Tạp chí An toàn thông tin giới thiệu toàn cảnh về những sự kiện, tin tức nổi bật về bảo mật và an toàn thông tin trong Tuần 37 (8/9 - 14/9), Bản tin gồm các sự kiện an toàn thông tin nổi bật trong nước và quốc tế. Trong tuần qua, Phó Thủ tướng Hồ Đức Phớc đã ký ban hành Nghị quyết số 05/2025/NQ-CP của Chính phủ về việc triển khai thí điểm thị trường tài sản mã hóa tại Việt Nam. Đặc biệt là những diễn biến mới nhất liên quan đến vụ vi phạm dữ liệu tại Trung tâm Thông tin tín dụng quốc gia Việt Nam (CIC), với hàng loạt khuyến cáo đến từ các tổ chức và cơ quan chức năng. Bên cạnh đó, nhiều ông lớn công nghệ tuần này đã phát hành bản vá khắc phục các lỗ hổng bảo mật, các cảnh báo an ninh mạng,... là một số thông tin đáng chú ý khác.

Hơn 1.000 máy chủ CrushFTP trực tuyến hiện tại bị phát hiện dễ bị tấn công chiếm quyền điều khiển, bằng cách khai thác lỗ hổng bảo mật nghiêm trọng CVE-2025-54309, tin tặc cung cấp quyền truy cập quản trị vào giao diện web.

Cơ quan an ninh mạng và Cơ sở hạ tầng Mỹ (CISA) đã tiết lộ một lỗ hổng có thể bị khai thác để thao túng hoặc can thiệp vào hệ thống phanh của tàu hỏa. Đây có thể là nguyên nhân gây ra các sự cố mất an toàn nghiêm trọng cho ngành Đường sắt.

Tenable vừa phát hành bản cập nhật Agent 10.8.5 nhằm khắc phục ba lỗ hổng nghiêm trọng ảnh hưởng đến các hệ thống Windows, có thể bị khai thác bởi người dùng không có quyền quản trị để chiếm quyền SYSTEM mức đặc quyền cao nhất trong hệ thống.

Mozilla vừa phát hành bản cập nhật quan trọng Firefox 136.0.4 để khắc phục lỗ hổng bảo mật CVE-2025-2857. Đây là một lỗ hổng nghiêm trọng trong cơ chế quản lý Inter-Process Communication (IPC), cho phép kẻ tấn công vượt qua sandbox trên Firefox dành cho Windows. Bản cập nhật của Mozilla được phát hành chỉ vài ngày sau khi Google vá một lỗ hổng tương tự trong Chrome đang bị khai thác dưới dạng lỗ hổng zero-day.

Bản tin video An toàn thông tin số 127 gồm các tin sau: Cảnh báo về chiêu trò lừa đảo bằng cuộc gọi AI; Máy chủ Weblogic của Oracle đang bị khai thác tích cực; Rò rỉ dữ liệu 560 triệu khách hàng trên Ticketmaster; Mỹ cấm sử dụng phần mềm diệt virus Kaspersky; Điểm tin cập nhật bản vá lỗ hổng bảo mật tháng 6.

Một lỗ hổng bảo mật ở mức điểm nghiêm trọng tối đa đã được phát hiện trong bộ định tuyến TP-Link Archer C5400X gaming có thể dẫn đến việc thực thi mã từ xa trên các thiết bị bằng cách gửi các yêu cầu độc hại.

Qualcomm mới đây đã tiết lộ tổng cộng 12 lỗ hổng bảo mật mới ảnh hưởng đến nhiều chipset. Hai trong số đó được đánh giá là có mức độ nghiêm trọng.

Microsoft vừa phát hành bản vá lỗ hổng bảo mật tháng 7, nhằm khắc phục 1 lỗ hổng zero-day đang bị khai thác trong thực tế và 84 lỗ hổng khác. Trong số đó, 4 lỗ hổng được phân loại là nghiêm trọng vì có thể cho phép tin tặc thực thi mã từ xa.

Một nhóm các học giả từ 2 trường Đại học Ruhr Bochum (Đức) và Đại học New York Abu Dhabi (Tiểu vương quốc Ả Rập thống nhất) đã phát hiện các lỗ hổng bảo mật trong mạng 4G LTE và 5G có khả năng cho phép tin tặc mạo danh người dùng và trả tiền đăng ký thuê bao cho tin tặc.