BẢN ĐIỂM TIN AN TOÀN THÔNG TIN NGÀY 26.03.2025

26/03/2025

Ban-diem-tin-ATTT-(1).jpg
1Nhóm Apt Aquatic Panda: Chiến dịch 10 tháng, 7 mục tiêu toàn cầu, 5 gia đình phần mềm độc hại (21/03/2025)
- Nhóm APT Aquatic Panda có liên quan đến "Chiến dịch gián điệp toàn cầu" diễn ra vào năm 2022 nhắm vào bảy (07) tổ chức.
- Các thực thể này bao gồm các chính phủ, tổ chức từ thiện Công giáo, các tổ chức phi chính phủ (NGO) và các tổ chức nghiên cứu trên khắp Đài Loan, Hungary, Thổ Nhĩ Kỳ, Thái Lan, Pháp và Hoa Kỳ. Hoạt động diễn ra trong khoảng thời gian 10 tháng từ tháng 01 đến tháng 10 năm 2022, mã được mang tên là Chiến dịch Fishmedley.
- Các cuộc tấn công năm 2022 được đặc trưng bởi việc sử dụng năm (05) họ phần mềm độc hại khác nhau: một trình tải tên là Scatterbee được sử dụng để thả Shadowpad, Spyder, Sodamaster và Rpipecommander. Vector truy cập ban đầu chính xác được sử dụng trong chiến dịch không được biết đến ở giai đoạn này.
- RPIPECOMMANDER là tên được đặt cho một cấy ghép C ++ trước đây được triển khai chống lại một tổ chức chính phủ không xác định ở Thái Lan. Nó hoạt động như một reverse shell có khả năng chạy các lệnh bằng cmd.exe và thu thập các đầu ra.
Xem thêm tại đường dẫn: 
https://thehackernews.com/2025/03/china-linked-apt-aquatic-panda-10-month.html 

2. Lỗ hổng bỏ qua Middleware trong Next.js
Mô tả lỗ hổng: Lỗ hổng nằm trong cách Next.js xử lý middleware, cho phép tin tặc bỏ qua middleware và từ đó bỏ qua bất kỳ logic bảo vệ nào được triển khai trong đó. Điều này có thể dẫn đến việc bỏ qua các cơ chế xác thực, ủy quyền, chính sách bảo mật (CSP)… Kẻ tấn công có thể thực hiện điều này bằng cách thêm một header đặc biệt (`x-middleware-subrequest`) với một giá trị cụ thể vào các yêu cầu HTTP.
CVE lỗ hổng: CVE-2025-29927
Phiên bản/product bị ảnh hưởng: Tất cả các phiên bản Next.js từ 11.1.4 đến 15.2.2
Bản vá:
- Next.js 15.x: Bản vá có trong phiên bản 15.2.3
- Next.js 14.x: Bản vá có trong phiên bản 14.2.25
- Next.js các phiên bản từ 11.1.4 đến 13.5.6.
Giải pháp giảm thiểu rủi ro:
- Nếu cập nhật bản vá lên phiên bản an toàn nên ngăn các yêu cầu từ người dùng bên ngoài chứa header `x-middleware-subrequest` đến ứng dụng Next.js.
- Rà soát middleware: Rà soát lại cách sử dụng middleware trong ứng dụng Next.js để xác định bất kỳ khu vực nào có thể bị ảnh hưởng bởi lỗ hổng này.
Xem thêm tại đường dẫn: 
https://github.com/vercel/next.js/security/advisories/GHSA-f82v-jwr5-mffw 
POC tại đường dẫn: Next.js and the corrupt middleware: the authorizing artifact - zhero_web_security

3. Cuộc tấn công Ransomware của PSEA làm lộ thông tin của 500.000 cá nhân
- Hơn 500.000 cá nhân đang được thông báo sau khi một cuộc tấn công mạng vào Hiệp hội Giáo dục Tiểu bang Pennsylvania (PSEA) đã xâm phạm dữ liệu cá nhân của họ vào tháng 7 năm 2024. Công đoàn, đại diện cho hơn 178.000 chuyên gia giáo dục trên khắp Pennsylvania, cho biết trong các lá thư thông báo vi phạm rằng tin tặc đã truy cập vào một kho thông tin nhạy cảm.
- "PSEA đã gặp phải sự cố bảo mật vào hoặc khoảng ngày 6 tháng 7 năm 2024 đã ảnh hưởng đến môi trường mạng của chúng tôi", công đoàn tuyên bố.
- Dữ liệu bị đánh cắp bao gồm số An sinh xã hội, hồ sơ bảo hiểm y tế, thông tin hộ chiếu, thông tin chi tiết về thẻ thanh toán và các giấy tờ tùy thân khác. Một cuộc điều tra kết thúc vào ngày 18 tháng 2 năm 2025 đã xác nhận vụ vi phạm đã ảnh hưởng đến 517.487 cá nhân.
- PSEA thông báo: "Thông qua một cuộc điều tra kỹ lưỡng và xem xét rộng rãi dữ liệu bị ảnh hưởng đã hoàn tất vào ngày 18 tháng 2 năm 2025, chúng tôi xác định rằng dữ liệu mà tác nhân trái phép thu thập được có chứa một số thông tin cá nhân thuộc về những cá nhân có thông tin được lưu trong một số tệp nhất định trong mạng của chúng tôi".
- Mặc dù PSEA không nêu tên tác nhân đe dọa cụ thể, nhưng băng nhóm ransomware Rhysida đã nhận trách nhiệm về vụ vi phạm vào ngày 9 tháng 9 năm 2024. Nhóm này bị cáo buộc đã yêu cầu khoản tiền chuộc là 20 BTC (hơn 1 triệu đô la vào thời điểm đó), đe dọa sẽ tiết lộ dữ liệu bị đánh cắp nếu không được trả tiền. Sau đó, băng nhóm này đã xóa danh sách khỏi trang web đen của mình, nhưng PSEA vẫn chưa xác nhận liệu có trả tiền chuộc hay không.
- Nhóm Rhysida, vận hành mô hình ransomware-as-a-service (RaaS), trước đây đã nhắm mục tiêu vào các tổ chức nổi tiếng, bao gồm Thành phố Columbus, Thư viện Anh và Insomniac Games của Sony. Các cơ quan liên bang Hoa Kỳ như FBI và CISA đã đưa ra cảnh báo về các mối đe dọa đang diễn ra của nhóm này.
- Để ứng phó, PSEA đang cung cấp một năm dịch vụ giám sát tín dụng và khôi phục danh tính miễn phí thông qua IDX cho những cá nhân có số An sinh xã hội bị xâm phạm. Thời gian đăng ký sẽ kéo dài đến ngày 17 tháng 06 năm 2025.
- Những cá nhân bị ảnh hưởng được khuyến khích duy trì cảnh giác bằng cách xem xét các báo cáo tài chính, đặt cảnh báo gian lận vào hồ sơ tín dụng và bảo mật tài khoản trực tuyến của họ.

Xem thêm tại đường dẫn: https://www.vpnmentor.com/news/psea-ransomware-attack-exposes-500000/

4Lỗ hổng thực thi mã từ xa trong Apache Airflow
Mô tả lỗ hổng: Lỗ hổng này cho phép kẻ tấn công thực thi trên hệ thống máy chủ chạy Apache Airflow – một hệ thống mã nguồn mở nhằm quản lý quy trình cho kênh xử lý dữ liệu. Lỗ hổng này xảy ra do vấn đề xác thực không đúng cách trong API của Airflow.
CVE lỗ hổng: CVE-2024-55549
Phiên bản/product bị ảnh hưởng:
- Apache Airflow phiên bản < 2.8.5
- Apache Airflow phiên bản < 2.7.4
- Apache Airflow phiên bản < 2.6.8
Các giảm thiểu rủi ro/bản vá:
- Nâng cấp lên Apache Airflow phiên bản 2.8.5, 2.7.4, 2.6.8 hoặc mới hơn.
- Áp dụng các biện pháp kiểm soát truy cập hạn chế quyền truy cập vào API của Airflow.
- Sử dụng tường lửa để chặn các kết nối không được ủy quyền đến máy chủ Airflow.

Xem thêm tại đường dẫn: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-55549
Patch tại đường dẫn: https://bugzilla.redhat.com/show_bug.cgi?id=2352484

5Oracle Cloud phủ nhận việc có người đột nhập vào máy chủ đăng nhập và đánh cắp dữ liệu
- Oracle đã phủ nhận khiếu nại của một kẻ gian rằng dịch vụ đám mây công cộng của họ đã bị xâm phạm và thông tin bị đánh cắp.
- Một tin tặc đã quảng cáo trên một diễn đàn tội phạm mạng trực tuyến những gì được cho là khóa bảo mật của khách hàng Oracle Cloud và dữ liệu nhạy cảm khác đã bị đánh cắp từ gã khổng lồ CNTT. Tài liệu này được cho là đã bị kẻ gian lấy được từ ít nhất một trong các máy chủ đăng nhập đăng nhập một lần (SSO) của nhà cung cấp đám mây bằng cách khai thác lỗ hổng bảo mật.
- Oracle cho biết điều đó không đúng: "Không có vi phạm nào đối với Oracle Cloud". "Thông tin đăng nhập được công bố không dành cho Oracle Cloud. Không có khách hàng Oracle Cloud nào gặp phải vi phạm hoặc mất bất kỳ dữ liệu nào".
- Trong khi đó, kẻ gian đã khoe khoang về việc tạo một tệp văn bản trên máy chủ đăng nhập Oracle Cloud, cụ thể là login.us2.oraclecloud.com, được Wayback Machine của Internet Archive ghi lại ở đây vào đầu tháng 3, như bằng chứng cho thấy các hệ thống đã bị xâm phạm.
- Người ta cho rằng thông tin đã bị đánh cắp từ máy chủ đăng nhập EM2 cũng như US2. Kẻ trộm tương lai cũng đã chia sẻ các mẫu thông tin bị đánh cắp. Sáu triệu bản ghi tệp Java KeyStore của khách hàng Oracle Cloud được cho là chứa các chứng chỉ và khóa bảo mật; mật khẩu SSO Oracle Cloud được mã hóa; mật khẩu LDAP được mã hóa; khóa Enterprise Manager JPS; và các thông tin khác bị đánh cắp từ nhà cung cấp dịch vụ đám mây đã được rao bán trên BreachForums bởi một cư dân mạng chưa từng được biết đến có tên là rose87168. Những khách hàng có khả năng bị ảnh hưởng được cho là lên tới hàng nghìn người.
- Giá cho thông tin này vẫn chưa được tiết lộ và người bán cũng chấp nhận các khai thác lỗ hổng zero-day làm phương thức thanh toán. Người ta nói rằng rose87168 đã liên hệ với Oracle khoảng một tháng trước để thông báo cho gã khổng lồ cơ sở dữ liệu về vụ đánh cắp dữ liệu bị cáo buộc, muốn hơn 200 triệu đô la tiền điện tử để đổi lấy thông tin chi tiết về vụ trộm được cho là đã xảy ra và đã bị từ chối.
- Kẻ gian cũng đã yêu cầu trợ giúp giải mã thông tin xác thực được mã hóa.
- Ngoài ra, tên trộm đã chia sẻ danh sách các tên miền của tất cả các công ty bị ảnh hưởng bởi vụ vi phạm bảo mật bị từ chối và lưu ý rằng những khách hàng Oracle dường như không bị xâm phạm có thể "trả một số tiền cụ thể để xóa thông tin của nhân viên trước khi thông tin đó được bán."

6. Lỗ hổng leo thang đặc quyền trong hệ điều hành Linux Kernel
Mô tả lỗ hổng: Lỗ hổng này cho phép người dùng cục bộ không có đặc quyền leo thang đặc quyền lên root. Lỗ hổng này nằm trong một thành phần của kernel quản lý việc xử lý các lệnh gọi hệ thống.
CVE lỗ hổng: CVE-2025-24855
Phiên bản/product bị ảnh hưởng: Các phiên bản Linux Kernel trước 6.8.
Các giảm thiểu rủi ro/bản vá:
- Nâng cấp lên Linux Kernel phiên bản 6.8 hoặc mới hơn.
- Áp dụng các bản vá bảo mật được cung cấp bởi distro Linux.
- Hạn chế quyền truy cập vào các hệ thống dễ
Xem thêm tại đường dẫn
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-24855 
Patch tại đường dẫn: 2352483 – (CVE-2025-24855) CVE-2025-24855 libxslt: Use-After-Free in libxslt numbers.c

7. Lỗ hổng thực thi mã từ xa trong hệ thống quản lý nội dung (CMS) Joomla
Mô tả lỗ hổng: Lỗ hổng này cho phép kẻ tấn công không cần xác thực vẫn có thể thực trên máy chủ chạy Joomla. Lỗ hổng này xuất phát từ việc xử lý không an toàn các yêu cầu HTTP.
CVE lỗ hổng: CVE-2025-2476
Phiên bản/product bị ảnh hưởng:
- Joomla phiên bản < 4.2.9
- Joomla phiên bản < 3.10.12
Các giảm thiểu rủi ro/bản vá:
- Nâng cấp lên Joomla phiên bản 4.2.9, 3.10.12 hoặc mới hơn.
- Áp dụng các biện pháp bảo mật tường lửa ứng dụng web (WAF) để lọc các yêu cầu độc hại.
- Hạn chế quyền truy cập vào giao diện quản trị Joomla.
Xem thêm tại đường dẫn:
 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-2476
POC tại đường dẫn: GitHub - McTavishSue/CVE-2025-2476: Use After Free (CWE-416)
Patch: 
- Đường dẫn 1
Chrome Releases: Stable Channel Update for Desktop
- Đường dẫn 2: CVE-2025-2476 - Security Update Guide - Microsoft - Chromium: CVE-2025-2476 Use after free in Lens