Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã mở rộng đáng kể Danh mục các lỗ hổng CVE bị khai thác (Known Exploited Vulnerabilities – KEV) lên tới 1.484 lỗ hổng tính đến tháng 12 năm 2025. Đây là một cột mốc quan trọng trong nỗ lực của chính phủ liên bang nhằm chống lại các lỗ hổng bảo mật đang bị khai thác tích cực.
Cơ sở dữ liệu toàn diện này, bắt đầu với 311 lỗ hổng vào tháng 11 năm 2021, đã phát triển đáng kể trong bốn năm qua. Sự tăng trưởng này phản ánh bối cảnh mối đe dọa ngày càng tinh vi mà cả các tổ chức thuộc khu vực công và tư phải đối mặt.
Bối Cảnh và Mục Tiêu của CISA KEV Catalog
CISA KEV Catalog đã chứng kiến sự tăng trưởng nhanh chóng vào năm 2025, với 245 lỗ hổng mới được thêm vào trong suốt cả năm. Con số này đại diện cho mức tăng 20% và cao hơn 30% so với xu hướng ghi nhận vào năm 2023 và 2024.
Sự gia tăng này nhấn mạnh bản chất dai dẳng và không ngừng phát triển của các mối đe dọa mạng. Các tác nhân độc hại tiếp tục khai thác các lỗ hổng đã biết trên nhiều nền tảng phần mềm và phần cứng khác nhau.
Danh mục này đóng vai trò là một nguồn tài nguyên quan trọng theo Chỉ thị Hoạt động Bắt buộc (Binding Operational Directive – BOD) 22-01 của CISA. BOD 22-01 yêu cầu các cơ quan thuộc Cơ quan Hành pháp Dân sự Liên bang (Federal Civilian Executive Branch – FCEB) phải khắc phục các lỗ hổng được liệt kê trong khung thời gian cụ thể.
CISA KEV Catalog thể hiện sự thay đổi mô hình trong quản lý lỗ hổng. Nó vượt ra ngoài các xếp hạng mức độ nghiêm trọng truyền thống của Hệ thống Đánh giá Lỗ hổng Chung (Common Vulnerability Scoring System – CVSS) để tập trung đặc biệt vào các lỗ hổng có bằng chứng xác nhận về việc đang bị khai thác tích cực.
Danh mục được cập nhật thường xuyên dựa trên thông tin tình báo đáng tin cậy rằng các tác nhân đe dọa đang tích cực sử dụng các lỗ hổng này để tấn công các tổ chức công hoặc tư nhân.
Mỗi mục lỗ hổng trong KEV Catalog bao gồm thông tin quan trọng như mã định danh CVE, chi tiết nhà cung cấp và sản phẩm, tên lỗ hổng, ngày thêm vào, mô tả ngắn gọn, hành động khắc phục bắt buộc và thời hạn quy định cho các cơ quan liên bang.
Yêu Cầu Bắt Buộc theo BOD 22-01
Theo BOD 22-01, các cơ quan liên bang phải khắc phục các lỗ hổng được gán mã CVE từ năm 2021 trở đi trong vòng hai tuần kể từ khi được thêm vào danh mục. Trong khi đó, các lỗ hổng cũ hơn từ trước năm 2021 yêu cầu khắc phục trong vòng sáu tháng.
Mặc dù các chỉ thị này chỉ bắt buộc đối với các cơ quan liên bang, CISA khuyến khích mạnh mẽ tất cả các tổ chức, bao gồm cả các thực thể thuộc khu vực tư nhân, áp dụng KEV Catalog như một phần của khung ưu tiên quản lý lỗ hổng của họ. Để biết thêm thông tin về danh mục này, bạn có thể truy cập trang chủ của CISA Known Exploited Vulnerabilities Catalog.
Tác Động của Ransomware và Phân Bố theo Nhà Cung Cấp
Một trong những phát hiện đáng báo động nhất từ dữ liệu KEV Catalog năm 2025 là vai trò đáng kể của các lỗ hổng này trong các chiến dịch ransomware. Phân tích cho thấy 304 trong số 1.484 lỗ hổng (20.5%) đã bị các nhóm ransomware khai thác, tạo ra một mối đe dọa đáng kể cho các tổ chức trên toàn thế giới.
Chỉ riêng trong năm 2025, CISA đã đánh dấu 24 lỗ hổng mới được thêm vào là những lỗ hổng đã biết bị các nhà điều hành ransomware khai thác. Bao gồm các lỗ hổng nổi bật như CVE-2025-5777 (được mệnh danh là “CitrixBleed 2”) và nhiều lỗ hổng Oracle E-Business Suite bị nhóm ransomware CL0P nhắm mục tiêu.
Các Nhà Cung Cấp Bị Nhắm Mục Tiêu Chính
Microsoft dẫn đầu tất cả các nhà cung cấp với 100 lỗ hổng liên quan đến ransomware, tiếp theo là Fortinet với 13, Ivanti với 12 và Oracle với 11.
Sự tập trung của các lỗ hổng bị khai thác bởi ransomware trong số các nhà cung cấp doanh nghiệp lớn nhấn mạnh tầm quan trọng của việc quản lý bản vá bảo mật kịp thời và các cập nhật bảo mật cho các tổ chức sử dụng các nền tảng được triển khai rộng rãi này.
Dữ liệu KEV Catalog tiết lộ sự khác biệt đáng kể trong phân bố lỗ hổng giữa các nhà cung cấp. Microsoft chiếm 350 lỗ hổng, gần 24% toàn bộ danh mục.
Sự thống trị này phản ánh sự hiện diện thị trường rộng lớn của Microsoft trên các hệ điều hành, phần mềm năng suất và ứng dụng doanh nghiệp. Apple đứng thứ hai với 86 lỗ hổng, tiếp theo là Cisco với 82, Adobe với 76 và Google với 67.
Sự phân bố nhà cung cấp nhấn mạnh thực tế rằng các công nghệ doanh nghiệp được triển khai rộng rãi là mục tiêu hấp dẫn cho các tác nhân đe dọa. Chỉ riêng Microsoft Windows đã chiếm 159 lỗ hổng cụ thể về sản phẩm. Các sản phẩm khác thường bị nhắm mục tiêu bao gồm Chromium V8 (37 lỗ hổng), Internet Explorer (34), Flash Player (33) và các sản phẩm Microsoft Office khác nhau.
Tuy nhiên, một số nhà cung cấp đã cho thấy tư thế bảo mật được cải thiện vào năm 2025, với ít lỗ hổng được thêm vào hơn so với năm 2024. Adobe, Android, Apache, Ivanti, Palo Alto Networks và VMware đều chứng kiến sự sụt giảm trong số lượng bổ sung KEV, cho thấy các biện pháp kiểm soát bảo mật được tăng cường và các phương pháp phát triển mạnh mẽ hơn.
Tuy nhiên, số lượng của Microsoft tăng từ 36 lỗ hổng được thêm vào năm 2024 lên 39 vào năm 2025, duy trì vị trí là nhà cung cấp đòi hỏi sự chú ý khắc phục liên tục nhất.
Phân Tích Loại Lỗ Hổng Phổ Biến (CWE)
Phân tích các loại lỗ hổng được thể hiện trong KEV Catalog tiết lộ các mô hình riêng biệt trong các loại lỗi thường xuyên bị các tác nhân đe dọa khai thác nhất. Các hạng mục Common Weakness Enumeration (CWE) phổ biến nhất cung cấp cái nhìn sâu sắc về các vector tấn công được các tác nhân độc hại ưa chuộng và các thách thức bảo mật cơ bản mà phát triển phần mềm phải đối mặt.
Các Hạng Mục CWE Hàng Đầu
CWE-20 (Improper Input Validation) dẫn đầu tất cả các loại lỗ hổng với 113 lần xuất hiện, chiếm khoảng 7.6% trong tất cả các mục KEV. Hạng mục này bao gồm các lỗi khi phần mềm không xác thực, làm sạch hoặc kiểm tra đầu vào do người dùng cung cấp một cách thích hợp, cho phép kẻ tấn công chèn dữ liệu hoặc lệnh độc hại.
Sự phổ biến của điểm yếu này nhấn mạnh những thách thức dai dẳng trong các phương pháp mã hóa an toàn và tầm quan trọng của các cơ chế xác thực đầu vào mạnh mẽ.
CWE-78 (OS Command Injection) đứng thứ hai với 97 trường hợp, chiếm 18 trong số 245 lỗ hổng được thêm vào chỉ riêng trong năm 2025. Loại lỗ hổng này cho phép kẻ tấn công thực thi các lệnh hệ điều hành tùy ý, thường dẫn đến việc kiểm soát hệ thống hoàn toàn.
Việc tiếp tục khai thác các lỗi chèn lệnh làm nổi bật những nguy hiểm của việc kết hợp đầu vào người dùng không được làm sạch vào các hoạt động cấp hệ thống.
Các lỗ hổng hỏng bộ nhớ cũng nổi bật, với CWE-787 (Out-of-bounds Write) xuất hiện 96 lần và CWE-416 (Use After Free) xuất hiện 86 lần. Các vấn đề an toàn bộ nhớ này, chủ yếu được tìm thấy trong phần mềm được viết bằng C và C++, tiếp tục cung cấp cơ hội khai thác mặc dù đã có hàng thập kỷ nghiên cứu bảo mật và sự sẵn có của các ngôn ngữ lập trình an toàn bộ nhớ.
CWE-502 (Deserialization of Untrusted Data) xuất hiện 58 lần và chịu trách nhiệm cho 14 trong số các bổ sung năm 2025. Điều này làm nổi bật những rủi ro liên quan đến việc xử lý dữ liệu được tuần tự hóa từ các nguồn không đáng tin cậy.
Xu Hướng Phát Triển của KEV Catalog qua Các Năm
Quỹ đạo tăng trưởng của KEV Catalog cung cấp những hiểu biết có giá trị về bối cảnh mối đe dọa đang phát triển và khả năng tình báo mở rộng của CISA.
Sau khi danh mục ra mắt vào tháng 11 năm 2021 với 311 lỗ hổng ban đầu, năm 2022 đã chứng kiến sự tăng trưởng bùng nổ với 555 bổ sung – mức tăng gần 78%. Sự gia tăng này có thể phản ánh cả lượng lỗ hổng đã biết bị khai thác cần được ghi lại và nỗ lực thu thập thông tin tình báo của CISA.
Sự tăng trưởng sau đó ổn định vào năm 2023 và 2024, với lần lượt 187 và 186 lỗ hổng được thêm vào, đại diện cho tốc độ tăng trưởng hàng năm khoảng 17-21%. Tuy nhiên, năm 2025 chứng kiến sự tăng tốc trở lại, với 245 bổ sung, đánh dấu sự mở rộng 20% và báo hiệu hoạt động khai thác lỗ hổng gia tăng hoặc cơ chế phát hiện và báo cáo được tăng cường.
Một xu hướng đáng chú ý vào năm 2025 là việc bổ sung ngày càng nhiều các lỗ hổng cũ hơn vào danh mục. CISA đã thêm 94 lỗ hổng từ năm 2024 trở về trước – mức tăng 45% so với mức trung bình 65 lỗ hổng cũ mỗi năm của giai đoạn 2023-2024. Điều này nhấn mạnh tầm quan trọng của việc duy trì các bản vá bảo mật cho ngay cả những lỗ hổng đã tồn tại lâu dài.
Lỗ hổng cũ nhất được thêm vào năm 2025 là CVE-2007-0671, một lỗ hổng thực thi mã từ xa (Remote Code Execution – RCE) trong Microsoft Office Excel. Trong khi đó, mục nhập cũ nhất trong toàn bộ danh mục vẫn là CVE-2002-0367, một lỗ hổng leo thang đặc quyền trong Windows NT và Windows 2000 vẫn đang bị các nhóm ransomware khai thác.
Các Lỗ Hổng Nghiêm Trọng Được Thêm vào KEV Gần Đây
Trong suốt năm 2025, CISA đã thêm nhiều lỗ hổng nghiêm trọng với tiềm năng khai thác đáng kể. Các bổ sung gần đây kéo dài từ tháng 10 đến tháng 12 làm nổi bật phạm vi công nghệ bị ảnh hưởng và các vector tấn công đa dạng được các tác nhân đe dọa sử dụng.
Điểm Nổi Bật Tháng 10/2025
Vào tháng 10 năm 2025, CISA đã xác nhận việc khai thác tích cực năm lỗ hổng quan trọng, bao gồm CVE-2025-61884, một lỗ hổng Server-Side Request Forgery (SSRF) trong Oracle E-Business Suite cho phép kẻ tấn công truy cập trái phép vào dữ liệu quan trọng.
Lỗ hổng này, với điểm CVSS là 7.5, đặc biệt đáng lo ngại vì nó nhắm mục tiêu vào một hệ thống hoạch định tài nguyên doanh nghiệp (ERP) được triển khai rộng rãi, được sử dụng bởi nhiều công ty Fortune 500.
Cũng được thêm vào là CVE-2025-33073, một lỗ hổng kiểm soát truy cập không đúng cách trong Microsoft Windows SMB Client cho phép leo thang đặc quyền, cùng với CVE-2025-2746 và CVE-2025-2747, các vấn đề bỏ qua xác thực trong Kentico CMS cho phép chiếm quyền quản trị hoàn toàn.
Điểm Nổi Bật Tháng 9/2025
Tháng 9 năm 2025 chứng kiến việc bổ sung năm lỗ hổng đa dạng bao gồm các công cụ quản lý cơ sở dữ liệu, hệ thống truyền tệp doanh nghiệp, hệ điều hành mạng và các tiện ích Unix cốt lõi.
CVE-2025-10035, ảnh hưởng đến Fortra GoAnywhere MFT, đại diện cho một lỗ hổng deserialization trong thành phần License Servlet đã bị các nhà điều hành ransomware khai thác tích cực.
CVE-2025-20352, một lỗi tràn bộ đệm dựa trên stack trong chức năng SNMP của Cisco IOS/IOS XE, và CVE-2025-32463, một lỗ hổng sudo inclusion cho phép leo thang đặc quyền cục bộ, chứng tỏ việc tiếp tục nhắm mục tiêu vào các thành phần mạng và hệ điều hành cơ bản.
Điểm Nổi Bật Tháng 12/2025
Các bổ sung tháng 12 năm 2025 bao gồm CVE-2025-55182, một lỗ hổng thực thi mã từ xa (RCE) trong React Server Components của Meta đã được xác nhận sử dụng trong các chiến dịch ransomware. Việc khai thác nhanh chóng thành phần khung tương đối mới này minh họa sự linh hoạt của các tác nhân đe dọa trong việc vũ khí hóa các lỗ hổng mới được công bố.
Thông tin tình báo đe dọa từ các diễn đàn darknet đã cung cấp tín hiệu cảnh báo sớm cho một số bổ sung KEV. Các nhà nghiên cứu bảo mật giám sát các thị trường tội phạm mạng ngầm đã quan sát các cuộc thảo luận về các payload Oracle và SMB được gắn nhãn là “ClickFix modules” vài tuần trước các khuyến cáo chính thức của CISA. Điều này xác nhận rằng tội phạm mạng tích cực thử nghiệm các khai thác chống lại các mục tiêu chưa được vá trước khi công khai.
Tầm Quan Trọng và Khuyến Nghị cho Tổ Chức
Ý nghĩa của KEV Catalog mở rộng vượt xa các cơ quan liên bang, mặc dù các yêu cầu của BOD 22-01 tạo ra các nghĩa vụ cụ thể cho các thực thể chính phủ.
Các cơ quan liên bang phải tuân thủ các mốc thời gian khắc phục nghiêm ngặt: các lỗ hổng nghiêm trọng phải được giải quyết trong vòng 15 ngày kể từ khi phát hiện ban đầu, trong khi các lỗ hổng mức độ cao yêu cầu khắc phục trong vòng 30 ngày. Đối với các lỗ hổng được liệt kê trong KEV, các cơ quan phải khắc phục các lỗi có mã CVE từ năm 2021 trở đi trong vòng hai tuần, trong khi các lỗ hổng trước năm 2021 yêu cầu khắc phục trong vòng sáu tháng.
CISA KEV Catalog, hiện bao gồm 1.484 lỗ hổng đang bị khai thác tích cực, đại diện cho một nguồn tài nguyên quan trọng cho các tổ chức đang tìm cách ưu tiên khắc phục lỗ hổng dựa trên thông tin tình báo đe dọa thực tế hơn là các đánh giá rủi ro lý thuyết.
245 lỗ hổng được thêm vào năm 2025 đánh dấu mức tăng 20% và phản ánh bản chất năng động của các mối đe dọa mạng. Các nhà điều hành ransomware, nhóm APT và những kẻ tấn công cơ hội tiếp tục vũ khí hóa các lỗ hổng đã biết trên các nền tảng công nghệ đa dạng.
Sự tập trung của các lỗ hổng bị ransomware khai thác trong số các nhà cung cấp doanh nghiệp lớn, đặc biệt là 100 lỗ hổng liên quan đến ransomware đã được xác nhận của Microsoft, nhấn mạnh tầm quan trọng của việc quản lý bản vá bảo mật kịp thời cho các hệ thống doanh nghiệp được triển khai rộng rãi.
Sự phổ biến của các loại lỗ hổng cơ bản, như xác thực đầu vào không đúng cách, chèn lệnh và các vấn đề hỏng bộ nhớ, làm nổi bật những thách thức mã hóa an toàn dai dẳng mà ngành công nghiệp phần mềm phải giải quyết thông qua các phương pháp phát triển được cải thiện và tăng cường áp dụng các ngôn ngữ an toàn bộ nhớ.
Đối với các cơ quan liên bang, việc tuân thủ các yêu cầu của BOD 22-01 vẫn là bắt buộc, với các mốc thời gian khắc phục nghiêm ngặt và nghĩa vụ báo cáo.
Tuy nhiên, giá trị của KEV Catalog vượt xa sự tuân thủ liên bang. Nó cung cấp cho tất cả các tổ chức thông tin tình báo có thể hành động về các lỗ hổng có khả năng bị khai thác nhất trong các cuộc tấn công thực tế. Bằng cách ưu tiên khắc phục KEV, triển khai các quy trình quản lý bản vá bảo mật mạnh mẽ, duy trì kiểm kê tài sản toàn diện và tận dụng thông tin tình báo đe dọa để cảnh báo sớm, các tổ chức có thể giảm đáng kể bề mặt tấn công và tăng cường khả năng phục hồi của mình trước các mối đe dọa mạng cấp bách nhất vào năm 2025 và xa hơn nữa.
