Hơn 90 tỷ cookie bị đánh cắp, AI và IoT trở thành miếng mồi mới

[Khánh Vy]

Tháng 5/2025 chứng kiến làn sóng tấn công mạng bùng nổ trên toàn cầu với hàng loạt lỗ hổng nghiêm trọng, mã độc tinh vi và chiến dịch khai thác nhắm vào các nền tảng công nghệ đang phát triển mạnh. Hacker không chỉ đánh cắp hơn 90 tỷ cookie trình duyệt, mà còn mở rộng mục tiêu sang AI, thiết bị IoT, nền tảng mã nguồn mở và trình duyệt phổ biến, biến chúng thành "miếng mồi ngon" trong các cuộc tấn công leo thang cả về quy mô lẫn mức độ nguy hiểm.

Trong bối cảnh đó, bản tin thống kê dưới đây do các chuyên gia WhiteHat tổng hợp sẽ giúp bạn điểm lại những diễn biến an ninh mạng nổi bật nhất trong tháng, chia thành 3 nhóm chính:

• Lỗ hổng bảo mật nghiêm trọng
• Chiến dịch tấn công mạng có chủ đích
• Mã độc và kỹ thuật khai thác mới

Qua đó, cá nhân và tổ chức có thể đánh giá rủi ro, cập nhật kịp thời các mối đe dọa, đồng thời củng cố biện pháp phòng thủ trước làn sóng tấn công mạng ngày càng tinh vi.

I. Lỗ hổng bảo mật nghiêm trọng​

Tháng 5 chứng kiến sự bùng nổ các lỗ hổng nghiêm trọng với điểm CVSS cao, nhiều lỗ hổng đã bị khai thác hoặc có khả năng cao bị lợi dụng trong thực tế:

• CVE-2025-20188 (CVSS 10,0): Lỗ hổng nghiêm trọng trong Cisco IOS XE cho Wireless LAN Controllers cho phép kẻ tấn công từ xa, chưa xác thực, tải lên tệp tùy ý và thực thi lệnh với quyền root thông qua mã JWT hard-coded, gây rủi ro chiếm quyền kiểm soát hệ thống.
• CVE-2025-46337 (CVSS 10,0): Lỗ hổng trong thư viện ADOdb (trước phiên bản 5.22.9) cho phép kẻ tấn công thực thi câu lệnh SQL tùy ý trên cơ sở dữ liệu PostgreSQL nếu dữ liệu đầu vào không được kiểm soát khi sử dụng hàm pg_insert_id(), gây nguy cơ SQL Injection nghiêm trọng.
• CVE-2025-36535 (CVSS 10,0): Lỗ hổng CVE-2025-36535 ảnh hưởng đến dòng thiết bị AutomationDirect MB‑Gateway, xuất phát từ việc máy chủ web nhúng không có cơ chế xác thực và kiểm soát truy cập, cho phép kẻ tấn công từ xa truy cập không giới hạn, tiềm ẩn nguy cơ thay đổi cấu hình, gián đoạn hoạt động hoặc thực thi mã tùy ý.
• CVE-2025-47577 (CVSS 10,0): Lỗ hổng trong plugin TI WooCommerce Wishlist (trước phiên bản 2.10.0) cho phép kẻ tấn công tải lên các tệp nguy hiểm như web shell mà không bị kiểm soát, từ đó có thể chiếm quyền điều khiển máy chủ web.
• CVE-2025-3248 (CVSS 9,8): Lỗ hổng RCE nghiêm trọng trong Langflow cho phép kẻ tấn công từ xa, chưa xác thực, thực thi mã tùy ý thông qua endpoint /api/v1/validate/code, gây rủi ro nghiêm trọng đến an toàn hệ thống.
• CVE-2025-4802: Lỗ hổng trong GNU C Library (phiên bản 2.27 đến 2.38) cho phép kẻ tấn công lợi dụng biến môi trường LD_LIBRARY_PATH không đáng tin cậy để tải thư viện độc hại trong các binary setuid dạng static sử dụng dlopen, dẫn đến nguy cơ thực thi mã với đặc quyền root.
• CVE-2025-47277 (CVSS 9,8): Lỗ hổng RCE nghiêm trọng trong thành phần PyNcclPipe của vLLM (phiên bản 0.6.5–0.8.4), cho phép kẻ tấn công gửi payload độc hại qua giao thức TCP để thực thi mã tùy ý trên hệ thống, tiềm ẩn nguy cơ chiếm quyền kiểm soát tiến trình vLLM nếu không giới hạn kết nối vào mạng nội bộ.
• CVE-2025-1087 (CVSS 9,3): Lỗ hổng trong ứng dụng Kong Insomnia Desktop (trước phiên bản 11.0.2) cho phép kẻ tấn công thực thi mã JavaScript tùy ý do không kiểm soát đầu vào trong quá trình xử lý chuỗi template, dẫn đến nguy cơ chiếm quyền điều khiển ứng dụng hoặc thực hiện hành vi độc hại trong ngữ cảnh người dùng.
• CVE-2025-31644 (CVSS 8,7): Lỗ hổng ảnh hưởng đến thiết bị F5 BIG-IP khi chạy ở chế độ Appliance, cho phép kẻ tấn công đã xác thực với quyền quản trị viên khai thác lỗ hổng chèn lệnh trong iControl REST hoặc TMOS Shell (tmsh) để thực thi lệnh hệ thống tùy ý, vượt qua rào chắn bảo mật và kiểm soát thiết bị.
• CVE-2025-47539 (CVSS 9,8): Lỗ hổng CVE-2025-47539 là lỗ hổng phân quyền nghiêm trọng trong plugin Eventin cho phép kẻ tấn công chưa xác thực tạo tài khoản quản trị trái phép qua REST API do thiếu kiểm tra quyền truy cập.
• CVE-2025-4664: Lỗ hổng trong Google Chrome (trước phiên bản 136.0.7103.113) cho phép kẻ tấn công từ xa rò rỉ dữ liệu cross-origin thông qua trang HTML được tạo, do trình tải (Loader) không thực thi chính sách bảo mật đầy đủ.
• Zero-click WDS (Windows Deployment Services): Lỗ hổng cho phép tấn công từ xa không cần tương tác (zero-click) thông qua giao thức TFTP (UDP port 69), nơi máy chủ không giới hạn số phiên và thiếu cơ chế giải phóng bộ nhớ, kẻ tấn công có thể làm cạn kiệt RAM và gây sập hệ thống bằng cách liên tục tạo phiên giả mạo từ nhiều IP và cổng khác nhau.
• Patch Tuesday tháng 5/2025: Microsoft phát hành bản vá cho 72 lỗ hổng, trong đó có 5 zero-day đang bị khai thác là CVE-2025-30400, CVE-2025-32701, CVE-2025-32706, CVE-2025-32709, CVE-2025-30397.

II. Chiến dịch tấn công nổi bật​

1. Chiến dịch tấn công mới nhắm vào các trang WordPress thông qua plugin giả mạo “WP-antymalwary-bot.php”, được ngụy trang như công cụ bảo mật nhưng thực chất là mã độc. Plugin này cho phép kẻ tấn công chiếm quyền quản trị, thực thi mã PHP từ xa qua REST API, ẩn khỏi giao diện quản trị, lây lan mã độc sang các thư mục khác, và tự phục hồi sau khi bị xóa. Các biến thể có thể mang tên: addons.php, wpconsole.php, scr.php, wp-performance-booster.php.
2. Chiến dịch tấn công mới giả mạo nền tảng tạo video AI để phát tán mã độc Noodlophile Stealer, dụ người dùng tải tệp “Video Dream MachineAI.mp4.exe” nhằm đánh cắp dữ liệu trình duyệt, ví tiền ảo và tệp nhạy cảm; một số biến thể còn cài thêm XWorm. Mã độc được che giấu tinh vi, nghi vấn do lập trình viên Việt Nam phát triển.
3. Chiến dịch khai thác thiết bị IoT GeoVision qua hai lỗ hổng nghiêm trọng (CVE-2024-6047, CVE-2024-11120) để thực thi lệnh từ xa qua endpoint /DateSetting.cgi. Sau khai thác, thiết bị bị lây nhiễm biến thể Mirai LZRD, biến thành một phần của botnet. Botnet này còn mở rộng tấn công sang các thiết bị khác qua nhiều lỗ hổng IoT đã biết.
4. Chiến dịch khai thác lỗ hổng nghiêm trọng trong GitLab Duo cho phép kẻ tấn công chiếm quyền tài khoản người dùng bằng cách gửi email đặt lại mật khẩu đến địa chỉ chưa xác minh, qua đó vượt qua cơ chế xác thực và kiểm soát tài khoản.

III. Mã độc và kỹ thuật khai thác mới​

Chiến dịch đánh cắp cookie quy mô lớn:

• 93,7 tỷ cookie bị rao bán trên chợ đen, 15,6 tỷ trong số đó vẫn còn hiệu lực.
• Cookie bị đánh cắp chủ yếu bởi Redline Stealer, LummaC2, CryptBot, Vidar...
• Cookie được sử dụng để vượt xác thực đa yếu tố, chiếm đoạt tài khoản, phát động phishing hoặc ransomware.
• Windows là hệ điều hành bị ảnh hưởng nặng nề nhất, chiếm 86% tổng số cookie bị thu thập.

Các chuyên gia WhiteHat khuyến cáo: Người dùng và tổ chức nên cập nhật phần mềm và hệ điều hành thường xuyên, tắt bớt các tính năng không cần thiết, bật xác thực hai bước để bảo vệ tài khoản và không tải hoặc cài đặt phần mềm từ nguồn không rõ ràng để tránh bị tấn công bởi mã độc.

Theo WhiteHat tổng hợp​

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview