Tổng Hợp Tuần: Lỗ Hổng Linux, Zero-Day Defender, Botnet Router và Hỗn Loạn Chuỗi Cung Ứng

Tuần vừa qua, bức tranh an ninh mạng toàn cầu tiếp tục cho thấy nhiều điểm nóng đáng chú ý. Các công cụ phát triển bị lợi dụng, những lỗ hổng cũ bất ngờ tái xuất, và ngay cả các sản phẩm bảo mật cũng cần được bảo vệ khỏi chính mình. Nhiều doanh nghiệp đã phải rà soát lại các máy chủ và hệ thống đã bị lãng quên, đáng lẽ phải được vá lỗi từ nhiều năm trước.

Các nhóm phishing ngày càng tinh vi hơn, chuyển từ các email lừa đảo rõ ràng sang các chiến dịch có mục tiêu, trông rất thật. Trong khi đó, các botnet không ngừng săn lùng mọi thiết bị kết nối internet không được bảo vệ. Internet vẫn là một “bãi rác” đầy rẫy nguy hiểm.

Hãy cùng điểm qua những tin tức nổi bật nhất:

⚡ Điểm Nóng An Ninh Mạng Tuần Qua

GitHub Bị Xâm Nhập Qua Tiện Ích Mở Rộng Nx Console VS Code
GitHub đã chính thức xác nhận rằng vụ xâm nhập vào các kho lưu trữ nội bộ của họ là do một thiết bị của nhân viên bị tấn công, liên quan đến một phiên bản bị nhiễm độc của tiện ích mở rộng Nx Console Microsoft Visual Studio Code (VS Code). Cuộc tấn công được cho là đã cho phép nhóm tội phạm mạng TeamPCP đánh cắp khoảng 3.800 kho lưu trữ. GitHub cho biết họ đã thực hiện các bước để ngăn chặn sự cố và xoay vòng các khóa bí mật quan trọng, đồng thời tiếp tục theo dõi tình hình. Nhóm Nx tiết lộ rằng tiện ích mở rộng nrwl.angular-console đã bị xâm phạm sau khi hệ thống của một nhà phát triển bị hack trong cuộc tấn công chuỗi cung ứng TanStack gần đây. Các công ty khác bị ảnh hưởng bởi sự cố TanStack bao gồm OpenAI, Mistral AI và Grafana Labs. Grafana Labs cũng là mục tiêu của một nỗ lực tống tiền, nhưng công ty này đã từ chối trả tiền cho tin tặc. Những sự cố này là ví dụ về các nạn nhân gián tiếp của chiến dịch Mini Shai-Hulud. Điều này, cùng với việc TeamPCP công khai mã Shai-Hulud, đánh dấu một sự phát triển đáng kể trong các mối đe dọa chuỗi cung ứng phần mềm, cung cấp cho kẻ tấn công một “bản thiết kế” sẵn có để tạo ra các worm tương tự nhắm mục tiêu vào các kho lưu trữ mã nguồn mở và môi trường phát triển.

🔔 Tin Tức Nổi Bật

• Microsoft Triệt Hạ Fox Tempest
  Microsoft đã trấn áp Fox Tempest, một nhóm tội phạm mạng đứng sau các cuộc tấn công ransomware Rhysida và các phần mềm độc hại khác như Oyster, Lumma Stealer và Vidar. Nhóm này hoạt động ở giai đoạn đầu của chuỗi cung ứng malware và ransomware, cung cấp công cụ cho các nhóm tội phạm khác thực hiện tấn công. Điều này bao gồm một dịch vụ ký mã giả mạo cho phép tội phạm mạng triển khai malware “qua cửa trước” mà không bị phát hiện.
• Lỗ Hổng Linux Kernel 9 Năm Tuổi Cho Phép Thực Thi Lệnh Root
  Một lỗ hổng mới được công bố trong Linux kernel đã tồn tại mà không bị phát hiện trong chín năm. Lỗ hổng này, được theo dõi là CVE-2026-46333 (điểm CVSS: 5.5), là một trường hợp quản lý đặc quyền không đúng cách, có thể cho phép người dùng cục bộ không có đặc quyền tiết lộ các tệp nhạy cảm và thực thi các lệnh tùy ý với quyền root trên các cài đặt mặc định của một số bản phân phối lớn như Debian, Fedora và Ubuntu. Vấn đề này được đưa vào từ tháng 11 năm 2016.
• Microsoft Cảnh Báo Về Hai Lỗ Hổng Defender Đang Bị Khai Thác Tích Cực
  Microsoft đã tiết lộ rằng một lỗ hổng leo thang đặc quyền và một lỗ hổng từ chối dịch vụ (denial-of-service) trong Defender đang bị khai thác tích cực. Trong khi CVE-2026-41091 có thể cho phép kẻ tấn công giành quyền SYSTEM, CVE-2026-45498 liên quan đến trường hợp từ chối dịch vụ. Mặc dù Microsoft chưa chính thức xác nhận, mô tả lỗ hổng cho CVE-2026-41091 và CVE-2026-45498 trùng lặp với RedSun và UnDefend, hai zero-day Defender đã được Chaotic Eclipse (còn gọi là Nightmare-Eclipse) công bố vào tháng trước.
• Lỗ Hổng Drupal Core Mới Được Công Bố Đang Bị Tấn Công
  Một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến Drupal Core đã bị khai thác tích cực chỉ vài ngày sau khi công bố công khai. Lỗ hổng được đề cập là CVE-2026-9082 (điểm CVSS: 6.5), một lỗ hổng SQL injection ảnh hưởng đến tất cả các phiên bản Drupal Core được hỗ trợ. Drupal thừa nhận rằng “các nỗ lực khai thác hiện đang được phát hiện”. Imperva, thuộc sở hữu của Thales, cho biết họ đã quan sát hơn 15.000 nỗ lực tấn công nhắm vào gần 6.000 trang web riêng lẻ trên 65 quốc gia.
• AI Claude Mythos Phát Hiện 10K Lỗ Hổng Nghiêm Trọng Trong Phần Mềm Phổ Biến
  Anthropic tiết lộ rằng Project Glasswing đã giúp phát hiện hơn 10.000 lỗ hổng nghiêm trọng hoặc cực kỳ nghiêm trọng trên một số phần mềm quan trọng nhất trên thế giới kể từ khi sáng kiến an ninh mạng này được triển khai vào tháng trước. Trong số các lỗ hổng này, 6.202 đã được phân loại là lỗ hổng nghiêm trọng hoặc cực kỳ nghiêm trọng ảnh hưởng đến hơn 1.000 dự án mã nguồn mở. Phân tích tiếp theo các ứng cử viên lỗ hổng này đã xác định 1.726 là các trường hợp dương tính thật hợp lệ. Có tới 1.094 lỗ hổng được đánh giá là nghiêm trọng hoặc cực kỳ nghiêm trọng. Tổng cộng, những nỗ lực này đã dẫn đến 97 phát hiện được vá lỗi và 88 cảnh báo được ban hành.
• Cisco Vá Lỗ Hổng Secure Workload CVSS 10.0
  Cisco đã phát hành các bản cập nhật cho một lỗ hổng bảo mật mức độ nghiêm trọng tối đa ảnh hưởng đến Secure Workload, có thể cho phép kẻ tấn công từ xa, không được xác thực truy cập dữ liệu nhạy cảm. Được theo dõi là CVE-2026-20223 (điểm CVSS: 10.0), lỗ hổng này phát sinh từ việc xác thực và kiểm tra không đầy đủ khi truy cập các điểm cuối REST API. Cisco cho biết: “Kẻ tấn công có thể khai thác lỗ hổng này nếu chúng có thể gửi một yêu cầu API được tạo sẵn đến một điểm cuối bị ảnh hưởng. Khai thác thành công có thể cho phép kẻ tấn công đọc thông tin nhạy cảm và thực hiện các thay đổi cấu hình trên các ranh giới tenant với đặc quyền của người dùng Site Admin.”
• Microsoft Phát Hành Biện Pháp Giảm Thiểu Cho YellowKey
  Microsoft đã phát hành một biện pháp giảm thiểu cho lỗ hổng bypass BitLocker có tên YellowKey sau khi công bố công khai vào tuần trước. Lỗ hổng zero-day này, hiện được theo dõi là CVE-2026-45585, có điểm CVSS là 6.8. Nó được mô tả là một lỗ hổng bypass tính năng bảo mật BitLocker. Vấn đề này ảnh hưởng đến Windows 11 phiên bản 26H1 cho hệ thống dựa trên x64, Windows 11 phiên bản 24H2 cho hệ thống dựa trên x64, Windows 11 phiên bản 25H2 cho hệ thống dựa trên x64, Windows Server 2025 và Windows Server 2025 (cài đặt Server Core). Microsoft lưu ý rằng việc khai thác thành công có thể cho phép kẻ tấn công có quyền truy cập vật lý bỏ qua tính năng mã hóa thiết bị BitLocker trên thiết bị lưu trữ hệ thống và truy cập dữ liệu được mã hóa.

🔥 Các CVE Đang Thịnh Hành

Các lỗ hổng được phát hiện hàng tuần, và khoảng cách giữa việc phát hành bản vá và việc xuất hiện exploit đang thu hẹp nhanh chóng. Dưới đây là những lỗ hổng nổi bật trong tuần: mức độ nghiêm trọng cao, được sử dụng rộng rãi hoặc đã bị khai thác trong thực tế.

Hãy kiểm tra danh sách, vá các hệ thống của bạn và ưu tiên những lỗ hổng được đánh dấu khẩn cấp trước tiên:
CVE-2026-48172 (LiteSpeed User-End cPanel Plugin), CVE-2026-34926 (Trend Micro Apex One), CVE-2026-20223 (Cisco Secure Workload), CVE-2026-41091, CVE-2026-45498, CVE-2026-45584 (Microsoft Defender), CVE-2026-46333 (Linux Kernel), CVE-2026-9082 (Drupal Core), CVE-2026-45585 (Microsoft Windows BitLocker), CVE-2026-2743 (SEPPMail), CVE-2026-7301, CVE-2026-7302, CVE-2026-7304 (SGLang), CVE-2026-29205 (cPanel), CVE-2026-8178 (Amazon Redshift JDBC driver), CVE-2026-8053 (MongoDB), CVE-2026-45829 aka ChromaToast (ChromaDB), CVE-2026-8153 (Universal Robots PolyScope 5), CVE-2026-3102 (ExifTool), CVE-2026-9110, CVE-2026-9111, từ CVE-2026-8511 đến CVE-2026-8522 (Google Chrome), CVE-2026-45434 (Apache OFBiz), CVE-2026-33000, CVE-2026-34908, CVE-2026-34909, CVE-2026-34910, CVE-2026-34911 (UniFi OS), CVE-2026-45401 (Open WebUI), CVE-2026-9256, CVE‑2026‑8711 (F5 NGINX Plus và NGINX Open Source), CVE-2026-20239 (Splunk Enterprise và Splunk Cloud Platform), CVE-2026-46376 (FreePBX), CVE‑2026‑6637 (PostgreSQL), và CVE-2026-35194 (Apache Flink).

📰 Tin Tức Khác Trong Thế Giới An Ninh Mạng

• Khai Thác Lỗ Hổng Vượt Qua Lạm Dụng Thông Tin Đăng Nhập
  Lần đầu tiên trong gần hai thập kỷ, khai thác lỗ hổng đã vượt qua việc lạm dụng thông tin đăng nhập trở thành phương thức truy cập ban đầu phổ biến nhất dẫn đến vi phạm dữ liệu, theo Verizon. Gần một phần ba (31%) các vụ vi phạm dữ liệu trong năm qua bắt đầu bằng việc khai thác lỗ hổng, tăng từ 20% vào năm 2024. Lạm dụng thông tin đăng nhập giảm từ 22% xuống 13%. Hơn nữa, chỉ 26% các lỗ hổng nghiêm trọng được liệt kê trong danh mục Known Exploited Vulnerabilities (KEV) của Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã được các tổ chức khắc phục hoàn toàn vào năm 2025, giảm từ 38% so với năm trước.
• Kẻ Tấn Công Nhắm Vào Hệ Sinh Thái Giáo Dục Ấn Độ
  Các nhóm tội phạm mạng đang lạm dụng dữ liệu sinh viên trong hệ sinh thái giáo dục của Ấn Độ, bao gồm các tổ chức giáo dục, nhà cung cấp bên thứ ba và dịch vụ trực tuyến, cho các hoạt động phishing, mạo danh, social engineering và lừa đảo tài chính. CYFIRMA cho biết: “Kẻ tấn công thường tận dụng thông tin sinh viên bị lộ hoặc bị lạm dụng để tạo ra các chiêu trò lừa đảo rất thuyết phục liên quan đến tuyển sinh, học bổng, thực tập, thanh toán học phí và dịch vụ học thuật.”
• RondoDox Thêm Lỗ Hổng Router ASUS Vào Kho Vũ Khí
  Các nhà điều hành botnet RondoDox đã tích hợp CVE-2018-5999 (điểm CVSS: 9.8), một lỗ hổng nghiêm trọng của router ASUS, vào kho vũ khí của chúng, đánh dấu lần đầu tiên quan sát thấy việc khai thác lỗ hổng này trong thực tế. Hoạt động này lần đầu tiên được phát hiện vào ngày 17 tháng 5 năm 2026, chống lại các honeypot của họ.
• Trang Microsoft Teams Giả Mạo Phân Phối ValleyRAT
  Các trang web phân phối Microsoft Teams giả mạo được chia sẻ trên X đang được sử dụng để lừa người dùng tải xuống một trình cài đặt trojan được đóng gói dưới dạng tệp ZIP, cuối cùng dẫn đến việc triển khai ValleyRAT, một phần mềm độc hại liên quan đến một nhóm tội phạm mạng Trung Quốc có tên Silver Fox. K7 Labs cho biết: “Payload được phân phối tận dụng chuỗi DLL sideloading thông qua một tệp thực thi hợp pháp (GameBox.exe) được phát triển bởi Tencent, cuối cùng triển khai một biến thể ValleyRAT.”
• Hoạt Động Độc Hại Nhắm Mục Tiêu Các Thực Thể Malaysia
  Một cơ sở hạ tầng do kẻ tấn công kiểm soát được lưu trữ trên cơ sở hạ tầng Microsoft Azure ở khu vực Malaysia West đã được sử dụng để tiến hành một chiến dịch xâm nhập có mục tiêu chống lại nhiều tổ chức Malaysia, theo Oasis Security. Công ty cho biết: “Hoạt động này cho thấy mức độ lập kế hoạch hoạt động cao, với kẻ tấn công phát triển các công cụ Python được xây dựng có mục đích cho từng mục tiêu – bao gồm liệt kê mạng nội bộ, truy cập cơ sở dữ liệu và trích xuất dữ liệu bên ngoài.”
• Tổng Chưởng Lý Texas Kiện Meta Về Tuyên Bố Mã Hóa WhatsApp
  Tổng Chưởng Lý Texas đã kiện Meta về cáo buộc rằng ứng dụng nhắn tin WhatsApp của công ty không cung cấp mã hóa đầu cuối (E2EE) mà họ đã tuyên bố từ lâu. Văn phòng Tổng Chưởng Lý Texas cho biết: “Các báo cáo cho thấy nhân viên của WhatsApp đã có thể truy cập vào các cuộc trò chuyện của người dùng. Các báo cáo và điều tra bổ sung chỉ ra rằng nội dung tin nhắn có thể được kéo và xem sau khi tin nhắn đã được gửi. Đây là một sự xuyên tạc hoàn toàn và toàn diện về các chính sách bảo mật của Meta.” Vụ kiện dựa trên một báo cáo từ Bloomberg vào tháng trước về việc Cục Công nghiệp và An ninh thuộc Bộ Thương mại Hoa Kỳ đã đột ngột đóng một cuộc điều tra về các cáo buộc rằng Meta có thể truy cập các tin nhắn WhatsApp được mã hóa.

Nguồn tham khảo: The Hacker News