Điểm tin an ninh mạng tuần qua: Chrome 0-day, lỗ hổng UniFi và làn sóng mã độc mới

Google khẩn cấp vá lỗ hổng Chrome zero-day

Google vừa phát hành bản cập nhật bảo mật cho trình duyệt Chrome nhằm khắc phục 74 lỗ hổng, trong đó đáng chú ý nhất là CVE-2026-11645 (điểm CVSS 8.8). Đây là lỗi truy cập bộ nhớ ngoài phạm vi (out-of-bounds memory access) trong công cụ V8 JavaScript và WebAssembly. Google xác nhận lỗ hổng này đang bị khai thác tích cực trong thực tế (in the wild). Đây là lỗ hổng zero-day thứ 5 trên Chrome bị khai thác từ đầu năm đến nay.

Nhóm ShinyHunters tấn công Oracle PeopleSoft

Nhóm tội phạm mạng ShinyHunters (UNC6240) đã khai thác lỗ hổng nghiêm trọng CVE-2026-35273 (điểm CVSS 9.8) trong Oracle PeopleSoft để xâm nhập vào mạng lưới doanh nghiệp. Lỗ hổng này cho phép kẻ tấn công không cần xác thực để chiếm quyền kiểm soát hệ thống. CISA đã đưa lỗ hổng này vào danh mục Known Exploited Vulnerabilities (KEV) và yêu cầu các cơ quan liên quan phải sớm áp dụng bản vá.

Hàng loạt gói phần mềm Arch Linux bị nhiễm mã độc

Hơn 1.500 gói phần mềm trong Arch User Repository (AUR) đã bị kẻ tấn công chiếm quyền điều khiển và chèn các script độc hại. Các script này tải xuống một gói npm có tên atomic-lockfile, chứa mã độc có khả năng thu thập thông tin xác thực, chống gỡ lỗi và đánh cắp dữ liệu. Hiện tại, các nhà phát triển Arch Linux đã loại bỏ các commit độc hại này.

Triệt phá mạng lưới Phishing-as-a-Service (PhaaS) quy mô lớn

FBI đã phối hợp cùng Google triệt phá các tên miền liên quan đến Outsider, một nền tảng PhaaS của Trung Quốc. Dịch vụ này đã gây thiệt hại ước tính 1,9 tỷ USD kể từ năm 2023. Kẻ vận hành đã sử dụng AI (Gemini) để tạo các trang web lừa đảo và thực hiện các chiến dịch smishing giả mạo các thương hiệu lớn nhằm đánh cắp thông tin tài chính và mã xác thực đa yếu tố (MFA).

Lỗ hổng nghiêm trọng trên VPN của Check Point

Check Point cảnh báo về việc lỗ hổng CVE-2026-50751 (điểm CVSS 9.3) đang bị khai thác trong các triển khai Remote Access VPN sử dụng giao thức IKEv1 cũ. Lỗi logic trong quá trình xác thực chứng chỉ cho phép kẻ tấn công từ xa bypass xác thực người dùng mà không cần mật khẩu. Một số vụ tấn công đã được ghi nhận liên quan đến nhóm ransomware Qilin.

Các diễn biến đáng chú ý khác

• Ransomware “The Gentlemen”: Nhóm này đã hoạt động từ tháng 3/2025 với 478 nạn nhân, ban đầu hoạt động như một đối tác cho các nhóm RaaS lớn như LockBit và Qilin trước khi tự vận hành hệ thống riêng.
• Lạm dụng thương hiệu AI: Microsoft cảnh báo về các chiến dịch lừa đảo sử dụng tên tuổi của ChatGPT, Claude và DeepSeek để phát tán mã độc Vidar Stealer.
• Mã độc trên macOS: Người dùng macOS đang trở thành mục tiêu của các trình cài đặt giả mạo (thường là file DMG), được phát tán qua các kết quả tìm kiếm bị thao túng (SEO poisoning) nhằm bypass cơ chế bảo mật Gatekeeper.
• Lỗ hổng UniFi OS: Chuỗi lỗ hổng RCE (CVE-2026-34908, 34909, 34910) trong UniFi OS Server đang bị khai thác để triển khai mã độc.

Nguồn tham khảo: The Hacker News