Cảnh báo: Lỗ hổng Fortinet, Windows, Adobe, Exchange bị khai thác cần vá gấp

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
128
1.811 bài viết
Cảnh báo: Lỗ hổng Fortinet, Windows, Adobe, Exchange bị khai thác cần vá gấp
WhiteHat Team
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) vừa bổ sung thêm hàng loạt lỗ hổng bảo mật vào danh mục các lỗ hổng đang bị khai thác tích cực (KEV). Các lỗ hổng giờ không còn mang tính lý thuyết mà đã và đang bị tin tặc lợi dụng trong thực tế, làm gia tăng nguy cơ tấn công trên diện rộng đối với hệ thống doanh nghiệp và cơ quan nhà nước.
dabe811a-de39-4adc-a833-6807d7d06ddf.png

Danh sách mới được cập nhật bao gồm nhiều lỗ hổng trên các nền tảng phổ biến như phần mềm bảo mật doanh nghiệp, hệ điều hành Windows và các công cụ văn phòng. Đáng chú ý nhất là lỗ hổng CVE-2026-21643 (CVSS 9,1) tồn tại trong hệ thống quản lý thiết bị đầu cuối FortiClient EMS của Fortinet. Đây là lỗ hổng SQL Injection cho phép kẻ tấn công không cần xác thực có thể gửi các yêu cầu HTTP đặc biệt để thực thi mã từ xa hoặc chiếm quyền điều khiển hệ thống.

Theo ghi nhận từ các chuyên gia, lỗ hổng này đã bị khai thác từ cuối tháng 3/2026, cho thấy mức độ nguy hiểm cao khi tin tặc có thể tiếp cận trực tiếp từ internet mà không cần thông tin đăng nhập.

Bên cạnh đó, một số lỗ hổng khác cũng được đưa vào danh sách KEV, bao gồm CVE-2020-9715 trong Adobe Acrobat Reader, cho phép thực thi mã từ xa thông qua lỗi use-after-free khi người dùng mở file PDF độc hại. Lỗ hổng CVE-2023-36424 trong hệ thống Windows có thể bị khai thác để leo thang đặc quyền, trong khi CVE-2023-21529 lại cho phép kẻ tấn công đã xác thực thực thi mã từ xa thông qua lỗi deserialize dữ liệu không an toàn.

Đáng chú ý, Microsoft cũng xác nhận một nhóm tin tặc mang tên Storm-1175 đã sử dụng lỗ hổng CVE-2023-21529 để phát tán ransomware Medusa, cho thấy mối liên hệ trực tiếp giữa các lỗ hổng này và các chiến dịch tấn công có tổ chức.

Ngoài ra, các lỗ hổng như CVE-2025-60710 và CVE-2012-1854 dù đã tồn tại từ lâu nhưng vẫn tiếp tục bị khai thác trong các cuộc tấn công có chủ đích. Điều này cho thấy nhiều hệ thống vẫn chưa được vá hoặc duy trì các thành phần lỗi thời.

Về cơ chế khai thác, các lỗ hổng này bao phủ nhiều kỹ thuật khác nhau, từ SQL Injection, thực thi mã từ xa (RCE) đến leo thang đặc quyền. Trong thực tế, tin tặc thường kết hợp nhiều lỗ hổng theo chuỗi tấn công: xâm nhập ban đầu thông qua một điểm yếu, sau đó leo thang quyền và cuối cùng triển khai mã độc hoặc ransomware.

Tổng hợp các lỗ hổng đáng chú ý bao gồm:​
  • CVE-2026-21643 (CVSS 9,1): Lỗi SQL Injection trong FortiClient EMS của Fortinet, cho phép tấn công không cần xác thực và có thể dẫn tới thực thi mã từ xa.​
  • CVE-2020-9715 (CVSS 7,8): Lỗi use-after-free trong Adobe Acrobat Reader, có thể bị khai thác qua file PDF độc hại để thực thi mã.​
  • CVE-2023-36424 (CVSS 7,8): Lỗi đọc ngoài vùng nhớ trong Windows, cho phép leo thang đặc quyền.​
  • CVE-2023-21529 (CVSS 8,8): Lỗi deserialize dữ liệu không an toàn trên Exchange, cho phép thực thi mã từ xa sau khi xác thực.​
  • CVE-2025-60710 (CVSS 7,8): Lỗi xử lý liên kết tệp trong Windows, cho phép leo thang đặc quyền nội bộ.​
  • CVE-2012-1854 (CVSS 7,8): Lỗi tải thư viện không an toàn trong VBA, có thể dẫn tới thực thi mã từ xa.​
Rủi ro từ các lỗ hổng này là rất lớn, đặc biệt với các hệ thống doanh nghiệp. Khi bị khai thác, kẻ tấn công có thể kiểm soát máy chủ, truy cập dữ liệu nhạy cảm hoặc làm gián đoạn hoạt động. Với các hệ thống email như Exchange, nguy cơ còn lan rộng hơn khi tin tặc có thể sử dụng để phát tán mã độc nội bộ.​

Khuyến nghị và biện pháp phòng tránh​

Trước tình hình các lỗ hổng đang bị khai thác thực tế, CISA đã yêu cầu các cơ quan thuộc chính phủ Mỹ phải áp dụng bản vá trước thời hạn cụ thể, trong đó lỗ hổng trên Fortinet cần được xử lý khẩn cấp.

Đối với doanh nghiệp và tổ chức, các chuyên gia an ninh mạng khuyến nghị cần nhanh chóng rà soát toàn bộ hệ thống để xác định các phần mềm bị ảnh hưởng. Việc cập nhật bản vá bảo mật mới nhất là ưu tiên hàng đầu, đặc biệt với các hệ thống kết nối internet.

Ngoài ra, cần tăng cường giám sát các dấu hiệu bất thường như truy cập trái phép, thực thi lệnh lạ hoặc hoạt động đáng ngờ trên hệ thống. Việc triển khai các giải pháp phát hiện xâm nhập và kiểm soát quyền truy cập cũng giúp giảm thiểu nguy cơ bị khai thác.

Đối với các lỗ hổng đã tồn tại lâu nhưng vẫn bị lợi dụng, việc loại bỏ các phần mềm lỗi thời hoặc không còn được hỗ trợ cũng là một bước quan trọng nhằm giảm bề mặt tấn công.​
Theo The Hacker News
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Cảnh báo phishing: Lợi dụng thông báo Meta để chiếm quyền tài khoản
  • Cảnh báo: Chiến dịch lừa đảo quy mô lớn nhắm vào lập trình viên trên GitHub
  • Apple phát cảnh báo trên màn hình khóa: iPhone cũ có nguy cơ bị tấn công khi truy cập web
  • Cảnh báo khẩn: Lỗ hổng Craft CMS bị khai thác, nguy cơ chiếm quyền website hàng loạt
  • Cảnh báo lỗ hổng Zimbra: Nguy cơ chiếm quyền email, đánh cắp dữ liệu
  • Microsoft cảnh báo chiến dịch giả mạo VPN, phát tán mã độc đánh cắp thông tin
    • Thẻ
    cve-2012-1854 cve-2020-9715 cve-2023-21529 cve-2023-36424 cve-2025-60710 cve-2026-21643
    Bên trên