Hàng loạt lỗi bảo mật nghiêm trọng trong sản phẩm của Oracle, Microsoft và Apple
CISA vừa thêm 5 lỗi bảo mật mới vào danh mục cảnh báo khẩn, trong đó có lỗi nghiêm trọng trên Oracle E-Business Suite, Microsoft Windows và Apple.
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) vừa đưa 5 lỗi bảo mật mới vào danh mục các lỗ hổng bị khai thác (Known Exploited Vulnerabilities - KEV). Trong đó, đáng chú ý nhất là lỗi bảo mật nghiêm trọng trong Oracle E-Business Suite (EBS), vốn đã bị tin tặc sử dụng trong các cuộc tấn công thực tế.
Lỗi này có mã định danh CVE-2025-61884, điểm CVSS 7.5, thuộc dạng SSRF (Server-Side Request Forgery) trong thành phần Runtime của Oracle Configurator. Lỗi bảo mật này cho phép kẻ tấn công truy cập trái phép vào dữ liệu quan trọng, mà không cần xác thực từ xa.
CISA xác nhận rằng, đây là lỗi có thể khai thác trực tiếp qua Internet. Ngoài ra, Oracle còn bị ảnh hưởng bởi một lỗi bảo mật khác — CVE-2025-61882 với điểm CVSS 9.8, cho phép kẻ xấu thực thi mã tùy ý mà không cần đăng nhập.
Bên cạnh Oracle, CISA cũng liệt kê thêm bốn lỗi bảo mật nghiêm trọng khác:
CVE-2025-33073 – lỗi truy cập trái phép trong Microsoft Windows SMB Client, có thể giúp kẻ tấn công leo thang đặc quyền.
CVE-2025-2746 và CVE-2025-2747 – hai lỗi vượt qua xác thực trong hệ thống Kentico Xperience CMS, cho phép chiếm quyền điều khiển các đối tượng quản trị.
CVE-2022-48503 – lỗi bảo mật trong JavaScriptCore của Apple, có thể dẫn đến thực thi mã độc khi xử lý nội dung web.
Các nhà nghiên cứu từ Synacktiv và watchTowr Labs đã công bố chi tiết về ba trong số các lỗi bảo mật này. Tuy nhiên, hiện chưa có thông tin cụ thể về cách tin tặc khai thác chúng trong thực tế.
Theo nhóm nghiên cứu của Google Threat Intelligence Group (GTIG) và Mandiant, hàng chục tổ chức trên thế giới đã bị ảnh hưởng sau khi lỗi bảo mật CVE-2025-61882 bị khai thác. Dù chưa xác định được nhóm đứng sau, các chuyên gia nghi ngờ một số hoạt động có liên quan đến các chiến dịch tống tiền Cl0p.
Ông Zander Work, kỹ sư bảo mật cấp cao tại GTIG, cho biết các hoạt động khai thác có dấu hiệu trùng khớp với những nhóm tin tặc đang thực hiện các vụ tấn công tống tiền thương hiệu Cl0p trên quy mô toàn cầu.
CISA yêu cầu các cơ quan thuộc khối hành pháp dân sự liên bang (FCEB) phải khắc phục toàn bộ các lỗi bảo mật được liệt kê trong danh mục KEV trước ngày 10/11/2025. Việc này nhằm đảm bảo hệ thống mạng của các cơ quan chính phủ không bị đe dọa bởi các cuộc tấn công mạng đang gia tăng.
Các tổ chức tư nhân cũng được khuyến cáo cập nhật bản vá ngay lập tức, đặc biệt là với những hệ thống đang chạy Oracle EBS, Microsoft Windows, Kentico CMS hoặc Apple Safari. Việc chậm trễ có thể khiến tin tặc lợi dụng các lỗi bảo mật này để chiếm quyền kiểm soát hệ thống, đánh cắp dữ liệu hoặc tống tiền.
Các chuyên gia an ninh mạng khuyến cáo rằng chuỗi lỗi bảo mật mới này cho thấy tội phạm mạng đang ngày càng tập trung vào những phần mềm doanh nghiệp phổ biến. Việc cập nhật và kiểm tra hệ thống thường xuyên là biện pháp quan trọng để giảm thiểu rủi ro.
Bên cạnh đó, việc triển khai hệ thống giám sát an ninh mạng, sao lưu dữ liệu định kỳ và đào tạo nhân viên nhận diện tấn công mạng cũng giúp giảm thiểu thiệt hại khi lỗi bảo mật bị khai thác.
