MinhSec
Writer
Một nhà nghiên cứu bảo mật, Eric Daigle, đã phát hiện lỗ hổng SQL nghiêm trọng trong phần mềm theo dõi Catwatchful một dạng stalkerware hứa hẹn "không thể phát hiện" cho phép anh ta truy cập cơ sở dữ liệu chứa thông tin đăng nhập của 62.000 tài khoản người dùng, bao gồm cả tài khoản quản trị viên.
Sau khi thử nghiệm đăng nhập, Daigle nhận thấy Catwatchful gửi hai yêu cầu POST đến các máy chủ khác nhau. Trong đó, một máy chủ hoàn toàn không được bảo vệ, dẫn đến việc thông tin đăng nhập được lưu trữ dưới dạng văn bản thuần túy (plain text). Sau khi phối hợp cùng TechCrunch, Daigle đã xác định được người quản lý của Catwatchful và yêu cầu gỡ bỏ trang web, nhưng các trang web tạm thời vẫn được dựng lên để thay thế tên miền bị tịch thu, và Catwatchful chỉ vừa được khắc phục lỗi SQLI trong tuần này.
Stalkerware, hay phần mềm gián điệp, thường được cài lén bởi người thân hoặc chủ lao động để theo dõi nạn nhân. Số lượng cài đặt loại phần mềm này vẫn không ngừng tăng, dù các nhóm bảo mật liên tục xâm nhập, bóc trần.
Liên tiếp lỗ hổng nghiêm trọng: từ Chrome zero-day đến hệ sinh thái IDE
Google vừa phát hành bản vá khẩn cấp cho Chrome Desktop (Windows, Mac, Linux) để xử lý lỗ hổng zero-day CVE-2025-6554 (CVSS 8.1) trong engine V8, cho phép kẻ tấn công thực thi mã tùy ý chỉ với một trang HTML độc hại.
Xiaomi Mi Connect cũng dính CVE-2024-45347 (CVSS 9.6), lỗ hổng logic cho phép truy cập trái phép vào thiết bị của nạn nhân.
Trong khi đó, nhóm OX Security cảnh báo nhiều IDE phổ biến như VSCode, Visual Studio, IntelliJ IDEA có thể bị giả mạo chữ ký tiện ích mở rộng, khiến các tiện ích độc hại trông như "chính chủ". Giải pháp tạm thời: chỉ cài tiện ích từ marketplace chính thức.
Thêm một vụ ransomware và nhiều vụ rò rỉ y tế
Radix Foundation, một tổ chức hợp tác với các cơ quan chính phủ Thụy Sĩ, vừa bị tấn công ransomware. Chính phủ Thụy Sĩ xác nhận dữ liệu nội bộ chưa bị xâm nhập, nhưng chưa rõ số tài liệu chính phủ có thể đã lộ. Vụ việc gợi nhớ cuộc tấn công Play năm ngoái, khiến 65.000 tệp tin của chính phủ bị đánh cắp.
Tại Mỹ, công ty y tế Esse Health (St. Louis, Missouri) thông báo dữ liệu của 263.601 bệnh nhân, bao gồm tên, địa chỉ, ngày sinh và thông tin chăm sóc sức khỏe, có thể đã bị lộ sau vụ tấn công tháng 4. Hệ thống điện thoại của Esse cũng bị gián đoạn, dẫn đến hủy lịch hẹn.
Chương trình CVE kêu gọi cộng đồng bảo mật tham gia cải tổ
Chương trình quản lý lỗ hổng CVE đang đối mặt khủng hoảng khi từng suýt mất nguồn tài trợ, buộc Quốc hội Mỹ phải vào cuộc xem xét. Để cải thiện, CVE đã lập hai nhóm làm việc: nhóm nghiên cứu (cho các chuyên gia bảo mật) và nhóm người dùng (cho các tổ chức, cá nhân sử dụng hệ thống CVE). Mục tiêu là xây dựng chuẩn mực nghiên cứu, đảm bảo CVE phù hợp hơn với nhu cầu thực tế.
www.theregister.com
Sau khi thử nghiệm đăng nhập, Daigle nhận thấy Catwatchful gửi hai yêu cầu POST đến các máy chủ khác nhau. Trong đó, một máy chủ hoàn toàn không được bảo vệ, dẫn đến việc thông tin đăng nhập được lưu trữ dưới dạng văn bản thuần túy (plain text). Sau khi phối hợp cùng TechCrunch, Daigle đã xác định được người quản lý của Catwatchful và yêu cầu gỡ bỏ trang web, nhưng các trang web tạm thời vẫn được dựng lên để thay thế tên miền bị tịch thu, và Catwatchful chỉ vừa được khắc phục lỗi SQLI trong tuần này.
Stalkerware, hay phần mềm gián điệp, thường được cài lén bởi người thân hoặc chủ lao động để theo dõi nạn nhân. Số lượng cài đặt loại phần mềm này vẫn không ngừng tăng, dù các nhóm bảo mật liên tục xâm nhập, bóc trần.
Liên tiếp lỗ hổng nghiêm trọng: từ Chrome zero-day đến hệ sinh thái IDE
Google vừa phát hành bản vá khẩn cấp cho Chrome Desktop (Windows, Mac, Linux) để xử lý lỗ hổng zero-day CVE-2025-6554 (CVSS 8.1) trong engine V8, cho phép kẻ tấn công thực thi mã tùy ý chỉ với một trang HTML độc hại.
Xiaomi Mi Connect cũng dính CVE-2024-45347 (CVSS 9.6), lỗ hổng logic cho phép truy cập trái phép vào thiết bị của nạn nhân.
Trong khi đó, nhóm OX Security cảnh báo nhiều IDE phổ biến như VSCode, Visual Studio, IntelliJ IDEA có thể bị giả mạo chữ ký tiện ích mở rộng, khiến các tiện ích độc hại trông như "chính chủ". Giải pháp tạm thời: chỉ cài tiện ích từ marketplace chính thức.
Thêm một vụ ransomware và nhiều vụ rò rỉ y tế
Radix Foundation, một tổ chức hợp tác với các cơ quan chính phủ Thụy Sĩ, vừa bị tấn công ransomware. Chính phủ Thụy Sĩ xác nhận dữ liệu nội bộ chưa bị xâm nhập, nhưng chưa rõ số tài liệu chính phủ có thể đã lộ. Vụ việc gợi nhớ cuộc tấn công Play năm ngoái, khiến 65.000 tệp tin của chính phủ bị đánh cắp.
Tại Mỹ, công ty y tế Esse Health (St. Louis, Missouri) thông báo dữ liệu của 263.601 bệnh nhân, bao gồm tên, địa chỉ, ngày sinh và thông tin chăm sóc sức khỏe, có thể đã bị lộ sau vụ tấn công tháng 4. Hệ thống điện thoại của Esse cũng bị gián đoạn, dẫn đến hủy lịch hẹn.
Chương trình CVE kêu gọi cộng đồng bảo mật tham gia cải tổ
Chương trình quản lý lỗ hổng CVE đang đối mặt khủng hoảng khi từng suýt mất nguồn tài trợ, buộc Quốc hội Mỹ phải vào cuộc xem xét. Để cải thiện, CVE đã lập hai nhóm làm việc: nhóm nghiên cứu (cho các chuyên gia bảo mật) và nhóm người dùng (cho các tổ chức, cá nhân sử dụng hệ thống CVE). Mục tiêu là xây dựng chuẩn mực nghiên cứu, đảm bảo CVE phù hợp hơn với nhu cầu thực tế.
Stalkerware seller exposed by sloppy SQL security
Infosec In Brief: Also, Swiss ransomware posture looks like its cheese, the CVE Program wants YOU, more sus checks and more
www.theregister.com
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview