Điểm tin an ninh mạng: Rootkit Linux, lỗ hổng zero-day và làn sóng tấn công bằng AI

Điểm tin an ninh mạng tuần qua

Bối cảnh an ninh mạng tuần này cho thấy một xu hướng đáng lo ngại: tin tặc không chỉ tập trung vào việc tìm kiếm các lỗ hổng mới mà còn tận dụng chính các thành phần, dịch vụ và công cụ mà chúng ta vốn tin tưởng để thực hiện tấn công. AI không tạo ra các cuộc tấn công “phép thuật”, nhưng nó giúp kẻ xấu thử nghiệm và triển khai các kịch bản tấn công với tốc độ nhanh hơn bao giờ hết.

47 lỗ hổng zero-day bị khai thác tại Pwn2Own 2026

Cuộc thi Pwn2Own Berlin 2026 đã khép lại với tổng cộng 47 lỗ hổng zero-day được khai thác thành công trên các nền tảng như Windows, Linux, VMware và NVIDIA. Các nhà nghiên cứu đã nhận được hơn 1,2 triệu USD tiền thưởng. Đội ngũ DEVCORE dẫn đầu bảng xếp hạng sau khi tấn công thành công Microsoft SharePoint, Exchange, Edge và Windows 11.

Cảnh báo bảo mật về AI tự hành (Agentic AI)

Trung tâm An ninh mạng Quốc gia Anh (NCSC) vừa ban hành hướng dẫn mới về việc triển khai AI tự hành trong doanh nghiệp. NCSC nhấn mạnh rằng nếu một AI agent được cấp quyền quá mức hoặc thiết kế kém, một lỗi nhỏ cũng có thể dẫn đến sự cố an ninh nghiêm trọng.

Rootkit Linux ‘OrBit’ vẫn tiếp tục tiến hóa

Sau gần 4 năm kể từ khi được phát hiện, rootkit Linux có tên OrBit vẫn đang được các nhóm tội phạm mạng duy trì và tinh chỉnh. Các nhà nghiên cứu phát hiện hai nhánh phát triển song song: một nhánh đầy đủ tính năng và một nhánh “lite” với dung lượng nhỏ gọn để tránh bị phát hiện. Mã nguồn của nó được cho là có liên quan mật thiết đến rootkit Medusa.

Lỗ hổng rò rỉ token trong Composer

Công cụ quản lý phụ thuộc Composer cho PHP đã phát hành bản vá cho lỗ hổng CVE-2026-45793 (điểm CVSS 7.5). Lỗi này khiến nội dung của GITHUB_TOKEN bị rò rỉ vào nhật ký (logs) của GitHub Actions do thay đổi định dạng token gần đây. Người dùng được khuyến cáo cập nhật lên phiên bản 2.9.8 hoặc 2.2.28 ngay lập tức.

Tấn công mạng bằng AI gia tăng

Hai chiến dịch tấn công mang tên SHADOW-AETHER-040 và SHADOW-AETHER-064 đã sử dụng AI để tự động hóa quá trình xâm nhập vào các tổ chức tài chính và chính phủ. Thay vì sử dụng các công cụ có sẵn, các AI agent này tự tạo ra mã khai thác và kịch bản tấn công tùy chỉnh, giúp chúng vượt qua các giải pháp bảo mật truyền thống dựa trên chữ ký (signature-based).

Các diễn biến đáng chú ý khác:

• Discord: Mặc định mã hóa đầu cuối (E2EE) cho tất cả cuộc gọi thoại và video thông qua giao thức DAVE.
• Microsoft Azure: Nhóm Storm-2949 đã thực hiện các cuộc tấn công tinh vi bằng cách lạm dụng quy trình đặt lại mật khẩu tự phục vụ (SSPR) để vượt qua MFA, từ đó chiếm quyền điều khiển tài nguyên cloud.
• Apple: Năm 2025, Apple đã ngăn chặn hơn 2,2 tỷ USD giao dịch gian lận trên App Store và từ chối hơn 2 triệu ứng dụng có vấn đề.

Nguồn tham khảo: The Hacker News