top of page

Toàn cảnh an ninh mạng tuần qua: Tấn công chuỗi cung ứng leo thang, zero-day bị khai thác trước khi vá và áp lực bảo mật ngày càng lớn

  • 7 ngày trước
  • 6 phút đọc

Tuần qua, bức tranh an ninh mạng toàn cầu tiếp tục ghi nhận nhiều diễn biến đáng chú ý, cho thấy sự dịch chuyển rõ rệt trong chiến lược của các nhóm tấn công. Thay vì chỉ nhắm vào lỗ hổng kỹ thuật đơn lẻ, attacker đang tập trung vào các điểm trung gian có giá trị cao như chuỗi cung ứng phần mềm, hệ thống DevOps và dữ liệu người dùng.

Đồng thời, tốc độ khai thác lỗ hổng ngày càng rút ngắn, khiến doanh nghiệp gần như không còn “khoảng đệm” để phản ứng nếu không có chiến lược bảo mật chủ động.


Toàn cảnh bức tranh an ninh mạng
Toàn cảnh bức tranh an ninh mạng - Nguồn: The Hacker News

Sự cố bảo mật trong công cụ Trivy

Một sự cố chuỗi cung ứng đã được phát hiện liên quan đến công cụ quét bảo mật mã nguồn mở Trivy.

Theo thông tin được công bố, các bản phát hành của công cụ này đã bị chèn mã độc. Mã độc được thiết kế nhằm thu thập thông tin nhạy cảm từ môi trường CI/CD, bao gồm các thông tin xác thực và dữ liệu cấu hình.

Sự cố ảnh hưởng đến các hệ thống sử dụng Trivy trong quy trình tự động hóa, đặc biệt là các pipeline tích hợp liên tục và triển khai liên tục.

Trong vụ việc này, kẻ tấn công đã:

  • Chèn mã độc vào các bản phát hành phần mềm

  • Lợi dụng quy trình CI/CD để phát tán backdoor

  • Thu thập thông tin nhạy cảm như token, credentials từ pipeline


Tấn công chuỗi cung ứng
Tấn công chuỗi cung ứng - Nguồn: AI

Federal Bureau of Investigation thừa nhận mua dữ liệu vị trí người dùng

Cục Điều tra Liên bang Mỹ (FBI) xác nhận đã mua dữ liệu vị trí người dùng từ các nhà cung cấp thương mại.

Dữ liệu này có thể được sử dụng để theo dõi vị trí và hoạt động di chuyển của thiết bị. Theo thông tin được công bố, việc sử dụng dữ liệu này phục vụ cho các hoạt động điều tra và phân tích. Thông tin trên đã thu hút sự chú ý liên quan đến việc thu thập và sử dụng dữ liệu cá nhân.

Về mặt kỹ thuật, dữ liệu này có thể:

  • Xây dựng hồ sơ hành vi người dùng theo thời gian thực

  • Phân tích mô hình di chuyển và thói quen

  • Hỗ trợ điều tra mà không cần truy cập trực tiếp vào thiết bị

Tuy nhiên, về mặt quản trị, điều này đặt ra những câu hỏi lớn:

  • Ai kiểm soát dữ liệu sau khi được thu thập?

  • Mức độ minh bạch và đồng thuận của người dùng đến đâu?

  • Doanh nghiệp có đang vô tình trở thành nguồn cung cấp dữ liệu?

Trong bối cảnh dữ liệu trở thành tài sản chiến lược, việc quản lý và bảo vệ dữ liệu cá nhân cần được đặt ngang hàng với các biện pháp bảo mật hệ thống.

Triệt phá mạng botnet IoT quy mô lớn

Các cơ quan thực thi pháp luật đã tiến hành triệt phá nhiều mạng botnet hoạt động trên nền tảng thiết bị IoT.

Các mạng botnet này bao gồm nhiều nhóm khác nhau và được xác định đã kiểm soát hơn 3 triệu thiết bị. Các thiết bị bị ảnh hưởng chủ yếu là router, camera và các thiết bị ghi hình kỹ thuật số (DVR). Các botnet được sử dụng để thực hiện các cuộc tấn công từ chối dịch vụ phân tán (DDoS).

Các đặc điểm chính của các botnet này bao gồm:

  • Khai thác thiết bị cấu hình yếu hoặc không được cập nhật

  • Sử dụng mật khẩu mặc định hoặc lỗ hổng cũ

  • Tận dụng số lượng lớn thiết bị để thực hiện DDoS

Điểm nguy hiểm nằm ở chỗ:

  • Thiết bị IoT thường không được giám sát chặt chẽ

  • Khó phát hiện khi bị chiếm quyền

  • Có thể tồn tại lâu dài trong hệ thống mà không bị phát hiện


Gia tăng hoạt động tấn công trên thiết bị di động
Botnet IoT Mối đe dọa âm thầm nhưng quy mô lớn - Nguồn: AI

Lỗ hổng trong Langflow bị khai thác sau khi công bố

Một lỗ hổng bảo mật trong nền tảng Langflow đã bị khai thác trong thời gian ngắn sau khi được công bố. Lỗ hổng này cho phép thực thi mã từ xa mà không cần xác thực. Theo thông tin ghi nhận, việc khai thác đã diễn ra trong vòng khoảng 20 giờ kể từ thời điểm công bố lỗ hổng.

Điều này phản ánh một thực tế:

  • Attacker theo dõi sát các bản công bố lỗ hổng

  • Công cụ khai thác (exploit) được tự động hóa

  • Thời gian từ “công bố” đến “tấn công thực tế” gần như bằng 0

Trong khi đó, nhiều doanh nghiệp vẫn mất:

  • Vài ngày đến vài tuần để đánh giá rủi ro

  • Thêm thời gian để triển khai bản vá

  • Và lâu hơn nữa để kiểm tra toàn hệ thống

Lỗ hổng zero-day trong hệ thống của Cisco bị khai thác

Một chiến dịch tấn công ransomware đã khai thác lỗ hổng zero-day trong hệ thống quản lý của Cisco.

Lỗ hổng này ảnh hưởng đến Cisco Firewall Management Center (FMC) và cho phép thực thi mã với quyền cao trên hệ thống. Hoạt động khai thác được ghi nhận xảy ra trước khi bản vá chính thức được phát hành.

Thực tế này đặt ra yêu cầu doanh nghiệp phải chuyển dịch từ mô hình bảo mật mang tính phản ứng sang cách tiếp cận chủ động và toàn diện hơn, bao gồm việc tăng cường phát hiện các hành vi bất thường (behavior-based detection), triển khai giám sát liên tục (continuous monitoring) và áp dụng mô hình Zero Trust nhằm kiểm soát chặt chẽ mọi truy cập trong hệ thống.

Gia tăng hoạt động tấn công trên thiết bị di động

Trong tuần qua, nhiều chiến dịch tấn công nhắm vào thiết bị di động đã được ghi nhận.

Trên nền tảng iOS, một chuỗi khai thác mới có tên “DarkSword” được phát hiện, sử dụng nhiều lỗ hổng để chiếm quyền thiết bị. Trên Android, một biến thể malware có tên “Perseus” được ghi nhận giả mạo ứng dụng xem truyền hình nhằm đánh cắp thông tin người dùng, bao gồm dữ liệu tài chính và thông tin đăng nhập.

Thiết bị di động, vốn được sử dụng cho cả công việc và cá nhân, đang trở thành mục tiêu hấp dẫn cho attacker.


Gia tăng hoạt động tấn công trên thiết bị di động
Gia tăng hoạt động tấn công trên thiết bị di động - Nguồn: AI

Google triển khai biện pháp kiểm soát sideloading trên Android

Google đã triển khai các biện pháp mới nhằm kiểm soát việc cài đặt ứng dụng ngoài trên hệ điều hành Android.

Các biện pháp này bao gồm việc tăng cường xác minh ứng dụng và áp dụng thời gian chờ trước khi cho phép cài đặt. Mục tiêu là hạn chế nguy cơ cài đặt các ứng dụng độc hại từ nguồn không chính thức.

Doanh nghiệp cần làm gì để đi trước các mối đe dọa?

Trước bối cảnh các cuộc tấn công ngày càng tinh vi và khó dự đoán, việc chỉ dựa vào các giải pháp bảo mật truyền thống là chưa đủ. Doanh nghiệp cần một cách tiếp cận chủ động hơn, với khả năng giám sát liên tục, phát hiện sớm và phản ứng kịp thời trước các dấu hiệu bất thường.

Các mô hình như SOC (Security Operations Center) đang trở thành lựa chọn thiết yếu, giúp:

  • Theo dõi hệ thống 24/7

  • Phát hiện sớm các hành vi tấn công, kể cả zero-day

  • Giảm thiểu thời gian phản ứng và xử lý sự cố

  • Tăng khả năng kiểm soát toàn diện hạ tầng IT


Với các doanh nghiệp vừa và nhỏ, việc xây dựng SOC nội bộ có thể tốn kém và phức tạp. Do đó, xu hướng hiện nay là thuê ngoài dịch vụ SOC để vừa tối ưu chi phí, vừa đảm bảo hiệu quả vận hành.

Một hệ thống bảo mật hiệu quả không chỉ nằm ở công nghệ, mà còn ở cách doanh nghiệp:

  • Kiểm soát rủi ro từ chuỗi cung ứng

  • Quản lý và bảo vệ dữ liệu nhạy cảm

  • Xây dựng quy trình phản ứng sự cố rõ ràng

  • Kết hợp giữa con người – quy trình – công nghệ

Nếu doanh nghiệp đang tìm kiếm một giải pháp phù hợp để nâng cao năng lực an ninh mạng, việc tham khảo các mô hình SOC linh hoạt, được thiết kế theo nhu cầu thực tế sẽ là bước đi đáng cân nhắc trong giai đoạn hiện nay.


-----

Nguồn tham khảo: The Hacker News, "Weekly Recap: CI/CD Backdoor, FBI Buys Location Data, WhatsApp Ditches Numbers & More"

Bình luận

LOGO IPSIP vietnam 1

CÔNG TY TNHH MTV IPSIP VIỆT NAM (IPSIP VIETNAM OMLLC)

​MST: 0313859600

🏢 Số SH05.01 Đường B4, Khu Saritown, Phường An Khánh, Thành phố Hồ Chí Minh, Việt Nam

​☎  +84 91 885 30 68

  • Linkedin
  • Facebook
  • TikTok
  • Email liên h��ệ
Dịch vụ nổi bật

Giải pháp cho SMEs

SOC 24/7

NOC 24/7

IT Support

An ninh mạng
Cloud

Đăng ký nhận tài liệu, tin tức an ninh mạng chuyên sâu từ IPSIP Việt Nam

bottom of page