Điểm tin an ninh mạng tuần qua: Lỗ hổng trình duyệt, EDR Killer và các chiến dịch tấn công nguy hiểm

Tổng quan tình hình an ninh mạng tuần qua

Bức tranh an ninh mạng tuần này vẫn xoay quanh những kịch bản quen thuộc nhưng đầy rủi ro: lạm dụng tích hợp phần mềm, các công cụ giả mạo, website bị nhiễm mã độc, và các nhóm ransomware đang nỗ lực vô hiệu hóa các giải pháp bảo mật. Những lỗ hổng từ thông tin xác thực yếu, các bản tải xuống không rõ nguồn gốc và quyền truy cập quá mức của các tiện ích mở rộng (browser extensions) tiếp tục là “miếng mồi” ngon cho tội phạm mạng.

Chiến dịch FortiBleed nhắm vào hơn 80.000 thiết bị

Chiến dịch FortiBleed đã và đang nhắm mục tiêu vào các thiết bị tường lửa FortiGate và cổng SSL VPN của Fortinet trên toàn cầu. Theo SOCRadar, từ tháng 2/2026, các tác nhân đe dọa đã sử dụng các công cụ tự động để kiểm thử thông tin đăng nhập trên hơn 80.000 thiết bị. CISA đã đưa ra cảnh báo khẩn cấp, khuyến nghị khách hàng Fortinet cần thắt chặt bảo mật, đặc biệt là đối với các thiết bị kết nối internet, nhằm ngăn chặn việc tái sử dụng mật khẩu từ các sự cố trước đó (như CVE-2026-24858, CVE-2025-59718).

Các sự kiện nổi bật khác

• Salesforce và sự cố tích hợp Klue: Salesforce đã tạm ngắt kết nối ứng dụng Klue Battlecards sau khi phát hiện hoạt động bất thường. Nhóm tống tiền Icarus đã khai thác thông tin đăng nhập cũ để truy cập trái phép vào dữ liệu khách hàng thông qua tích hợp này.
• Mã độc EDR Killer mới: Nhóm ransomware-as-a-service (RaaS) mang tên “The Gentlemen” đang phát triển bộ công cụ GentleKiller. Đây là framework được thiết kế để vô hiệu hóa hơn 400 tiến trình của 48 sản phẩm bảo mật phổ biến như CrowdStrike, Microsoft Defender và Kaspersky trước khi thực hiện mã hóa dữ liệu.
• Lỗ hổng nghiêm trọng trên Splunk: Lỗ hổng CVE-2026-20253 trong Splunk Enterprise đang bị khai thác thực tế. Lỗ hổng này cho phép kẻ tấn công thực hiện các thao tác file trái phép mà không cần xác thực, từ đó dẫn đến khả năng thực thi mã từ xa (RCE).
• Exploit ‘usbliter8’ trên chip Apple: Các nhà nghiên cứu đã công bố chi tiết về usbliter8, một lỗ hổng phần cứng không thể vá trên chip A12 và A13 của Apple, cho phép thực thi mã tùy ý trong SecureROM thông qua truy cập vật lý.
• Chiến dịch Operation Endgame: Lực lượng chức năng quốc tế đã triệt phá thành công hạ tầng của SocGholish, làm sạch gần 15.000 website WordPress bị nhiễm mã độc và vô hiệu hóa 106 server liên quan.
• Mã độc Rokarolla trên Android: Một trojan mới đang giả dạng các ứng dụng phổ biến như TikTok hay Chrome để đánh cắp thông tin ngân hàng và tiền điện tử, đồng thời chiếm quyền kiểm soát thiết bị thông qua các dịch vụ Accessibility.

Cảnh báo lỗ hổng (CVE)

Danh sách các CVE cần đặc biệt lưu ý trong tuần bao gồm các lỗ hổng trên Cisco SD-WAN, LiteSpeed cPanel Plugin, Joomla, WordPress plugins, và các trình duyệt như Google Chrome, Mozilla Firefox. Người dùng và quản trị viên hệ thống được khuyến cáo kiểm tra và áp dụng các bản patch (bản vá) ngay lập tức cho các thành phần này.

Rủi ro từ tiện ích mở rộng AI

Hai tiện ích mở rộng phổ biến trên Chrome là SiderAI và MaxAI đang bị cảnh báo về các lỗ hổng nghiêm trọng. Kẻ tấn công có thể lợi dụng quyền hạn của các add-on này để chụp ảnh màn hình hoặc thực thi mã tùy ý, gây rò rỉ dữ liệu nhạy cảm. Người dùng nên gỡ bỏ các tiện ích này cho đến khi nhà phát triển cung cấp bản vá lỗi.

Nguồn tham khảo: The Hacker News