Mối đe dọa an ninh mạng không ngừng gia tăng, và tháng 2/2025 vừa qua là minh chứng rõ ràng khi hàng loạt lỗ hổng nghiêm trọng được công bố. Từ khả năng thực thi mã từ xa trên Windows đến các kẽ hở cho phép tin tặc chiếm quyền kiểm soát hệ thống, những nguy cơ này đòi hỏi sự chú ý và hành động khẩn cấp từ các tổ chức lẫn người dùng cá nhân. Trong bài viết này, chúng tôi sẽ phân tích chi tiết các CVE (Common Vulnerabilities and Exposures) quan trọng nhất được tiết lộ trong tháng, bao gồm mức độ nghiêm trọng, hệ thống bị ảnh hưởng và biện pháp giảm thiểu cần áp dụng ngay lập tức.
Nội dung
1. CVE-2025-0108: Lỗ Hổng Bỏ Qua Xác Thực Giao Diện Web Quản Lý PAN-OS
- Mô tả: CVE-2025-0108 là lỗ hổng nghiêm trọng trong giao diện web quản lý của phần mềm PAN-OS do Palo Alto Networks phát triển. Lỗi này cho phép kẻ tấn công không cần xác thực, chỉ cần truy cập mạng, có thể bỏ qua cơ chế đăng nhập và kích hoạt các tập lệnh PHP cụ thể, đe dọa tính toàn vẹn và bảo mật của hệ thống.
- Mức độ nghiêm trọng: Cao (Critical)
- Điểm CVSS: 9.1
- Phiên bản bị ảnh hưởng: PAN-OS 10.1.0 đến 10.1.14, 10.2.0 đến 10.2.13, 11.1.0 đến 11.1.6, 11.2.0 đến 11.2.4
- Loại lỗ hổng: Bỏ qua xác thực (Authentication Bypass)
- Tình trạng khai thác: Đã ghi nhận khai thác trong thực tế (in-the-wild).
- Tác động: Ảnh hưởng lớn đến tính toàn vẹn (Integrity) và bảo mật (Confidentiality).
- Biện pháp giảm thiểu:
- Hạn chế truy cập giao diện quản lý chỉ từ các địa chỉ IP nội bộ đáng tin cậy.
- Cập nhật ngay lên các phiên bản đã sửa lỗi: 11.2.4-h4, 11.1.6-h1, 10.2.13-h3, 10.1.14-h9 hoặc cao hơn.
- Thông tin bổ sung: Lỗ hổng này đã được thêm vào Danh mục Lỗ hổng Đã Khai thác của CISA, nhấn mạnh mức độ ưu tiên vá lỗi.
2. CVE-2025-21418: Lỗ Hổng Leo Thang Đặc Quyền Driver WinSock Windows
- Mô tả: CVE-2025-21418 nằm trong driver AFD.sys (Ancillary Function Driver) của Windows, hỗ trợ giao tiếp mạng qua Windows Sockets. Kẻ tấn công đã xác thực có thể lợi dụng lỗ hổng này để chạy mã độc với quyền SYSTEM, dẫn đến khả năng kiểm soát hoàn toàn hệ thống.
- Mức độ nghiêm trọng: Cao (High)
- Điểm CVSS: 7.8
- Phiên bản bị ảnh hưởng: Nhiều phiên bản Windows (bao gồm Windows 10, 11 và Server – chi tiết trong bản vá của Microsoft).
- Loại lỗ hổng: Leo thang đặc quyền (Elevation of Privilege – EoP)
- Tình trạng khai thác: Đã bị khai thác trong thực tế.
- Tác động: Ảnh hưởng đến bảo mật (Confidentiality), toàn vẹn (Integrity) và sẵn sàng (Availability).
- Biện pháp giảm thiểu:
- Cập nhật bản vá bảo mật mới nhất từ Microsoft (phát hành ngày 11/02/2025).
- Hạn chế quyền quản trị cho người dùng không cần thiết theo nguyên tắc ít đặc quyền (Least Privilege).
- Theo dõi hệ thống bằng công cụ bảo mật để phát hiện hành vi bất thường.
- Thông tin bổ sung: CVE này cũng được liệt kê trong danh sách của CISA, yêu cầu khắc phục trước ngày 04/03/2025.
- Mô tả: CVE-2025-21400 cho phép kẻ tấn công đã xác thực thực thi mã tùy ý trên SharePoint Server nếu dụ được người dùng kết nối với máy chủ độc hại. Lỗ hổng này xuất phát từ kẽ hở trong ứng dụng SharePoint.
- Mức độ nghiêm trọng: Cao (High)
- Điểm CVSS: 8.0
- Phiên bản bị ảnh hưởng:
- SharePoint Server Subscription Edition (trước 16.0.17928.20396)
- SharePoint Server 2016
- SharePoint Server 2019
- Loại lỗ hổng: Thực thi mã từ xa (Remote Code Execution – RCE)
- Tình trạng khai thác: Cần xác thực và tương tác người dùng để khai thác.
- Tác động: Ảnh hưởng đến bảo mật, toàn vẹn và sẵn sàng.
- Biện pháp giảm thiểu:
- Cài đặt bản cập nhật bảo mật từ Microsoft (Patch Tuesday, 11/02/2025).
- Hạn chế quyền người dùng xuống mức tối thiểu.
- Cảnh báo nhân viên tránh kết nối với máy chủ hoặc liên kết không đáng tin cậy.
- Thông tin bổ sung: Đây là một trong những bản vá ưu tiên trong đợt cập nhật tháng 2/2025 của Microsoft.
4. CVE-2025-21420: Lỗ Hổng Leo Thang Đặc Quyền Trong Công Cụ Dọn Đĩa Windows
- Mô tả: CVE-2025-21420 xuất hiện trong công cụ Disk Cleanup (cleanmgr.exe) của Windows. Lỗi xử lý liên kết tượng trưng (symbolic links) không đúng cho phép kẻ tấn công có truy cập cục bộ nâng cấp quyền lên SYSTEM.
- Mức độ nghiêm trọng: Cao (High)
- Điểm CVSS: 7.8
- Phiên bản bị ảnh hưởng: Windows 10 (1507, 1607, 1809) và một số phiên bản khác.
- Loại lỗ hổng: Leo thang đặc quyền (Elevation of Privilege)
- Tình trạng khai thác: Có mã khai thác thử nghiệm (PoC) công khai.
- Tác động: Ảnh hưởng đến bảo mật, toàn vẹn và sẵn sàng.
- Biện pháp giảm thiểu:
- Áp dụng bản vá bảo mật từ Microsoft (phát hành 20/02/2025).
- Giới hạn truy cập cục bộ chỉ cho người dùng đáng tin cậy.
- Kiểm tra hệ thống để phát hiện liên kết tượng trưng bất thường.
- Thông tin bổ sung: Mã PoC công khai từ 14/02/2025 khiến việc vá lỗi trở nên cấp bách hơn.
5. CVE-2025-21376: Lỗ Hổng Thực Thi Mã Từ Xa Trong LDAP Windows
- Mô tả: CVE-2025-21376 là lỗ hổng nghiêm trọng trong giao thức LDAP (Lightweight Directory Access Protocol) của Windows. Tin tặc có thể gửi yêu cầu đặc biệt để gây tràn bộ đệm, thực thi mã từ xa mà không cần xác thực, với khả năng lây lan nhanh qua mạng (wormable).
- Mức độ nghiêm trọng: Cao (Critical)
- Điểm CVSS: 8.1
- Phiên bản bị ảnh hưởng: Windows Server 2019, Windows 10 1809 (có thể thêm các phiên bản khác).
- Loại lỗ hổng: Thực thi mã từ xa (Remote Code Execution – RCE)
- Tình trạng khai thác: Có nguy cơ lây lan tự động qua mạng.
- Tác động: Ảnh hưởng đến bảo mật, toàn vẹn và sẵn sàng.
- Biện pháp giảm thiểu:
- Cập nhật bản vá bảo mật tháng 2/2025 qua Windows Update.
- Xác minh bản cập nhật đã cài đặt thành công qua lịch sử cập nhật.
- Triển khai tường lửa, phân đoạn mạng và theo dõi lưu lượng để giảm rủi ro.
- Thông tin bổ sung: Tính chất “wormable” khiến lỗi này tương tự WannaCry, đòi hỏi hành động tức thì.
Tháng 2/2025 đã chứng kiến sự xuất hiện của nhiều lỗ hổng nghiêm trọng, từ các hệ thống doanh nghiệp như PAN-OS và SharePoint đến máy tính cá nhân chạy Windows. Các tổ chức và cá nhân cần ưu tiên cập nhật bản vá, hạn chế truy cập không cần thiết và tăng cường giám sát hệ thống. Đừng để những kẽ hở này trở thành cửa ngõ cho tin tặc – hãy hành động ngay hôm nay!
