Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã bổ sung một **lỗ hổng CVE** mới được xác định trong Android Framework, có mã theo dõi là CVE-2025-48595, vào danh mục Các Lỗ hổng Đã Bị Khai thác (KEV) của mình. Cảnh báo này xác nhận rằng lỗ hổng đang bị **khai thác zero-day** trong thực tế.
Lỗ hổng này ảnh hưởng đến thành phần cốt lõi của Android Framework và được phân loại là lỗi tràn số nguyên (integer overflow) theo CWE-190. Việc xử lý không đúng các giá trị số nguyên trong framework có thể dẫn đến hỏng bộ nhớ, cho phép kẻ tấn công thực hiện mã tùy ý trên các thiết bị bị ảnh hưởng.
Phân tích kỹ thuật về CVE-2025-48595
Bản chất lỗi tràn số nguyên (Integer Overflow)
Các lỗ hổng tràn số nguyên xảy ra khi các phép toán số học vượt quá kích thước tối đa mà một biến có thể lưu trữ. Trong trường hợp của CVE-2025-48595, điều này dẫn đến hành vi không mong muốn trong việc cấp phát bộ nhớ hoặc kiểm tra ranh giới.
Khi một phép tính tạo ra một giá trị lớn hơn khả năng lưu trữ của biến, giá trị đó sẽ bị “quấn lại” (wrap around), thường là về một số âm hoặc một giá trị nhỏ không mong muốn. Điều này làm cho chương trình hoạt động theo cách không định trước.
Trong Android Framework, lỗi tràn số nguyên có thể gây ra những hậu quả nghiêm trọng. Kẻ tấn công có thể lợi dụng điều này để ghi đè lên các vùng bộ nhớ quan trọng hoặc thay đổi luồng điều khiển của chương trình.
Từ hỏng bộ nhớ đến thực thi mã tùy ý
Việc xử lý lỗi tràn số nguyên không đúng cách dẫn đến tình trạng hỏng bộ nhớ. Tình trạng này có thể biểu hiện dưới nhiều dạng, bao gồm ghi đè bộ đệm (buffer overflow) hoặc lỗi cấp phát bộ nhớ không chính xác.
Khi bộ nhớ bị hỏng, kẻ tấn công có thể thao túng cấu trúc dữ liệu nội bộ của hệ thống hoặc tiêm mã độc vào các vùng bộ nhớ được kiểm soát.
Sau khi giành quyền kiểm soát luồng thực thi, kẻ tấn công có thể thực hiện mã tùy ý với đặc quyền của tiến trình bị ảnh hưởng. Điều này cho phép chúng kiểm soát hoàn toàn một phần hoặc toàn bộ thiết bị.
Leo thang đặc quyền cục bộ (Local Privilege Escalation)
Một trong những hậu quả chính của việc khai thác thành công lỗ hổng CVE này là leo thang đặc quyền cục bộ. Điều này có nghĩa là kẻ tấn công có thể nâng cấp quyền truy cập của mình từ một ứng dụng có đặc quyền hạn chế lên quyền truy cập cấp hệ thống.
Trong môi trường Android, các lỗ hổng leo thang đặc quyền cục bộ đặc biệt có giá trị. Chúng cho phép kẻ tấn công thoát khỏi môi trường sandbox an toàn của ứng dụng, từ đó giành được quyền truy cập cấp cao vào các tài nguyên hệ thống nhạy cảm.
Việc này có thể dẫn đến việc truy cập dữ liệu cá nhân, cài đặt phần mềm độc hại, hoặc thậm chí chiếm quyền điều khiển hoàn toàn thiết bị. Đây là một bước quan trọng trong nhiều chuỗi tấn công phức tạp.
Tầm quan trọng của việc **khai thác zero-day** trong thực tế
CISA đã đưa CVE-2025-48595 vào danh mục KEV của mình. Điều này xác nhận rằng lỗ hổng đang bị **khai thác zero-day** trong các cuộc tấn công thực tế, nhấn mạnh tính nghiêm trọng và khẩn cấp của mối đe dọa.
Dù CISA chưa xác nhận liệu lỗ hổng này có đang được sử dụng trong các chiến dịch mã độc tống tiền hay không, việc nó xuất hiện trong KEV là một chỉ báo rõ ràng về mức độ rủi ro cao.
Các tác nhân đe dọa thường tận dụng những lỗ hổng như vậy trong các chuỗi khai thác. Chúng kết hợp lỗ hổng CVE này với các điểm yếu khác để đạt được sự xâm nhập và kiểm soát hoàn toàn thiết bị.
Do lỗ hổng cư trú trong chức năng cốt lõi của Android, tiềm năng ảnh hưởng của nó rất rộng, lan tỏa trên nhiều loại thiết bị và phiên bản Android khác nhau. Điều này đặt ra một nguy cơ bảo mật đáng kể cho người dùng và tổ chức.
Hướng dẫn và khuyến nghị khắc phục từ CISA
Chỉ thị và thời hạn vá lỗi
CISA đã chỉ đạo các cơ quan liên bang khắc phục lỗ hổng CVE-2025-48595 này trước ngày 5 tháng 6 năm 2026, theo Chỉ thị Vận hành Ràng buộc (BOD) 22-01.
Cơ quan này khuyến cáo mạnh mẽ các tổ chức và người dùng cá nhân áp dụng ngay lập tức các **bản vá bảo mật** hoặc biện pháp giảm thiểu được nhà cung cấp đưa ra.
Trong trường hợp không có **bản vá bảo mật** có sẵn, CISA đề xuất ngừng sử dụng các hệ thống bị ảnh hưởng cho đến khi quá trình khắc phục có thể được hoàn tất. Việc nhanh chóng thêm CVE-2025-48595 vào danh mục KEV của CISA tại đây nhấn mạnh tính cấp bách của việc cập nhật thiết bị Android.
Biện pháp phòng ngừa và giám sát cho tổ chức
Các tổ chức quản lý môi trường di động doanh nghiệp cần ưu tiên cập nhật hệ thống. Điều này bao gồm việc triển khai các **bản vá bảo mật** mới nhất ngay khi chúng được phát hành.
Thực thi các chính sách tuân thủ thiết bị là cần thiết để đảm bảo tất cả các thiết bị đều được cập nhật và cấu hình an toàn.
Việc giám sát liên tục các hoạt động đáng ngờ là rất quan trọng để phát hiện sớm các nỗ lực **khai thác zero-day**. Các dấu hiệu bất thường có thể chỉ ra một cuộc tấn công đang diễn ra.
Đội ngũ bảo mật cũng được khuyến khích xem xét các bản tin bảo mật Android định kỳ. Việc xác thực cấp độ vá lỗi trên các thiết bị được quản lý là một bước không thể thiếu.
Thực hiện các giải pháp bảo vệ mối đe dọa di động (Mobile Threat Defense – MTD) khi có thể sẽ tăng cường đáng kể khả năng phòng thủ. Các giải pháp MTD giúp phát hiện và ngăn chặn các mối đe dọa tiên tiến.
Kết luận về rủi ro và hành động cần thiết
Android tiếp tục là mục tiêu chính của các tác nhân tấn công. Do đó, các lỗ hổng trong các thành phần framework cốt lõi của nó luôn là một vector rủi ro nghiêm trọng.
Lỗ hổng CVE-2025-48595 đòi hỏi sự chú ý và hành động ngay lập tức từ cả người dùng cá nhân và các tổ chức. Việc không khắc phục kịp thời có thể dẫn đến hậu quả nghiêm trọng về an toàn thông tin.
Luôn duy trì cảnh giác và chủ động trong việc quản lý **bản vá bảo mật** là yếu tố then chốt để bảo vệ thiết bị và dữ liệu trong bối cảnh mối đe dọa mạng ngày càng gia tăng.
