Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) hôm thứ Tư đã bổ sung hai lỗ hổng bảo mật ảnh hưởng đến Microsoft Office và Hewlett Packard Enterprise (HPE) OneView vào danh mục Known Exploited Vulnerabilities (KEV) của mình, trích dẫn bằng chứng về việc đang bị khai thác tích cực.
Các lỗ hổng được liệt kê dưới đây:
- CVE-2009-0556 (điểm CVSS: 8.8) - Một lỗ hổng code injection trong Microsoft Office PowerPoint cho phép kẻ tấn công từ xa thực thi mã tùy ý thông qua việc làm hỏng bộ nhớ.
- CVE-2025-37164 (điểm CVSS: 10.0) - Một lỗ hổng code injection trong HPW OneView cho phép người dùng từ xa không được xác thực thực hiện remote code execution.
Thông tin chi tiết về CVE-2025-37164 đã xuất hiện vào tháng trước khi HPE cho biết lỗ hổng này ảnh hưởng đến tất cả các phiên bản phần mềm trước phiên bản 11.00. Công ty cũng đã cung cấp các bản hotfix cho các phiên bản OneView từ 5.20 đến 10.
Phạm vi và nguồn gốc của các cuộc tấn công nhắm vào hai lỗ hổng này hiện chưa rõ ràng, và dường như không có báo cáo công khai nào đề cập đến việc chúng bị khai thác trong thực tế. Tuy nhiên, một báo cáo từ eSentire vào ngày 23 tháng 12 năm 2025, đã tiết lộ việc phát hành một exploit proof-of-concept (PoC) chi tiết cho CVE-2025-37164.
"Việc công khai mã exploit PoC làm tăng đáng kể rủi ro cho các tổ chức đang chạy các phiên bản ứng dụng bị ảnh hưởng," eSentire cho biết. "Vì lỗ hổng ảnh hưởng đến tất cả các phiên bản trước 11.0, các tổ chức được khuyến cáo mạnh mẽ nên áp dụng các bản cập nhật cần thiết để giảm thiểu rủi ro khai thác tiềm ẩn."
Theo Binding Operational Directive (BOD) 22-01, các cơ quan thuộc Nhánh Hành pháp Dân sự Liên bang (FCEB) được khuyến nghị áp dụng các bản vá cần thiết trước ngày 28 tháng 1 năm 2026, để bảo vệ mạng của họ khỏi các mối đe dọa đang hoạt động.
