Tháng 4/2025 tiếp tục chứng kiến sự gia tăng các mối đe dọa an ninh mạng với hàng loạt lỗ hổng bảo mật nghiêm trọng được công bố và khai thác thực tế. Từ các lỗ hổng zero-day trong Microsoft Windows, Gladinet CentreStack, đến các vấn đề trong Apache Tomcat và Fortinet FortiSwitch, các tổ chức cần hành động nhanh chóng để bảo vệ hệ thống. Bản tin này tổng hợp các lỗ hổng đáng chú ý, các sự kiện an ninh mạng quan trọng trong tháng 4/2025, cùng với khuyến nghị bảo mật.
Các Lỗ Hổng Bảo Mật Nổi Bật
Microsoft Windows: Lỗ Hổng Zero-Day Trong CLFS
Microsoft đã phát hành bản cập nhật Patch Tuesday tháng 4/2025, khắc phục 126 lỗ hổng, trong đó có một lỗ hổng zero-day nghiêm trọng trong Windows Common Log File System (CLFS) Driver, được theo dõi là CVE-2025-29824 (CVSS 7.8). Lỗ hổng này là một lỗi use-after-free, cho phép kẻ tấn công nâng quyền cục bộ, thường được sử dụng để triển khai ransomware sau khi đã xâm nhập. Nhóm ransomware Storm-2460 đã khai thác lỗ hổng này trong các cuộc tấn công thực tế. Đây là lỗ hổng nâng quyền thứ sáu trong thành phần CLFS bị khai thác kể từ năm 2022. Bản vá đã được phát hành ngày 08/04/2025 cho Windows Server và Windows 11.
Tham khảo: SOCRadar, IT Security News.
Gladinet CentreStack: Lỗ Hổng RCE Nghiêm Trọng
Lỗ hổng CVE-2025-30406 (CVSS 9.0) trong Gladinet CentreStack, một nền tảng chia sẻ file doanh nghiệp, đã bị khai thác như một zero-day từ tháng 3/2025. Lỗi này liên quan đến việc sử dụng khóa mã hóa cứng trong file cấu hình web, cho phép thực thi mã từ xa (RCE). Theo Huntress, lỗ hổng đã ảnh hưởng đến 7 tổ chức và 120 điểm cuối. Gladinet đã phát hành bản vá vào ngày 03/04/2025 (phiên bản 16.4.10315.56368 cho Windows, 15.12.434 cho macOS), đồng thời khuyến nghị xoay vòng khóa máy (machineKey) như biện pháp tạm thời nếu chưa thể cập nhật. CISA đã thêm lỗ hổng này vào danh sách Known Exploited Vulnerabilities (KEV) vào ngày 08/04/2025.
Tham khảo: The Hacker News, BleepingComputer.
Apache Tomcat: Lỗ Hổng RCE Đang Bị Khai Thác
Lỗ hổng CVE-2025-24813 (CVSS 9.8) trong Apache Tomcat đã được CISA liệt kê vào danh sách KEV vào ngày 01/04/2025 do bị khai thác thực tế. Lỗi này cho phép thực thi mã từ xa và rò rỉ dữ liệu, đe dọa các máy chủ web sử dụng Tomcat. Mã khai thác công khai (PoC) đã xuất hiện, khiến các máy chủ dễ bị tấn công hơn. Các tổ chức được khuyến nghị cập nhật ngay lập tức lên phiên bản Apache Tomcat mới nhất để giảm thiểu rủi ro.
Tham khảo: Security Online.
Linux Kernel: Hai Lỗ Hổng Được Thêm Vào Danh Sách KEV
CISA đã bổ sung hai lỗ hổng trong Linux Kernel vào danh sách KEV vào ngày 09/04/2025:
- CVE-2024-53197: Lỗi truy cập ngoài giới hạn, có thể dẫn đến rủi ro thực thi mã hoặc từ chối dịch vụ.
- CVE-2024-53150: Lỗi đọc ngoài giới hạn, gây rò rỉ dữ liệu nhạy cảm.
Cả hai lỗ hổng này cũng ảnh hưởng đến hệ điều hành Android của Google, khiến chúng trở thành mục tiêu hấp dẫn cho các nhóm tấn công. Google đã phát hành bản cập nhật bảo mật Android tháng 4/2025 để khắc phục.
Tham khảo: SDxCentral, Security Affairs.
Fortinet FortiSwitch: Lỗ Hổng Thay Đổi Mật Khẩu Admin
Fortinet đã phát hành bản vá vào Patch Tuesday tháng 4/2025 để khắc phục CVE-2024-48887 (CVSS 9.3), một lỗ hổng trong FortiSwitch cho phép kẻ tấn công không xác thực thay đổi mật khẩu admin từ xa thông qua yêu cầu đặc biệt đến endpoint set_password. Lỗ hổng này, do Daniel Rozeboom từ nhóm phát triển giao diện FortiSwitch phát hiện, có thể bị khai thác để chiếm quyền quản trị thiết bị. Fortinet cũng cảnh báo về các kỹ thuật khai thác sau (post-exploitation) liên quan đến các lỗ hổng cũ như CVE-2024-21762, CVE-2023-27997, và CVE-2022-42475 trên FortiGate, cho phép kẻ tấn công duy trì quyền truy cập sau khi vá. Các tổ chức được khuyến nghị cập nhật firmware FortiSwitch và tắt truy cập HTTP/HTTPS từ giao diện quản trị.
Tham khảo: HIPAA Journal, The Hacker News.
Sự Kiện An Ninh Mạng Đáng Chú Ý
Tấn Công Ransomware Nhắm Vào Windows CLFS
Nhóm ransomware Storm-2460 đã khai thác CVE-2025-29824 để triển khai mã độc sau khi xâm nhập hệ thống. Lỗ hổng này cho phép nâng quyền cục bộ, tạo điều kiện cho các cuộc tấn công ransomware quy mô lớn. Microsoft nhấn mạnh việc ưu tiên vá các lỗ hổng nâng quyền để bảo vệ tổ chức trước các mối đe dọa tinh vi.
Tham khảo: IT Security News.
Khai Thác Zero-Day Trong Gladinet CentreStack
Lỗ hổng CVE-2025-30406 đã bị khai thác từ 11/04/2025, nhắm vào các máy chủ lưu trữ của Gladinet CentreStack. Các cuộc tấn công sử dụng khóa mã hóa cứng để thực thi mã từ xa, gây nguy cơ nghiêm trọng cho dữ liệu doanh nghiệp. Gladinet khuyến nghị cập nhật ngay lập tức hoặc xoay vòng khóa máy để giảm thiểu rủi ro.
Tham khảo: The Hacker News.
Cảnh Báo Từ Fortinet Về Kỹ Thuật Khai Thác Sau
Fortinet đã phát hành cảnh báo vào ngày 11/04/2025 về các kỹ thuật khai thác sau liên quan đến các lỗ hổng FortiGate (CVE-2024-21762, CVE-2023-27997, CVE-2022-42475). Các kỹ thuật này sử dụng liên kết tượng trưng (symlink) qua SSL-VPN để duy trì quyền truy cập đọc-only vào hệ thống file sau khi vá. Fortinet khuyến nghị cập nhật FortiOS và kiểm tra các kết nối SSL-VPN.
Tham khảo: Fortinet Blog.
Khuyến Nghị Bảo Mật
Để đối phó với các mối đe dọa trong tháng 4/2025, các tổ chức cần:
- Cập nhật bản vá ngay lập tức: Áp dụng các bản vá cho Microsoft Windows, Gladinet CentreStack, Apache Tomcat, Linux Kernel, và Fortinet FortiSwitch.
- Triển khai biện pháp tạm thời: Xoay vòng khóa máy cho Gladinet CentreStack và tắt truy cập HTTP/HTTPS trên FortiSwitch nếu chưa thể vá.
- Giám sát mạng: Phát hiện sớm các dấu hiệu xâm nhập, đặc biệt liên quan đến ransomware và khai thác zero-day.
- Theo dõi cảnh báo từ CISA: Kiểm tra danh sách KEV để cập nhật các lỗ hổng mới bị khai thác.
Kết Luận
Tháng 4/2025 đánh dấu sự gia tăng các cuộc tấn công khai thác zero-day và kỹ thuật khai thác sau tinh vi. Các lỗ hổng trong Microsoft Windows, Gladinet CentreStack, Apache Tomcat, Linux Kernel, và Fortinet FortiSwitch đòi hỏi hành động khẩn cấp từ các tổ chức. Việc cập nhật bản vá, giám sát mạng, và triển khai các biện pháp bảo mật chủ động là chìa khóa để giảm thiểu rủi ro trong bối cảnh an ninh mạng ngày càng phức tạp.
