CISA Cảnh Báo Về Lỗ Hổng Zimbra, SharePoint Bị Khai Thác; Cisco Zero-Day Bị Tấn Công Trong Các Cuộc Tấn Công Ransomware

Cơ quan An ninh mạng và Hạ tầng Hoa Kỳ (CISA) đã kêu gọi các cơ quan chính phủ áp dụng các bản vá cho hai lỗ hổng bảo mật ảnh hưởng đến Synacor Zimbra Collaboration Suite (ZCS) và Microsoft Office SharePoint, cho biết chúng đã bị khai thác tích cực trên thực tế. Các lỗ hổng được đề cập là CVE-2025-66376 (CVSS score: 7.2) - một lỗ hổng cross-site scripting được lưu trữ.
CISA vá lỗi bảo mật
Ảnh minh họa: CISA vá lỗi bảo mật.

Cơ quan An ninh mạng và Hạ tầng Hoa Kỳ (CISA) đã kêu gọi các cơ quan chính phủ áp dụng các bản vá cho hai lỗ hổng bảo mật ảnh hưởng đến Synacor Zimbra Collaboration Suite (ZCS) và Microsoft Office SharePoint, cho biết chúng đã bị khai thác tích cực trên thực tế.

Các Lỗ Hổng Được Đề Cập

  • CVE-2025-66376 (CVSS score: 7.2) - Một lỗ hổng stored cross-site scripting trong giao diện Classic UI của ZCS, nơi những kẻ tấn công có thể lạm dụng các chỉ thị Cascading Style Sheets (CSS) @import trong một email HTML. (Đã được vá trong các phiên bản 10.0.18 và 10.1.13 vào tháng 11 năm 2025)
  • CVE-2026-20963 (CVSS score: 8.8) - Một lỗ hổng deserialization of untrusted data trong Microsoft Office SharePoint cho phép kẻ tấn công trái phép thực thi mã qua mạng. (Đã được vá vào tháng 1 năm 2026)

Hiện tại không có báo cáo công khai nào đề cập đến việc khai thác các lỗ hổng nói trên, ai có thể đang khai thác chúng và quy mô của những nỗ lực đó. Do việc khai thác đang diễn ra, các cơ quan thuộc Nhánh Hành pháp Dân sự Liên bang (FCEB) được khuyến nghị áp dụng các bản vá cho CVE-2025-66376 trước ngày 1 tháng 4 năm 2026 và cho CVE-2026-20963 trước ngày 23 tháng 3 năm 2026.

Ransomware Interlock Khai Thác Cisco Zero-Day

Thông tin được tiết lộ khi Amazon tiết lộ rằng các tác nhân đe dọa liên quan đến ransomware Interlock đã khai thác một lỗ hổng bảo mật nghiêm trọng tối đa ảnh hưởng đến phần mềm quản lý firewall của Cisco (CVE-2026-20131, CVSS score: 10.0) kể từ ngày 26 tháng 1 năm 2026, hơn một tháng trước khi nó được công bố rộng rãi.

"Interlock trong lịch sử đã nhắm mục tiêu vào các lĩnh vực cụ thể nơi sự gián đoạn hoạt động tạo ra áp lực tối đa để thanh toán," Amazon cho biết. Các lĩnh vực này bao gồm giáo dục, kỹ thuật, kiến trúc, xây dựng, sản xuất, công nghiệp, chăm sóc sức khỏe và các tổ chức chính phủ.

Cuộc tấn công một lần nữa làm nổi bật một mô hình dai dẳng của các tác nhân đe dọa nhắm mục tiêu vào các thiết bị mạng biên từ các nhà cung cấp khác nhau, bao gồm Cisco, Fortinet, Ivanti và những hãng khác, để có được quyền truy cập ban đầu vào các mạng mục tiêu. Việc CVE-2026-20131 bị vũ khí hóa như một lỗ hổng zero-day cho thấy những kẻ tấn công đang đầu tư thời gian và tài nguyên để tìm ra những lỗ hổng chưa được biết đến trước đây có thể cấp cho chúng quyền truy cập nâng cao.

Thẻ liên quan
#CISA #Zimbra #SharePoint #Ransomware #Zero-Day