báo về sự cố lộ dữ liệu cá nhân tại CIC. Kết quả ban đầu cho thấy, lượng dữ liệu bị thu thập trái phép tại CIC không bao gồm tài khoản tiền gửi, số thẻ tín dụng, mã số bảo mật, lịch sử giao dịch thanh toán,… của khách hàng. Đồng thời, hệ thống công nghệ thông tin của các tổ chức tín dụng hoạt động độc lập, do vậy, hoạt động cung cấp dịch vụ của các tổ chức tín dụng hiện nay vẫn đang được thực hiện liên tục, an toàn và ổn định, khách hàng hoàn toàn không bị ảnh hưởng bởi sự cố này.

VNCERT khuyến nghị khách hàng tuân thủ hướng dẫn của các cơ quan, đơn vị tín dụng, tài chính; không cần phải đóng, khóa thẻ tín dụng hoặc tài khoản ngân hàng. Người dân không tin tưởng, bình luận, chia sẻ với các nguồn tin thất thiệt, xuyên tạc, bịa đặt trên không gian mạng có liên quan đến sự việc; cần thường xuyên theo dõi, cập nhật thông tin được công bố chính thức bởi cơ quan chức năng.

ĐIỂM TIN QUỐC TẾ

Plex yêu cầu người dùng đặt lại mật khẩu sau vụ rò rỉ dữ liệu mới

Tuần qua, nền tảng phát trực tuyến media Plex đưa ra cảnh báo người dùng cần phải đặt lại mật khẩu tài khoản, trong bối cảnh tin tặc tấn công và đánh cắp dữ liệu xác thực từ một trong các cơ sở dữ liệu của nền tảng này. Đối với những người sử dụng SSO để đăng nhập, công ty khuyến nghị khách hàng nên đăng xuất khỏi tất cả các phiên đang hoạt động bằng cách truy cập https://plex[.]tv/security và nhấp vào nút “Đăng xuất khỏi tất cả các thiết bị”.

Hơn 6.700 kho lưu trữ riêng tư bị công khai trong cuộc tấn công chuỗi cung ứng Nx

Công ty an ninh mạng Wiz cho biết tin tặc đã sử dụng các thông tin bí mật (secret) bị đánh cắp trong cuộc tấn công chuỗi cung ứng Nx gần đây, để từ đó công khai hơn 6.700 kho lưu trữ riêng tư. Là một phần của cuộc tấn công có tên “s1ngularity”, kẻ tấn công đã sử dụng token NPM trên kho lưu trữ Nx để phát hành 8 phiên bản độc hại. Các phiên bản này chứa một tập lệnh được thiết kế để thực thi tệp telemetry[.]js độc hại trên hệ thống Linux và macOS, nhằm tìm kiếm một cách có hệ thống các máy tính để tìm các tệp chứa khóa API, token GitHub, token NPM, khóa SSH và dữ liệu ví tiền điện tử.

Microsoft phát hành bản vá Patch Tuesday tháng 9 khắc phục 81 lỗ hổng bảo mật

Microsoft vừa phát hành bản vá Patch Tuesday tháng 9/2025 để giải quyết 81 lỗ hổng bảo mật. Đáng lưu ý, bản vá lần này đã khắc phục 02 lỗ hổng zero-day tiết lộ công khai.

Theo đó, bản vá Patch Tuesday tháng 9 đã khắc phục 38 lỗ hổng leo thang đặc quyền; 22 lỗ hổng thực thi mã từ xa (RCE); 14 lỗ hổng tiết lộ thông tin; 04 lỗ hổng từ chối dịch vụ (DoS), 01 lỗ hổng giả mạo (Spoofing), 02 lỗ hổng vượt qua tính năng bảo mật (Bypass). Số lượng này không bao gồm các lỗ hổng Azure, Dynamics 365 FastTrack Implementation Assets, Mariner, Microsoft Edge và Xbox đã được khắc phục sớm vào đầu tháng này.

Tin tặc APT Trung Quốc phát tán phần mềm độc hại EggStreme để xâm nhập hệ thống quân sự Philippines

Một nhóm tin tặc APT từ Trung Quốc đã bị cáo buộc là thủ phạm xâm nhập một công ty quân sự có trụ sở tại Philippines, bằng cách sử dụng một framework phần mềm độc hại có tên là EggStreme.

Nhà nghiên cứu Bogdan Zavadovschi của hãng bảo mật Bitdefender (Romania) cho biết: “Bộ công cụ này có khả năng hoạt động gián điệp tinh vi, kín đáo bằng cách đưa mã độc trực tiếp vào bộ nhớ và tận dụng khả năng DLL sideloading để thực thi các payload. Với thành phần cốt lõi, EggStremeAgent, là một backdoor đầy đủ tính năng cho phép trinh sát hệ thống, di chuyển ngang hàng và đánh cắp dữ liệu thông qua một keylogger được nhúng”.

Microsoft khắc phục sự cố phát trực tuyến do bản cập nhật Windows gây ra

Ngày 9/9, Microsoft đã giải quyết được tình trạng trễ và giật nghiêm trọng với phần mềm phát trực tuyến NDI, ảnh hưởng đến hệ thống Windows 10 và Windows 11, sau khi cài đặt bản cập nhật bảo mật tháng 8/2025 (KB5063878 và KB5063709) trên Windows 11 24H2 và Windows 10 21H2/22H2. Microsoft cho biết, tình trạng giật, lag và âm thanh/video bị ngắt quãng nghiêm trọng có thể xảy ra khi sử dụng NDI để phát trực tuyến hoặc truyền dữ liệu âm thanh/video giữa các PC.

Mã độc tống tiền HybridPetya mới có thể bypass UEFI Secure Boot

Các nhà nghiên cứu tại công ty an ninh mạng ESET (Slovakia) đã phát hiện ra một loại mã độc tống tiền mới có tên HybridPetya, với nhiều điểm tương đồng với phần mềm độc hại Petya và NotPetya khét tiếng, có thể vượt qua (bypass) tính năng UEFI Secure Boot, để cài đặt ứng dụng độc hại trên phân vùng hệ thống EFI.

Khi khởi chạy, HybridPetya sẽ xác định xem máy chủ có sử dụng UEFI với phân vùng GPT hay không, sau đó nhúng bootkit độc hại vào phân vùng hệ thống EFI. Chúng bao gồm các tệp cấu hình và xác thực, bootloader đã sửa đổi, bootloader UEFI dự phòng, payload container và tệp trạng thái theo dõi tiến trình mã hóa.

Mã độc tống tiền Akira khai thác lỗ hổng SSLVPN nghiêm trọng của SonicWall

Nhóm tin tặc mã độc tống tiền Akira hiện đang tích cực khai thác CVE-2024-40766, một lỗ hổng kiểm soát truy cập nghiêm trọng đã tồn tại một năm, để truy cập trái phép vào các thiết bị SonicWall. Công ty an ninh mạng Rapid7 (Mỹ) báo cáo rằng các cuộc tấn công mã độc tống tiền Akira vào các thiết bị SonicWall gần đây đã bùng phát trở lại, có khả năng liên quan đến việc khắc phục chưa hoàn chỉnh.

Quản trị viên hệ thống được khuyến nghị nên cập nhật lên firmware phiên bản 7.3.0 trở lên, thay đổi mật khẩu tài khoản SonicWall, thực thi xác thực đa yếu tố (MFA), giảm thiểu rủi ro từ Default Groups và hạn chế quyền truy cập Virtual Office Portal vào các mạng nội bộ/đáng tin cậy.

Tin tặc Kosovo nhận tội điều hành diễn đàn tội phạm mạng BlackDB

Vừa qua, công dân Kosovo có tên Liridon Masurica đã nhận tội điều hành BlackDB[.]cc, một thị trường tội phạm mạng hoạt động từ năm 2018. Bộ Tư pháp Mỹ tuyên bố rằng diễn đàn này rao bán các tài khoản bị xâm phạm và thông tin đăng nhập máy chủ, thông tin thẻ tín dụng bị đánh cắp và thông tin nhận dạng cá nhân (PII) thuộc về các nạn nhân trên toàn thế giới, đặc biệt tập trung vào các cá nhân tại Mỹ. Masurica bị cáo buộc năm tội danh sử dụng thiết bị truy cập trái phép và một tội danh âm mưu gian lận thiết bị truy cập. Nếu bị kết án về tất cả các tội danh, quản trị viên chợ BlackDB có thể phải đối mặt với mức án tối đa 55 năm tù giam.

Jaguar Land Rover xác nhận dữ liệu bị đánh cắp sau cuộc tấn công mạng gần đây

Vừa qua, Jaguar Land Rover (JLR) xác nhận rằng các tác nhân đe dọa đã đánh cắp một số dữ liệu trong một cuộc tấn công mạng gần đây. Trong tuyên bố mới nhất vào ngày 10/9, công ty cũng cho biết họ đã thông báo cho các cơ quan có thẩm quyền về vụ vi phạm dữ liệu.

Mặc dù nhà sản xuất ô tô đã xác nhận rằng những kẻ tấn công đã đánh cắp thông tin từ các hệ thống bị xâm phạm của công ty, nhưng JLR vẫn chưa xác định được tác nhân đe dọa cụ thể nào gây ra vụ tấn công. Tuy nhiên, một nhóm tội phạm mạng tự xưng là “Scattered Lapsus$ Hunters” đã lên tiếng nhận trách nhiệm về vụ xâm nhập trên Telegram, chia sẻ ảnh chụp màn hình hệ thống SAP nội bộ của JLR, cho biết rằng họ cũng đã triển khai mã độc tống tiền trên các hệ thống bị xâm phạm của công ty.

Samsung vá lỗ hổng zero-day nhắm vào Android

Samsung đã vá lỗ hổng RCE bị khai thác trong các cuộc tấn công zero-day nhắm vào các thiết bị Android của hãng. Được theo dõi với định danh CVE-2025-21043, lỗ hổng bảo mật nghiêm trọng này ảnh hưởng đến các thiết bị Samsung Android 13 trở lên. Theo Samsung, CVE-2025-21043 được phát hiện trong thư viện hình ảnh libimagecodec.quram.so, một điểm yếu ghi ngoài giới hạn cho phép kẻ tấn công thực thi mã độc từ xa trên các thiết bị dễ bị tấn công.

Mỹ buộc tội công dân Ukraine liên quan đến mã độc tống tiền LockerGoga, MegaCortex và Nefilim

Ngày 9/9, DOJ đã buộc tội công dân Ukraine có tên Volodymyr Viktorovich Tymoshchuk vì vai trò là người quản lý các hoạt động mã độc tống tiền LockerGoga, MegaCortex và Nefilim. Tymoshchuk (còn được biết đến với các tên gọi deadforz, Boba, msfv và farnetwork) nằm trong danh sách truy nã gắt gao nhất của cả Liên minh châu Âu (EU) và Cục Điều tra Liên bang Mỹ (FBI). Theo bản cáo trạng bổ sung, Tymoshchuk đã tham gia vào các vụ tấn công mã độc tống tiền gây ảnh hưởng đến hàng trăm doanh nghiệp, gây thiệt hại hàng triệu USD.

Apple cảnh báo các cuộc tấn công phần mềm gián điệp

Ngày 11/9, Trung tâm ứng cứu khẩn cấp máy tính Pháp (CERT-FR) cho biết, Apple đang cảnh báo khách hàng rằng thiết bị của họ đang là mục tiêu của một loạt cuộc tấn công phần mềm gián điệp mới. CERT-FR nêu rõ: “Các thông báo cho thấy đây là các cuộc tấn công cực kỳ tinh vi, hầu hết sử dụng lỗ hổng bảo mật zero-day hoặc không yêu cầu người dùng tương tác. Những cuộc tấn công này nhắm vào các cá nhân như nhà báo, luật sư, nhà hoạt động, chính trị gia, quan chức cấp cao,…”.

Microsoft khắc phục sự cố gián đoạn của Exchange Online

Ngày 12/9, Microsoft thông báo đã giải quyết sự cố gián đoạn ngừng hoạt động của Exchange Online, khiến người dùng không thể truy cập vào email và lịch. Gã khổng lồ công nghệ cho biết, nguyên nhân xảy ra sự cố do một phiên bản phần mềm cụ thể gây ra tình trạng ngắt kết nối và chuyển đổi dự phòng cơ sở dữ liệu nhiều lần. Điều này dẫn đến việc sử dụng CPU tăng lên, gây ra tình trạng tích tụ hàng đợi tin nhắn, dẫn đến tác động trên.

Windows 11 23H2 Home và Pro kết thúc hỗ trợ vào tháng 11/2025

Ngày 12/9, Microsoft thông báo các thiết bị chạy phiên bản Home và Pro của Windows 11 23H2 sẽ kết thúc hỗ trợ và ngừng nhận bản cập nhật bảo mật hàng tháng sau ngày 11/11. Người dùng Windows 11 23H2 được khuyến cáo nâng cấp hệ thống của mình lên Windows 11 24H2 (còn gọi là bản cập nhật Windows 11 2024), phiên bản Windows 11 mới nhất, được cung cấp rộng rãi cho các thiết bị Windows 11 22H2/23H2 đủ điều kiện vào tháng 10/2024, sau khi triển khai Windows Insider enterprise vào tháng 5/2024.

Adobe vá lỗ hổng bảo mật SessionReaper nghiêm trọng

Ngày 9/9, Adobe cảnh báo về lỗ hổng bảo mật nghiêm trọng SessionReaper trong nền tảng Commerce và Magento mã nguồn mở, nếu khai thác thành công có thể cho phép kẻ tấn công kiểm soát hoàn toàn tài khoản người dùng. Với mã định danh CVE-2025-54236 (điểm CVSS: 9.1), lỗ hổng được mô tả là một lỗi xác thực đầu vào không đúng cách. Thông báo của Adobe nêu rõ: “Kẻ tấn công có thể chiếm đoạt tài khoản khách hàng trong Adobe Commerce thông qua Commerce REST API”.

SAP khắc phục lỗ hổng thực thi lệnh NetWeaver nghiêm trọng

SAP đã giải quyết 21 lỗ hổng bảo mật mới ảnh hưởng đến các sản phẩm của hãng, trong đó có 01 lỗ hổng nghiêm trọng là CVE-2025-42944 (điểm CVSS: 10.0). Đây là lỗ hổng giải tuần tự hóa không an toàn trong SAP NetWeaver (RMIP4), ServerCore 7.50. Kẻ tấn công chưa xác thực có thể khai thác lỗ hổng này để thực thi lệnh hệ điều hành tùy ý bằng cách gửi đến cổng mở một đối tượng Java độc hại thông qua mô-đun RMI-P4.

GitLab phát hành bản vá khẩn cấp khắc phục nhiều lỗ hổng bảo mật nghiêm trọng

GitLab vừa phát hành một loạt bản cập nhật bảo mật khẩn cấp nhằm khắc phục nhiều lỗ hổng nguy hiểm có thể bị khai thác để tấn công vào hệ thống của hàng triệu người dùng. Lỗ hổng nghiêm trọng nhất được khắc phục với mã định danh CVE-2025-6454 (điểm CVSS: 8.5). Đây là một lỗ hổng SSRF (Server-Side Request Forgery), cho phép tin tặc gửi các yêu cầu từ chính máy chủ GitLab tới các địa chỉ nội bộ hoặc dịch vụ nhạy cảm, bypass các lớp bảo mật thông thường.

Zoom vá nhiều lỗ hổng bảo mật quan trọng trên Windows và macOS

Zoom vừa phát hành bản cập nhật bảo mật quan trọng cho các ứng dụng của hãng, bao gồm Zoom Workplace và các client trên Windows lẫn macOS, nhằm khắc phục nhiều lỗ hổng với mức độ nghiêm trọng từ trung bình đến cao. Bản vá mới nhất đặc biệt chú trọng vào lỗ hổng Missing Authorization, với mã định danh CVE-2025-49459, ảnh hưởng đến Zoom Workplace trên Windows ARM. Lỗ hổng này có khả năng cho phép kẻ tấn công thực hiện các hành động ngoài quyền hạn, từ đó đe dọa nghiêm trọng đến bảo mật của ứng dụng.

Microsoft bổ sung cảnh báo liên kết độc hại vào cuộc trò chuyện riêng tư của Teams

Microsoft Teams sẽ tự động cảnh báo người dùng khi họ gửi hoặc nhận tin nhắn riêng tư có chứa liên kết được gắn thẻ là độc hại. Microsoft dự kiến đưa ra những cảnh báo mới này cho các tin nhắn có chứa URL bị gắn cờ là thư rác, lừa đảo hoặc phần mềm độc hại, dành cho tất cả khách hàng enterprise sử dụng Microsoft Defender for Office 365 (MDO) và Microsoft Teams.

Theo lộ trình Microsoft 365 gần đây, tính năng bảo vệ liên kết mới bắt đầu triển khai với bản xem trước (preview) công khai cho người dùng máy tính để bàn (PC), Android, web, iOS vào tháng 9/2025 và dự kiến sẽ có mặt rộng rãi vào tháng 11/2025.

CISA cảnh báo về lỗ hổng RCE của Dassault đang bị khai thác tích cực

Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) đang cảnh báo về việc tin tặc khai thác lỗ hổng RCE quan trọng (CVE-2025-5086, điểm CVSS: 9.0) trong DELMIA Apriso, một giải pháp quản lý hoạt động sản xuất (MOM) và thực thi (MES) của công ty Dassault Systèmes (Pháp).

Lỗ hổng CVE-2025-5086 là một lỗi hủy tuần tự hóa dữ liệu không đáng tin cậy có thể dẫn đến RCE. Lỗ hổng được phát hiện bao gồm việc gửi yêu cầu SOAP độc hại đến các điểm cuối dễ bị tấn công để tải và thực thi tệp thực thi .NET mã hóa Base64, nén GZIP và nhúng trong XML.

Thượng nghị sĩ Mỹ cáo buộc Microsoft “thiếu sót nghiêm trọng về an ninh mạng”

Tuần qua, Thượng nghị sĩ Mỹ Ron Wyden đã gửi thư cho Ủy ban Thương mại Liên bang (FTC), yêu cầu cơ quan này điều tra Microsoft vì đã không thực hiện hành động quyết đoán trong một thời gian dài để giảm thiểu hiệu quả các rủi ro bảo mật, dẫn đến các cuộc tấn công mã độc tống tiền vào các tổ chức chăm sóc sức khỏe, như vụ tấn công Ascension Health năm 2024, làm mất dữ liệu của 5,6 triệu bệnh nhân.

Panama tiết lộ vụ vi phạm do mã độc tống tiền INC gây ra

Ngày 11/9, Bộ Kinh tế và Tài chính Panama (MEF) tiết lộ rằng một trong những máy tính của họ có thể đã bị xâm nhập trong một cuộc tấn công mạng. MEF cho biết dữ liệu cá nhân và dữ liệu của tổ chức đều an toàn, đồng thời nhấn mạnh các biện pháp bảo mật đều được áp dụng để ngăn ngừa các sự cố trong tương lai.

Tuy nhiên, nhóm tin tặc mã độc tống tiền INC đã tuyên bố tấn công MEF trong một bài đăng trên trang web rò rỉ dữ liệu của mình. Những kẻ tấn công cho biết đã đánh cắp hơn 1,5 TB dữ liệu từ hệ thống của MEF, bao gồm email, tài liệu tài chính, chi tiết ngân sách,… Nhóm này cũng đã thêm MEF vào danh sách nạn nhân trên dark web vào ngày 5/9 và làm rò rỉ các mẫu dữ liệu dưới dạng tài liệu nội bộ làm bằng chứng về vụ vi phạm.

Hàng trăm lỗ hổng XSS vẫn được tìm thấy trong các dịch vụ của Microsoft

Lỗ hổng XSS đã tồn tại hơn hai thập kỷ, nhưng chúng vẫn tiếp tục phổ biến trong các dịch vụ trực tuyến. Microsoft đã phát hiện gần 1.000 lỗ hổng XSS ảnh hưởng đến các dịch vụ của hãng kể từ đầu tháng 01/2024. Trong năm qua, gã khổng lồ công nghệ đã chi trả hơn 900.000 USD tiền thưởng cho các lỗ hổng XSS, với phần thưởng cao nhất là 20.000 USD.

FortiGuard Labs công bố báo cáo về MostereRAT

FortiGuard Labs đã công bố một phân tích về MostereRAT. Phần mềm độc hại này sử dụng các kỹ thuật tinh vi, chẳng hạn như tích hợp chương trình EPL, ẩn phương thức tạo dịch vụ, chặn lưu lượng AV và chuyển sang các công cụ truy cập từ xa hợp pháp như AnyDesk, tightVNC và RDP Wrapper để kiểm soát hệ thống của nạn nhân.

Cisco vá các lỗ hổng bảo mật nghiêm trọng của IOS XR

Ngày 10/9, Cisco đã phát hành bản vá để khắc phục ba lỗ hổng bảo mật trong phần mềm IOS XR của hãng. Được theo dõi với mã định danh CVE-2025-20248 (điểm CVSS: 6.0), lỗ hổng đầu tiên là sự cố xảy ra trong quá trình cài đặt IOS XR, có thể cho phép kẻ tấn công bypass xác minh chữ ký hình ảnh.

Sự cố IOS XR thứ hai được giải quyết trong tuần này là CVE-2025-20340 (điểm CVSS: 7.4), một lỗi trong quá trình triển khai giao thức ARP của phần mềm, có thể bị những kẻ tấn công chưa xác thực khai thác để gây ra tình trạng DoS. Lỗi bảo mật thứ ba với mã CVE-2025-20159 (điểm CVSS: 5.3), ảnh hưởng đến tính năng xử lý ACL của IOS XR, có thể cho phép kẻ tấn công từ xa chưa xác thực gửi lưu lượng đến thiết bị dễ bị tấn công và bypass ACL được cấu hình cho các tính năng SSH, NetConf và gRPC.

Phát hiện lỗ hổng Cursor

Cũng trong tuần qua, công ty an ninh mạng Oasis Security (Israel) cho biết đã phát hiện một lỗ hổng trong trình soạn thảo mã AI Cursor, cho phép một kho lưu trữ độc hại thực thi mã tùy ý khi được mở bằng Cursor. Dự án độc hại này bao gồm một lệnh ẩn “tự động chạy”, yêu cầu Cursor thực thi một tác vụ ngay khi thư mục được mở mà không cần sự cho phép rõ ràng của người dùng. Cuộc tấn công đã được ngăn chặn nhờ tính năng Workspace Trust của Cursor.

Apple ra mắt tính năng bảo vệ bộ nhớ iPhone để chống lại các cuộc tấn công tinh vi

Ngày 9/9, Apple đã ra mắt điện thoại thông minh iPhone 17 và iPhone Air mới, bao gồm tính năng bảo vệ bộ nhớ mới để bảo vệ thiết bị khỏi các cuộc tấn công phần mềm gián điệp tinh vi. Tính năng mới này được gọi là Memory Integrity Enforcement (MIE), nhằm mục đích khiến việc khai thác các lỗ hổng trở nên khó khăn hơn đáng kể. Theo Apple, tính năng MIE tận dụng Enhanced Memory Tagging Extension (EMTE) của Arm, được gã khổng lồ chip này phát hành vào năm 2022, dưới dạng bản cập nhật thông số kỹ thuật Memory Tagging Extension (MTE) năm 2019.

Bản cập nhật bảo mật Chrome mới vá lỗ hổng thực thi mã từ xa nghiêm trọng

Tuần này, Google đã tung ra bản cập nhật Chrome để khắc phục 02 lỗ hổng bảo mật, trong đó nghiêm trọng nhất là CVE-2025-10200. Đây là loại lỗ hổng Use-After-Free trong thành phần Serviceworke và được đánh giá nghiêm trọng. Lỗ hổng này xảy ra khi một chương trình cố gắng sử dụng bộ nhớ sau khi đã giải phóng, điều này có thể dẫn đến sự cố, hỏng dữ liệu hoặc trong trường hợp xấu nhất là thực thi mã từ xa.