⚡ Tổng hợp tuần: Lỗ hổng Linux, Defender Zero-Day, Botnet bộ định tuyến và hỗn loạn chuỗi cung ứng

Tổng hợp thứ Hai. Vẫn là mớ hỗn độn cũ nhưng trong một tuần mới. Một công cụ phát triển mờ ám khiến người dùng bị hack, các lỗi cũ "sống lại", và các sản phẩm bảo mật đôi khi cũng cần được bảo vệ trước chính nó. Một loạt các công ty đã dành cả tuần để kiểm tra các máy chủ bị lãng quên mà lẽ ra họ phải patch từ nhiều năm trước. Các nhóm Phishing cũng đang trở nên thông minh hơn, trong khi Botnet đang thu thập bất cứ thứ gì tiếp xúc với Internet.
Cybersecurity Weekly Recap

Tổng hợp thứ Hai. Vẫn là mớ hỗn độn cũ, nhưng trong một tuần mới.

Một công cụ phát triển mờ ám khiến người dùng bị pwned, các lỗi cũ bỗng dưng "sống lại" và các sản phẩm bảo mật đôi khi lại cần được bảo vệ khỏi chính bản thân chúng. Một loạt các công ty đã dành cả tuần để kiểm tra các máy chủ bị lãng quên mà lẽ ra họ phải patch từ nhiều năm trước. Những khoảng thời gian thật thú vị.

Các nhóm Phishing cũng đang trở nên thông minh hơn - ít những nội dung lừa đảo lộ liễu hơn, thay vào đó là những thứ có mục tiêu cụ thể và trông thực sự chuyên nghiệp. Trong khi đó, các Botnet đang thu thập bất cứ thứ gì tiếp xúc với Internet như thể đó là kẹo miễn phí. Internet vẫn là một mớ hỗn độn.

Hãy cùng đi vào chi tiết.

⚡ Mối đe dọa của tuần

GitHub bị xâm nhập qua Nx Console VS Code Extension — GitHub đã chính thức xác nhận rằng việc vi phạm các kho lưu trữ nội bộ của họ là kết quả của việc một thiết bị của nhân viên bị xâm nhập, liên quan đến một phiên bản độc hại của extension Nx Console trên Microsoft Visual Studio Code (VS Code). Cuộc tấn công được cho là đã cho phép tác nhân đe dọa, một nhóm tội phạm mạng có tên là TeamPCP, trích xuất khoảng 3.800 kho lưu trữ. GitHub cho biết họ đã thực hiện các bước để ngăn chặn sự cố và xoay vòng các bí mật quan trọng (critical secrets), đồng thời tiếp tục theo dõi tình hình. Nhóm Nx tiết lộ rằng extension nrwl.angular-console đã bị xâm nhập sau khi hệ thống của một trong những nhà phát triển của họ bị hack sau cuộc tấn công chuỗi cung ứng TanStack gần đây. Các công ty khác bị ảnh hưởng bởi vụ xâm nhập TanStack bao gồm OpenAI, Mistral AI và Grafana Labs. Grafana Labs cũng là mục tiêu của một nỗ lực tống tiền, nhưng công ty cho biết họ đã từ chối trả tiền cho các hacker đe dọa phát tán mã nguồn. Những sự cố này chỉ là một vài ví dụ về hệ lụy kéo dài đối với các nạn nhân hạ nguồn từ chiến dịch Mini Shai-Hulud. Điều này, kết hợp với việc TeamPCP công bố mã nguồn Shai-Hulud, đánh dấu một bước tiến đáng kể trong các mối đe dọa chuỗi cung ứng phần mềm, vì nó cung cấp cho những kẻ tấn công một bản thiết kế sẵn có để tạo ra các loại sâu (worms) tương tự nhắm vào các kho lưu trữ mã nguồn mở và môi trường phát triển.

🔔 Tin tức hàng đầu

  • Microsoft triệt phá Fox Tempest — Microsoft đã trấn áp Fox Tempest, một tác nhân đe dọa mạng đã thúc đẩy các cuộc tấn công Ransomware Rhysida và các đợt nhiễm mã độc khác liên quan đến Oyster, Lumma Stealer và Vidar. Nhóm này hoạt động ở thượng nguồn trong chuỗi cung ứng mã độc và Ransomware, đóng vai trò là bên hỗ trợ và cung cấp công cụ cho các tác nhân đe dọa khác thực hiện tấn công. Điều này bao gồm một dịch vụ ký mã (code-signing) giả mạo cho phép tội phạm mạng triển khai mã độc "qua cửa chính" mà không bị phát hiện.
  • Lỗi Linux Kernel 9 năm tuổi cho phép thực thi lệnh Root — Một lỗ hổng mới được tiết lộ trong Linux Kernel đã không bị phát hiện trong suốt 9 năm. Lỗ hổng, được theo dõi là CVE-2026-46333 (điểm CVSS: 5.5), là một trường hợp quản lý đặc quyền không đúng cách có thể cho phép người dùng cục bộ không có đặc quyền tiết lộ các tệp nhạy cảm và thực thi các lệnh tùy ý với quyền Root trên các bản phân phối mặc định như Debian, Fedora và Ubuntu.
  • Microsoft cảnh báo về hai lỗ hổng Defender đang bị khai thác — Microsoft đã tiết lộ rằng một lỗi leo thang đặc quyền và một lỗi từ chối dịch vụ (DoS) trong Defender đang bị khai thác tích cực trong thực tế. Trong khi CVE-2026-41091 có thể cho phép kẻ tấn công giành được đặc quyền SYSTEM, CVE-2026-45498 liên quan đến trường hợp DoS.
  • Lỗ hổng Drupal Core mới được tiết lộ đang bị tấn công — Một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến Drupal Core đã bị khai thác tích cực chỉ trong vài ngày sau khi công bố. Lỗ hổng CVE-2026-9082 (điểm CVSS: 6.5) là một lỗi SQL Injection ảnh hưởng đến tất cả các phiên bản được hỗ trợ của Drupal Core.
  • AI Claude Mythos tìm thấy 10.000 lỗ hổng nghiêm trọng — Anthropic tiết lộ rằng Project Glasswing đã giúp phát hiện hơn 10.000 lỗ hổng có mức độ nghiêm trọng cao hoặc đặc biệt nghiêm trọng trong một số phần mềm quan trọng nhất thế giới. Trong số đó, 1.726 trường hợp đã được xác định là dương tính thật (true positives).
  • Cisco vá lỗi CVSS 10.0 trong Secure Workload — Cisco đã tung ra các bản cập nhật cho lỗ hổng bảo mật mức độ nghiêm trọng tối đa ảnh hưởng đến Secure Workload, có thể cho phép kẻ tấn công từ xa, không cần xác thực, truy cập vào dữ liệu nhạy cảm. Lỗ hổng được theo dõi là CVE-2026-20223.
  • Microsoft phát hành biện pháp giảm nhẹ cho YellowKey — Microsoft đã phát hành biện pháp giảm nhẹ cho lỗ hổng bỏ qua BitLocker có tên là YellowKey (CVE-2026-45585, điểm CVSS 6.8). Lỗ hổng này cho phép kẻ tấn công có quyền truy cập vật lý vượt qua tính năng mã hóa thiết bị BitLocker.

🔥 CVE xu hướng

Các lỗi xuất hiện hàng tuần và khoảng cách giữa bản vá và việc khai thác đang thu hẹp lại nhanh chóng. Đây là danh sách các lỗ hổng đáng chú ý trong tuần:

  • CVE-2026-48172 (LiteSpeed User-End cPanel Plugin)
  • CVE-2026-34926 (Trend Micro Apex One)
  • CVE-2026-20223 (Cisco Secure Workload)
  • CVE-2026-41091, CVE-2026-45498, CVE-2026-45584 (Microsoft Defender)
  • CVE-2026-46333 (Linux Kernel)
  • CVE-2026-9082 (Drupal Core)
  • CVE-2026-45585 (Microsoft Windows BitLocker)

📰 Xung quanh thế giới mạng

  • Khai thác lỗ hổng vượt qua thông tin đăng nhập bị lộ — Theo Verizon, việc khai thác lỗ hổng (Vulnerability exploitation) đã vượt qua thông tin đăng nhập bị lộ (compromised credentials) lần đầu tiên sau gần hai thập kỷ để trở thành vectơ truy cập ban đầu phổ biến nhất cho các vụ vi phạm dữ liệu.
  • Kẻ tấn công nhắm vào hệ sinh thái giáo dục của Ấn Độ — Các tác nhân đe dọa đang lạm dụng dữ liệu sinh viên trong hệ sinh thái giáo dục của Ấn Độ để thực hiện các chiến dịch Phishing, kỹ thuật xã hội (social engineering) và lừa đảo tài chính.
  • RondoDox bổ sung lỗi bộ định tuyến ASUS vào kho vũ khí — Những người vận hành Botnet RondoDox đã tích hợp CVE-2018-5999, một lỗi nghiêm trọng trên bộ định tuyến ASUS, đánh dấu lần đầu tiên quan sát thấy việc khai thác lỗ hổng này trong thực tế.
  • Trang web Microsoft Teams giả mạo phát tán ValleyRAT — Các trang web phân phối Microsoft Teams giả mạo đang được sử dụng để lừa người dùng tải xuống trình cài đặt chứa Trojan, cuối cùng dẫn đến việc triển khai ValleyRAT.
ValleyRAT campaign
Chiến dịch mã độc ValleyRAT qua Microsoft Teams giả mạo
  • Cơ sở hạ tầng C2 sử dụng Ethereum Smart Contracts — Một Botnet mới có tên Void Botnet sử dụng các hợp đồng thông minh (smart contracts) của Ethereum để làm hệ thống điều khiển (C2) có khả năng chống bị đánh sập.
  • DevilNFC và NFCMultiPay nhắm vào Android NFC — Hai dòng mã độc chuyển tiếp NFC (NFC relay) mới trên Android đã được phát hiện nhắm vào khách hàng ngân hàng tại Châu Âu và Mỹ Latinh để đánh cắp mã PIN thẻ.
Chinese PhaaS ecosystem
Phân tích hệ sinh thái Phishing-as-a-Service tiếng Trung

🔧 Công cụ an ninh mạng

  • Bumblebee — Công cụ bảo mật mã nguồn mở cho macOS và Linux được thiết kế để tìm các lỗ hổng chuỗi cung ứng phần mềm trên máy tính của nhà phát triển.
  • Claude-BugHunter — Một tiện ích mã nguồn mở cấu hình công cụ Claude Code của Anthropic thành một trợ lý bảo mật chuyên dụng.

Kết luận

Hãy vá những thứ dễ dàng trước khi chúng trở thành vấn đề lớn hơn vào tuần tới. Những lỗi cũ mà mọi người bỏ qua? Những kẻ tấn công thì không. Họ không bao giờ bỏ qua chúng.

Hiện tại, Internet có cảm giác như được giữ lại với nhau bằng băng dính và sự may mắn. Mỗi tuần đều có một mớ hỗn độn mới, một trò lừa đảo mới, hoặc một chiếc máy chủ cũ kỹ nào đó bị kéo vào một Botnet. Hẹn gặp lại vào thứ Hai tới.