Ba lỗ hổng bảo mật nghiêm trọng có thể bị tin tặc lợi dụng tấn công

Ngày 11/11, Công an TP. Hà Nội phát đi cảnh báo về ba lỗ hổng bảo mật có nguy cơ bị tin tặc khai thác nhằm tấn công các cơ quan, tổ chức tại Việt Nam. Qua công tác giám sát, Phòng An ninh mạng và phòng chống tội phạm công nghệ cao phát hiện các hiểm họa tiềm ẩn trong phần mềm email, trình duyệt Firefox và thiết bị mạng TP-Link.

Đầu tiên là lỗ hổng CVE-2025-59689 trên dịch vụ Libraesva Email Security Gateway, với mức điểm CVSS 6.1/10. Tin tặc có thể chèn lệnh thực thi từ xa bằng cách gửi email kèm tập tin nén đặc biệt, cho phép thực thi các lệnh tùy ý dưới quyền người dùng không có đặc quyền. Lỗ hổng tồn tại từ phiên bản Libraesva ESG 4.5 đến trước 5.0.31. Nhà phát hành đã phát hành bản vá tự động cho phiên bản 5.x và yêu cầu cập nhật thủ công cho phiên bản 4.x.

Tiếp theo là lỗ hổng tràn số nguyên CVE-2025-11152 trên trình duyệt Firefox. Lỗ hổng này có điểm CVSS lên tới 8.6/10, qua đó cho phép thoát khỏi sandbox do lỗi trong thành phần Graphics: Canvas2D, có thể dẫn đến việc truy cập dữ liệu nhạy cảm hoặc thực thi mã độc. Phiên bản bị ảnh hưởng là Firefox 143.0.3 trở xuống. Mozilla đã phát hành bản cập nhật vá lỗi, người dùng cần nâng cấp ngay.

Nhiều mẫu Router TP-Link cũ hiện đang được sử dụng tại các cơ quan, đơn vị đã ngừng hỗ trợ cập nhật Firmware hoặc ngừng cung cấp dịch vụ (End-of-Life/End-of-Service) từ nhà sản xuất như: TP-Link TL-WR740N, TP-Link TL-WR841N, TP-Link TL-WR940N, TP-Link Archer C50, TP-Link Archer C20, TP-Link TL-WR1043ND, TP-Link TL-MR3420… Các lỗ hổng bảo mật nghiêm trọng trong tồn tại trên các thiết bị này sẽ không bao giờ được vá và trở thành mục tiêu dễ dàng cho các cuộc tấn công mạng.

Các lỗ hổng thường gặp trên các thiết bị này bao gồm: Chèn lệnh (Command Injection), tràn bộ đệm (Buffer Qverflow), bỏ qua xác thực (Authentication Bypass), và các lỗi cho phép thực thi mã từ xa (RCE). Các lỗ hổng trên có thể cho phép đối tượng tấn công thực hiện các hành vi nguy hiểm như: Chiếm quyền kiểm soát hoàn toàn Router, Đánh cắp thông tin đăng nhập, dữ liệu truyền qua mạng, Chuyển hướng người dùng đến các trang web lừa đảo (Phishing), Tạo các botnet để thực hiện tấn công từ chối dịch vụ phân tán (DDoS); Triển khai phần mềm độc hại vào mạng nội bộ.

Phòng An ninh mạng Hà Nội khuyến nghị các tổ chức cần lập danh sách, liệt kê tất cả các thiết bị Router TP-Link đang được sử dụng trong cơ quan, đơn vị. Kiểm tra Model và Firmware: Xác định chính xác model và phiên bản firmware của từng thiết bị. Tra cứu tình trạng hỗ trợ: Truy cập trang web chính thức của TP-Link để kiểm tra tình trạng hỗ trợ (End-of-Life/End-of-Service) của từng model.

Đối với tất cả các mẫu Router TP-Link đã được xác định là ngừng hỗ trợ cập nhật firmware, bắt buộc phải thay thế chúng bằng các thiết bị Router mới hơn.

Triển khai các biện pháp bảo mật mạng cơ bản: Phân đoạn mạng (Network Segmentation): Nếu có thể, phân đoạn mạng nội bộ để cô lập các hệ thống quan trọng và giảm thiểu khả năng lây lan nếu một phần mạng bị xâm nhập; Tường lửa (Firewall): Đảm bảo tường lửa được cấu hình chặt chẽ, chỉ cho phép các kết nối cần thiết và chặn các cổng/dịch vụ không sử dụng; Hệ thống phát hiện/ngăn chặn xâm nhập (IDS/IPS): Triển khai các giải pháp IDS/IPS để giám sát lưu lượng mạng và phát hiện các dấu hiệu tấn công.

Cơ quan chức năng nhấn mạnh, việc tuân thủ các khuyến nghị trên giúp phát hiện sớm và ngăn chặn hiệu quả các cuộc tấn công mạng nhằm bảo vệ an toàn thông tin cho các tổ chức, doanh nghiệp và cá nhân.

Theo Công an Hà Nội