CISA vừa thêm 5 lỗi bảo mật mới vào danh mục cảnh báo khẩn, trong đó có lỗi nghiêm trọng trên Oracle E-Business Suite, Microsoft Windows và Apple.

Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) vừa đưa 5 lỗi bảo mật mới vào danh mục các lỗ hổng bị khai thác (Known Exploited Vulnerabilities - KEV). Trong đó, đáng chú ý nhất là lỗi bảo mật nghiêm trọng trong Oracle E-Business Suite (EBS), vốn đã bị tin tặc sử dụng trong các cuộc tấn công thực tế.

Lỗi này có mã định danh CVE-2025-61884, điểm CVSS 7.5, thuộc dạng SSRF (Server-Side Request Forgery) trong thành phần Runtime của Oracle Configurator. Lỗi bảo mật này cho phép kẻ tấn công truy cập trái phép vào dữ liệu quan trọng, mà không cần xác thực từ xa.

CISA xác nhận rằng, đây là lỗi có thể khai thác trực tiếp qua Internet. Ngoài ra, Oracle còn bị ảnh hưởng bởi một lỗi bảo mật khác — CVE-2025-61882 với điểm CVSS 9.8, cho phép kẻ xấu thực thi mã tùy ý mà không cần đăng nhập.

Bên cạnh Oracle, CISA cũng liệt kê thêm bốn lỗi bảo mật nghiêm trọng khác:

CVE-2025-33073 – lỗi truy cập trái phép trong Microsoft Windows SMB Client, có thể giúp kẻ tấn công leo thang đặc quyền.

CVE-2025-2746 và CVE-2025-2747 – hai lỗi vượt qua xác thực trong hệ thống Kentico Xperience CMS, cho phép chiếm quyền điều khiển các đối tượng quản trị.

CVE-2022-48503 – lỗi bảo mật trong JavaScriptCore của Apple, có thể dẫn đến thực thi mã độc khi xử lý nội dung web.

Các nhà nghiên cứu từ Synacktiv và watchTowr Labs đã công bố chi tiết về ba trong số các lỗi bảo mật này. Tuy nhiên, hiện chưa có thông tin cụ thể về cách tin tặc khai thác chúng trong thực tế.

Theo nhóm nghiên cứu của Google Threat Intelligence Group (GTIG) và Mandiant, hàng chục tổ chức trên thế giới đã bị ảnh hưởng sau khi lỗi bảo mật CVE-2025-61882 bị khai thác. Dù chưa xác định được nhóm đứng sau, các chuyên gia nghi ngờ một số hoạt động có liên quan đến các chiến dịch tống tiền Cl0p.

Ông Zander Work, kỹ sư bảo mật cấp cao tại GTIG, cho biết các hoạt động khai thác có dấu hiệu trùng khớp với những nhóm tin tặc đang thực hiện các vụ tấn công tống tiền thương hiệu Cl0p trên quy mô toàn cầu.

CISA yêu cầu các cơ quan thuộc khối hành pháp dân sự liên bang (FCEB) phải khắc phục toàn bộ các lỗi bảo mật được liệt kê trong danh mục KEV trước ngày 10/11/2025. Việc này nhằm đảm bảo hệ thống mạng của các cơ quan chính phủ không bị đe dọa bởi các cuộc tấn công mạng đang gia tăng...

(Còn tiếp)