Cập nhật bản vá lỗ hổng bảo mật tháng 5/2025

Trong tháng 5, Microsoft, Adobe và SAP đã phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt bản vá để phòng tránh rủi ro mất an toàn thông tin.

Microsoft

Trung tuần tháng 5, Microsoft đã phát hành bản vá Patch Tuesday để giải quyết 77 lỗ hổng bảo mật trong các sản phẩm của mình, bao gồm: 20 lỗ hổng leo thang đặc quyền; 29 lỗ hổng thực thi mã từ xa (RCE); 02 lỗ hổng vượt qua tính năng bảo mật (Bypass); 16 lỗ hổng tiết lộ thông tin; 7 lỗ hổng từ chối dịch vụ (DoS) và 03 lỗ hổng giả mạo (Spoofing). Số lượng này không bao gồm các lỗ hổng Mariner và Microsoft Edge đã được khắc phục vào đầu tháng này.

Về mức độ ảnh hưởng, 11 lỗ hổng được đánh giá là nghiêm trọng, trong đó 6 lỗ hổng là RCE và 02 lỗ hổng tiết lộ thông tin, 02 lỗ hổng leo thang đặc quyền và 01 lỗ hổng Spoofing.

Đáng lưu ý, trong 77 lỗ hổng được vá, 5 lỗ hổng zero-day đang bị khai thác tích cực, với 4 lỗ hổng leo thang đặc quyền trong Widnows, lỗ hổng còn lại liên quan đến lỗi hỏng bộ nhớ Scripting Engine. Các tác nhân đe dọa cần đánh lừa người dùng đã xác thực nhấp vào liên kết được thiết kế đặc biệt trong Edge hoặc Internet Explorer, cho phép kẻ tấn công chưa xác thực thực thi mã tùy ý. Bên cạnh đó, có 2 lỗ hổng tiết lộ công khai cũng đã được vá: Đầu tiên là lỗ hổng Spoofing trong Microsoft Defender, cho phép tấn công chưa xác thực có thể giả mạo tài khoản khác định danh CVE-2025-26685. Thứ hai là lỗ hổng RCE CVE-2025-32702, việc vô hiệu hóa không đúng cách các thành phần đặc biệt được sử dụng trong lệnh (command injection) của Visual Studio cho phép kẻ tấn công trái phép thực thi mã cục bộ.

Adobe

Cũng trong tháng 5, Adobe đã phát hành bản vá bảo mật để giải quyết 40 lỗ hổng bảo mật trong các sản phẩm Adobe Lightroom, Adobe Dreamweaver, Adobe Connect, Adobe InDesign, Substance 3D Painter, Adobe Photoshop, Adobe Animate, Adobe Illustrator, Adobe Bridge, Adobe Dimension, Substance 3D Stager, Substance 3D Modeler và Adobe ColdFusion. Công ty đã đưa ra cảnh báo về rủi ro lỗ hổng RCE, có thể cho phép kẻ tấn công truy cập trái phép vào hệ thống hoặc leo thang đặc quyền.

Các bản cập nhật quan trọng nhất ảnh hưởng đến Adobe ColdFusion, với 7 lỗ hổng nghiêm trọng đã được vá. Các lỗ hổng này có thể dẫn đến việc đọc hệ thống tệp tùy ý, thực thi mã và leo thang đặc quyền nếu bị khai thác. Bên cạnh đó, Adobe cũng đã vá các lỗ hổng nghiêm trọng trong một số ứng dụng được sử dụng rộng rãi khác:

- Adobe Photoshop (3 lỗ hổng RCE nghiêm trọng).

- Adobe Illustrator (1 lỗ hổng RCE nghiêm trọng).

- Adobe Lightroom, Dreamweaver, Connect và InDesign bị ảnh hưởng bởi các lỗ hổng RCE và từ chối dịch vụ (DoS).

- Các sản phẩm khác như Adobe Substance 3D Painter, Adobe Bridge và Adobe Dimension cũng đã được khắc phục.

SAP

Ở một động thái khác, SAP đã phát hành bản cập nhật để giải quyết 18 lỗ hổng bảo mật. Trong đó, có 2 lỗ hổng xếp hạng mức độ nghiêm trọng, 5 lỗ hổng xếp hạng quan trọng và 11 lỗ hổng xếp hạng trung bình.

Lỗ hổng bảo mật mới và nghiêm trọng nhất (CVSS: 10.0) mà hãng SAP giải quyết trong bản cập nhật lần này được gán định danh CVE-2025-31324. Lỗ hổng này tồn tại do SAP NetWeaver Visual Composer Metadata Uploader không được bảo vệ bằng quyền hợp lệ, cho phép tác nhân chưa được xác thực tải lên các tệp nhị phân thực thi có khả năng gây hại nghiêm trọng cho hệ thống máy chủ. Điều này có thể ảnh hưởng đáng kể đến tính bảo mật, tính toàn vẹn và tính khả dụng của hệ thống mục tiêu.

Một lỗ hổng nghiêm trọng khác là CVE-2025-42999 (điểm CVSS: 9.1), lỗ hổng này cũng xảy ra trong thành phần SAP NetWeaver Visual Composer Metadata Uploader, khi người dùng có đặc quyền có thể tải lên nội dung không đáng tin cậy hoặc độc hại.

SonicWall

Trong tháng 5, hãng bảo mật SonicWall đã kêu gọi khách hàng vá 3 lỗ hổng bảo mật ảnh hưởng đến các thiết bị Secure Mobile Access (SMA), một trong số đó được gắn thẻ là đã bị khai thác trong các cuộc tấn công. Các lỗ hổng bảo mật này bao gồm: CVE-2025-32819, CVE-2025-32820 và CVE-2025-32821, có thể bị kẻ tấn công khai thác để thực thi mã với tư cách là root và xâm phạm hệ thống mục tiêu.

Các lỗ hổng bảo mật ảnh hưởng đến các thiết bị SMA 200, SMA 210, SMA 400, SMA 410 và SMA 500v và được vá trong phiên bản phần mềm 10.2.1.15-81sv trở lên.

Theo SonicWall, khai thác thành công CVE-2025-32819 cho phép các tác nhân đe dọa xóa cơ sở dữ liệu SQLite chính, đặt lại mật khẩu của người dùng quản trị viên SMA mặc định và đăng nhập với tư cách là quản trị viên vào giao diện web SMA. Tiếp theo, chúng có thể khai thác lỗ hổng chuyển hướng đường dẫn CVE-2025-32820 để làm cho thư mục /bin có thể ghi, sau đó thực thi mã với tư cách là root bằng cách khai thác CVE-2025-32821.

Fortinet

Trong một diễn biến liên quan, Fortinet đã phát hành bản cập nhật bảo mật để giải quyết lỗ hổng zero-day nghiêm trọng ảnh hưởng đến nhiều sản phẩm của Fortinet bao gồm FortiVoice, FortiMail, FortiNDR, FortiRecorder và FortiCamera. Được gắn mã định danh CVE-2025-32756 (CVSS: 9.6), kẻ tấn công từ xa không xác thực có thể gửi các request HTTP được thiết kế đặc biệt để tạo điều kiện tràn dựa trên ngăn xếp cho phép thực thi mã tùy ý. Lỗ hổng này được phát hiện bởi nhóm bảo mật sản phẩm Fortinet, những người đã quan sát hoạt động đe dọa liên quan đến một thiết bị FortiVoice.

Theo Fortinet, các hoạt động của tác nhân đe dọa bao gồm rà quét mạng, xóa nhật ký sự cố hệ thống và bật fcgi debugging được sử dụng để ghi lại các nỗ lực xác thực, bao gồm cả đăng nhập SSH. Tùy chọn fcgi debugging không được bật theo mặc định và khuyến cáo của Fortinet khuyến nghị xem xét cài đặt này như một chỉ báo có thể bị xâm phạm (IoC).