-
09/04/2020
-
122
-
1.472 bài viết
Top 5 lỗ hổng nổi bật 2025: Khi điểm yếu hạ tầng trở thành vũ khí của kẻ tấn công
Năm 2025 cho thấy bức tranh an ninh mạng toàn cầu ngày càng phức tạp, không chỉ về quy mô mà còn về mức độ tác động. Chỉ trong 6 tháng đầu năm, hơn 21.500 lỗ hổng CVE đã được công bố, tăng khoảng 16–18% so với cùng kỳ năm 2024. Đáng lo ngại hơn, khoảng cách giữa thời điểm công bố và thời điểm bị khai thác ngoài thực tế gần như bị xóa nhòa, đẩy nhiều tổ chức vào thế bị động trước áp lực vá lỗi liên tục trong điều kiện nguồn lực hạn chế.
Tuy nhiên, rủi ro lớn nhất không nằm ở số lượng, mà ở chất lượng của những lỗ hổng nghiêm trọng nhất. Năm 2025 ghi nhận hàng loạt điểm yếu xuất hiện trực tiếp trên các thành phần hạ tầng cốt lõi như nền tảng AI, hệ điều hành, framework web và hệ thống tự động hóa quy trình. Trong bối cảnh đó, một số lỗ hổng nghiêm trọng đã vượt ra ngoài phạm vi cảnh báo kỹ thuật thông thường, trở thành điểm tựa cho các chiến dịch tấn công ngoài thực tế. Năm lỗ hổng dưới đây là những ví dụ tiêu biểu, phản ánh rõ cách kẻ tấn công tận dụng các điểm yếu cốt lõi của hệ thống trong năm 2025.
React2Shell, lỗ hổng CVSS 10.0 hiếm gặp trong hệ sinh thái React/Next.js
React2Shell, lỗ hổng có mã định danh CVE-2025-55182, là một lỗi thực thi mã từ xa tiền xác thực trong React Server Components, ảnh hưởng trực tiếp tới nhiều framework web phổ biến như Next.js và React Router. Do không yêu cầu đăng nhập và có thể khai thác trực tiếp qua mạng, lỗ hổng này nhanh chóng được đánh giá ở mức nghiêm trọng cao, đặc biệt trong bối cảnh React Server Components đang được triển khai rộng rãi trong các ứng dụng web hiện đại.
Nguyên nhân của lỗ hổng nằm ở cách React Server Components xử lý dữ liệu đầu vào tại các Server Function. Trong quá trình giải tuần tự payload từ yêu cầu HTTP, dữ liệu không được kiểm soát chặt chẽ, tạo điều kiện cho kẻ tấn công thao túng cấu trúc đối tượng JavaScript. Thông qua kỹ thuật ô nhiễm prototype, kẻ tấn công có thể gọi các hàm hệ thống của Node.js và thực thi mã với đặc quyền của tiến trình máy chủ.
Nguyên nhân của lỗ hổng nằm ở cách React Server Components xử lý dữ liệu đầu vào tại các Server Function. Trong quá trình giải tuần tự payload từ yêu cầu HTTP, dữ liệu không được kiểm soát chặt chẽ, tạo điều kiện cho kẻ tấn công thao túng cấu trúc đối tượng JavaScript. Thông qua kỹ thuật ô nhiễm prototype, kẻ tấn công có thể gọi các hàm hệ thống của Node.js và thực thi mã với đặc quyền của tiến trình máy chủ.
Việc khai thác React2Shell tương đối đơn giản, chỉ cần một yêu cầu HTTP duy nhất gửi tới endpoint Server Function để kích hoạt thực thi mã, không cần chuỗi tấn công phức tạp hay tương tác từ người dùng. Hậu quả có thể bao gồm đọc tệp tùy ý, truy cập biến môi trường chứa khóa API, thông tin xác thực dịch vụ đám mây và trong nhiều trường hợp là chiếm quyền kiểm soát hoàn toàn máy chủ ứng dụng.
Chỉ vài giờ sau khi lỗ hổng được công bố, các đợt quét và thử khai thác đã được ghi nhận từ hạ tầng liên quan đến những nhóm tin tặc. Palo Alto Networks cũng xác nhận hơn 30 tổ chức đã bị xâm phạm thông qua React2Shell, với các hoạt động khai thác tập trung vào thực thi lệnh từ xa và đánh cắp thông tin xác thực, cho thấy lỗ hổng này nhanh chóng trở thành điểm tựa cho các chiến dịch tấn công ngoài thực tế trong giai đoạn bản vá chưa được triển khai rộng rãi.
Langflow lỗ hổng RCE không cần xác thực trong nền tảng AI workflow
Langflow, lỗ hổng có mã định danh CVE-2025-3248 với điểm CVSS 9.8, là một lỗi thực thi mã từ xa không cần xác thực trong nền tảng xây dựng workflow cho các ứng dụng AI và LLM. Lỗ hổng đặc biệt nguy hiểm do Langflow thường được triển khai trực tiếp trên Internet phục vụ phát triển và thử nghiệm mô hình, nhưng thiếu các cơ chế kiểm soát truy cập mặc định.
Lỗ hổng bắt nguồn từ cách Langflow xử lý dữ liệu đầu vào trong quá trình cấu hình workflow. Thông qua các endpoint quản lý, kẻ tấn công có thể chèn payload độc hại vào luồng xử lý, từ đó kích hoạt thực thi mã tùy ý trên máy chủ mà không cần đăng nhập.
Lỗ hổng bắt nguồn từ cách Langflow xử lý dữ liệu đầu vào trong quá trình cấu hình workflow. Thông qua các endpoint quản lý, kẻ tấn công có thể chèn payload độc hại vào luồng xử lý, từ đó kích hoạt thực thi mã tùy ý trên máy chủ mà không cần đăng nhập.
Việc khai thác có thể được tự động hóa ở quy mô lớn, cho phép chiếm quyền kiểm soát máy chủ, truy cập dữ liệu huấn luyện, khóa API của mô hình AI và các biến môi trường nhạy cảm. Trong bối cảnh AI ngày càng được tích hợp sâu vào hệ thống doanh nghiệp, rủi ro không chỉ dừng ở hạ tầng mà còn ảnh hưởng trực tiếp tới dữ liệu và mô hình.
Ngay sau khi lỗ hổng được công bố, nhiều đợt quét diện rộng đã được ghi nhận nhằm tìm kiếm các instance Langflow phơi bày trên Internet. Điều này cho thấy các nền tảng AI non trẻ đang nhanh chóng trở thành mục tiêu ưu tiên của kẻ tấn công.
Microsoft SharePoint chuỗi lỗ hổng RCE ToolShell nhắm vào hạ tầng doanh nghiệp
Xuất hiện vào tháng 7 năm 2025, ToolShell là tên gọi nội bộ của một chuỗi lỗ hổng SharePoint được đánh giá thuộc nhóm nguy hiểm nhất trong năm, với trọng tâm là CVE-2025-53770, lỗi thực thi mã từ xa không cần xác thực ảnh hưởng tới SharePoint Server 2016, 2019 và SharePoint Subscription Edition triển khai on premises. Chỉ ít ngày sau khi được công bố, Microsoft và CISA đã xác nhận lỗ hổng đang bị khai thác ngoài thực tế, với các nạn nhân đã ghi nhận bao gồm cơ quan chính phủ và tổ chức tài chính.
Chuỗi khai thác ToolShell cho phép kẻ tấn công vượt qua xác thực, chiếm quyền điều khiển máy chủ SharePoint và mở rộng phạm vi tấn công sang hạ tầng nội bộ. Do SharePoint thường đóng vai trò trung tâm lưu trữ và chia sẻ dữ liệu trong doanh nghiệp, mức độ ảnh hưởng của lỗ hổng này mang tính lan tỏa và đặc biệt nghiêm trọng.
Microsoft cho biết CVE-2025-53770 và CVE-2025-53771 có liên hệ trực tiếp tới các lỗ hổng từng được trình diễn tại Pwn2Own Berlin, cho thấy đây không phải sự cố đơn lẻ mà phản ánh một vấn đề thiết kế mang tính hệ thống trong kiến trúc SharePoint.
Microsoft cho biết CVE-2025-53770 và CVE-2025-53771 có liên hệ trực tiếp tới các lỗ hổng từng được trình diễn tại Pwn2Own Berlin, cho thấy đây không phải sự cố đơn lẻ mà phản ánh một vấn đề thiết kế mang tính hệ thống trong kiến trúc SharePoint.
Sudo lỗ hổng leo thang đặc quyền qua tùy chọn chroot
Lỗ hổng CVE-2025-32463 trong sudo được phát hiện và công bố vào đầu tháng 10 năm 2025, nhanh chóng trở thành một trong những lỗi leo thang đặc quyền nghiêm trọng nhất trên các hệ thống Unix và Linux trong năm. Đây là lỗ hổng leo thang đặc quyền tồn tại trong sudo, công cụ kiểm soát truy cập nền tảng được sử dụng gần như mặc định trên hầu hết các bản phân phối Linux và Unix, với điểm CVSS dao động từ 7.8 đến 9.3 tùy theo nhánh phiên bản. Lỗ hổng cho phép người dùng có đặc quyền thấp nâng quyền trực tiếp lên root trong nhiều kịch bản khai thác phổ biến.
Nguyên nhân của vấn đề bắt nguồn từ cách sudo xử lý đường dẫn và tài nguyên khi sử dụng tùy chọn chroot. Trong một số phiên bản bị ảnh hưởng, sudo thực hiện phân giải đường dẫn bên trong môi trường chroot trước khi các cơ chế kiểm tra bảo mật được áp dụng đầy đủ. Điều này tạo ra kẽ hở để kẻ tấn công chèn tệp cấu hình hoặc thư viện độc hại vào luồng xử lý, phá vỡ các giả định an toàn vốn có của cơ chế chroot.
Đáng chú ý, việc khai thác CVE-2025-32463 không đòi hỏi kỹ thuật phức tạp hay chuỗi tấn công tinh vi. Chỉ cần có quyền truy cập cục bộ với đặc quyền thấp, một tình huống thường gặp sau các vụ phishing hoặc lộ thông tin đăng nhập, kẻ tấn công đã có thể chiếm toàn quyền kiểm soát hệ thống trong thời gian ngắn. Chính tính dễ khai thác này khiến mức độ rủi ro của lỗ hổng được đánh giá cao hơn đáng kể.
Trong bối cảnh sudo hiện diện gần như mặc định trên mọi môi trường máy chủ, container và hạ tầng cloud, CVE-2025-32463 nhanh chóng được đưa vào danh sách ưu tiên vá của nhiều tổ chức, nhà cung cấp dịch vụ và cơ quan an ninh mạng, trở thành một điểm nóng nổi bật trong bức tranh lỗ hổng bảo mật năm 2025.
n8n lỗ hổng RCE nghiêm trọng trong nền tảng tự động hóa quy trình
Xuất hiện vào nửa cuối tháng 12/2025, CVE-2025-68613 là một lỗ hổng thực thi mã từ xa nghiêm trọng trong n8n, nền tảng tự động hóa workflow phổ biến, với điểm CVSS 9.9. Lỗ hổng cho phép thực thi mã với đặc quyền của tiến trình n8n trong những kịch bản cấu hình không hiếm gặp.
Nguồn gốc của lỗ hổng nằm ở cách n8n xử lý các biểu thức do người dùng cung cấp khi xây dựng workflow. Trong một số điều kiện, các biểu thức này được đánh giá trong môi trường không được cô lập đầy đủ, tạo điều kiện cho việc chèn và thực thi mã tùy ý.
Khai thác thành công có thể dẫn tới chiếm quyền kiểm soát toàn bộ instance n8n, truy cập dữ liệu nhạy cảm, sửa đổi workflow và thực hiện các thao tác ở cấp hệ điều hành. Do n8n thường đóng vai trò kết nối nhiều hệ thống khác nhau, tác động của lỗ hổng có thể lan rộng sang các dịch vụ liên quan.
Sau khi lỗ hổng được công bố, số lượng lớn instance n8n phơi bày trên Internet đã buộc cộng đồng phải khẩn trương vá lỗi và siết chặt quyền cấu hình. Theo nền tảng quản lý bề mặt tấn công Censys, tính đến cuối tháng 12/2025 đã ghi nhận hơn 103.000 instance n8n có khả năng bị ảnh hưởng, tập trung chủ yếu tại Mỹ, Đức, Pháp, Brazil và Singapore. Đáng chú ý, Việt Nam cũng nằm trong nhóm các quốc gia có số lượng hệ thống phơi bày tương đối lớn, với gần 2.900 instance tiềm ẩn nguy cơ bị khai thác.doanh nghiệp hiện đại.
Nguồn gốc của lỗ hổng nằm ở cách n8n xử lý các biểu thức do người dùng cung cấp khi xây dựng workflow. Trong một số điều kiện, các biểu thức này được đánh giá trong môi trường không được cô lập đầy đủ, tạo điều kiện cho việc chèn và thực thi mã tùy ý.
Khai thác thành công có thể dẫn tới chiếm quyền kiểm soát toàn bộ instance n8n, truy cập dữ liệu nhạy cảm, sửa đổi workflow và thực hiện các thao tác ở cấp hệ điều hành. Do n8n thường đóng vai trò kết nối nhiều hệ thống khác nhau, tác động của lỗ hổng có thể lan rộng sang các dịch vụ liên quan.
Sau khi lỗ hổng được công bố, số lượng lớn instance n8n phơi bày trên Internet đã buộc cộng đồng phải khẩn trương vá lỗi và siết chặt quyền cấu hình. Theo nền tảng quản lý bề mặt tấn công Censys, tính đến cuối tháng 12/2025 đã ghi nhận hơn 103.000 instance n8n có khả năng bị ảnh hưởng, tập trung chủ yếu tại Mỹ, Đức, Pháp, Brazil và Singapore. Đáng chú ý, Việt Nam cũng nằm trong nhóm các quốc gia có số lượng hệ thống phơi bày tương đối lớn, với gần 2.900 instance tiềm ẩn nguy cơ bị khai thác.doanh nghiệp hiện đại.
Tạm kết
Năm lỗ hổng được phân tích trong bài cho thấy một thực tế đáng lo ngại, chỉ cần một điểm yếu nghiêm trọng xuất hiện trên các thành phần hạ tầng cốt lõi, toàn bộ hệ thống có thể nhanh chóng trở thành mục tiêu bị khai thác ở quy mô lớn. Từ AI workflow, framework web hiện đại cho tới công cụ quản trị hệ điều hành và nền tảng tự động hóa doanh nghiệp, các lỗ hổng của năm 2025 đều phản ánh xu hướng kẻ tấn công ưu tiên khai thác những điểm tựa có khả năng tạo tác động dây chuyền, thay vì các lỗi nhỏ lẻ, rời rạc.
Bước sang năm 2026, thách thức lớn nhất với các tổ chức không còn là phát hiện thêm bao nhiêu CVE mới, mà là khả năng phản ứng trước những lỗ hổng có tốc độ bị khai thác gần như tức thời sau khi công bố. Khi bề mặt tấn công tiếp tục mở rộng cùng sự phát triển của AI, low-code và automation, việc chỉ dựa vào vá lỗi theo chu kỳ sẽ ngày càng tỏ ra không đủ. Thay vào đó, quản lý rủi ro kiến trúc, kiểm soát quyền truy cập và giám sát chủ động bề mặt tấn công sẽ trở thành yếu tố quyết định khả năng đứng vững của hệ thống trước làn sóng tấn công tiếp theo.
Bước sang năm 2026, thách thức lớn nhất với các tổ chức không còn là phát hiện thêm bao nhiêu CVE mới, mà là khả năng phản ứng trước những lỗ hổng có tốc độ bị khai thác gần như tức thời sau khi công bố. Khi bề mặt tấn công tiếp tục mở rộng cùng sự phát triển của AI, low-code và automation, việc chỉ dựa vào vá lỗi theo chu kỳ sẽ ngày càng tỏ ra không đủ. Thay vào đó, quản lý rủi ro kiến trúc, kiểm soát quyền truy cập và giám sát chủ động bề mặt tấn công sẽ trở thành yếu tố quyết định khả năng đứng vững của hệ thống trước làn sóng tấn công tiếp theo.