CISA đã bổ sung hai lỗ hổng Android Framework nghiêm trọng vào danh mục Known Exploited Vulnerabilities (KEV) của mình. Sự bổ sung này báo hiệu việc khai thác tích cực trong thực tế. Các lỗ hổng Android này ảnh hưởng đến hệ điều hành Android và gây ra rủi ro đáng kể cho hàng triệu thiết bị di động trên toàn cầu.
Việc CISA thêm các lỗ hổng này vào danh mục KEV vào ngày 2 tháng 12 năm 2025 đặt ra yêu cầu nghiêm ngặt. Các cơ quan liên bang và nhà điều hành cơ sở hạ tầng trọng yếu phải áp dụng các bản vá trước ngày 23 tháng 12 năm 2025. Điều này nhấn mạnh tính cấp bách của tình hình.
Phân Tích Chuyên Sâu Các Lỗ Hổng Android Framework
Hai lỗ hổng được xác định là CVE-2025-48572 và CVE-2025-48633. CVE-2025-48572 là một lỗ hổng leo thang đặc quyền trong Android Framework. Trong khi đó, CVE-2025-48633 là một lỗ hổng tiết lộ thông tin trong cùng một thành phần framework.
CVE-2025-48572: Lỗ Hổng Leo Thang Đặc Quyền
CVE-2025-48572 là một CVE nghiêm trọng về leo thang đặc quyền (privilege escalation) trong Android Framework. Lỗ hổng này cho phép các tác nhân đe dọa giành được quyền truy cập nâng cao trên các thiết bị bị xâm nhập. Quyền truy cập này vượt ra ngoài giới hạn ban đầu của ứng dụng hoặc người dùng.
Bản chất kỹ thuật của lỗ hổng này chưa được Google công bố chi tiết. Điều này thường là một chiến lược để ngăn chặn việc khai thác zero-day rộng rãi. Google giữ lại thông tin cho đến khi các bản vá bảo mật được phát hành và phổ biến. Sự im lặng này càng làm tăng mức độ nghiêm trọng và tiềm năng rủi ro.
Khi kẻ tấn công đạt được leo thang đặc quyền, họ có thể thực hiện nhiều hành vi độc hại. Các hành vi này bao gồm cài đặt mã độc không mong muốn, truy cập trái phép vào dữ liệu nhạy cảm của người dùng (như thông tin cá nhân, tài khoản), hoặc thiết lập các cửa hậu (backdoor) dai dẳng. Cửa hậu cho phép kiểm soát thiết bị liên tục, ngay cả sau khi khởi động lại.
CVE-2025-48633: Lỗ Hổng Tiết Lộ Thông Tin
Lỗ hổng thứ hai, CVE-2025-48633, là một điểm yếu trong Android Framework cho phép tiết lộ thông tin (information disclosure). Lỗ hổng này có thể cho phép kẻ tấn công trích xuất các loại dữ liệu nhạy cảm từ các thiết bị bị ảnh hưởng mà không cần tương tác rõ ràng từ người dùng. Loại dữ liệu có thể bao gồm khóa mã hóa, token xác thực, hoặc thông tin hệ thống.
Sự nguy hiểm của CVE-2025-48633 tăng lên đáng kể khi nó được kết hợp với các lỗ hổng leo thang đặc quyền. Sự kết hợp này tạo ra một chuỗi tấn công mạnh mẽ và hiệu quả. Kẻ tấn công có thể vừa giành quyền kiểm soát cao hơn, vừa thu thập được thông tin quan trọng để củng cố quyền kiểm soát đó.
Mặc dù CISA chưa xác nhận việc sử dụng hai lỗ hổng Android này trong các chiến dịch mã độc tống tiền (ransomware), quyết định thêm chúng vào danh mục KEV là một chỉ báo rõ ràng. Nó cho thấy việc khai thác tích cực đang diễn ra. Điều này đòi hỏi các tổ chức và người dùng cần phải hành động khẩn cấp.
Chiến Lược Đối Phó và Bảo Vệ Hệ Thống
Các tác nhân đe dọa nhắm mục tiêu vào thiết bị Android thường khai thác nhiều lỗ hổng Android để tối đa hóa tỷ lệ thành công của các cuộc tấn công. Vì vậy, việc triển khai bản vá lỗi một cách nhanh chóng là cực kỳ quan trọng đối với cả chủ sở hữu thiết bị cá nhân và quản trị viên doanh nghiệp.
CISA khuyến nghị các tổ chức cần hành động ngay lập tức. Họ phải áp dụng các biện pháp giảm thiểu và bản vá do nhà cung cấp cung cấp ngay khi chúng có sẵn. Đối với các cơ quan liên bang, việc tuân thủ thời hạn 23 tháng 12 theo chỉ thị hoạt động ràng buộc BOD 22-01 là bắt buộc.
Trong trường hợp không thể áp dụng bản vá lỗi ngay lập tức, các tổ chức nên cân nhắc ngừng sử dụng các sản phẩm bị ảnh hưởng. Hoặc triển khai các biện pháp kiểm soát bảo mật bù đắp bổ sung. Ví dụ, thiết lập các lớp bảo vệ phụ trợ hoặc cấu hình tường lửa nghiêm ngặt để giảm thiểu rủi ro tiếp xúc.
Hướng Dẫn Cụ Thể Để Tăng Cường An Ninh Mạng
Đối với người dùng thiết bị di động, việc bật tính năng cập nhật bảo mật tự động trên thiết bị Android là rất cần thiết. Đồng thời, kiểm tra định kỳ cài đặt Cập nhật hệ thống Google Play để đảm bảo không có bản vá nào bị bỏ lỡ. Điều này giúp thiết bị luôn được bảo vệ khỏi các lỗ hổng Android mới nhất.
Quản trị viên doanh nghiệp phải ưu tiên triển khai các bản cập nhật bảo mật Android trên tất cả các thiết bị thuộc sở hữu của công ty. Việc truyền đạt thông tin về tính sẵn có của bản vá cho người dùng cũng quan trọng. Điều này khuyến khích họ tự cập nhật thiết bị cá nhân của mình.
Các tổ chức nên chủ động giám sát các chỉ số xâm nhập (Indicators of Compromise – IOC) có thể liên quan đến các lỗ hổng này. Việc này giúp phát hiện sớm các dấu hiệu tấn công hoặc hệ thống bị xâm nhập. Ví dụ về IOC bao gồm các hoạt động mạng bất thường, file đáng ngờ, hoặc thay đổi cấu hình hệ thống không mong muốn.
Triển khai phân đoạn mạng (network segmentation) là một biện pháp chiến lược. Nó giúp hạn chế đáng kể sự di chuyển ngang (lateral movement) của kẻ tấn công nếu một phần mạng bị xâm nhập. Bằng cách cô lập các hệ thống, thiệt hại tiềm tàng từ các lỗ hổng CVE có thể được giảm thiểu.
Bối cảnh an ninh mạng Android đang liên tục phát triển. Các tác nhân đe dọa không ngừng phát triển các chuỗi tấn công tinh vi nhắm vào nền tảng di động. Cảnh báo mới nhất này từ CISA một lần nữa nhấn mạnh tầm quan trọng của việc duy trì an ninh mạng cho thiết bị.
Để đạt được điều này, các tổ chức cần thực hiện vá lỗi thường xuyên, giám sát bảo mật liên tục và có khả năng ứng phó sự cố nhanh chóng. Việc bỏ qua các lỗ hổng Android này có thể dẫn đến hậu quả nghiêm trọng và tổn thất đáng kể. Các tổ chức nên coi cảnh báo này là cấp bách và ưu tiên các nỗ lực khắc phục tương ứng.
Danh mục Known Exploited Vulnerabilities của CISA là một nguồn tài nguyên quan trọng để theo dõi các lỗ hổng đang bị khai thác tích cực. Các tổ chức nên thường xuyên tham khảo danh mục này tại CISA KEV Catalog để luôn cập nhật thông tin về các mối đe dọa cấp bách nhất từ các lỗ hổng Android.
