Tin tức An ninh mạng tuần qua: Đạo luật An ninh Vệ tinh, lỗ hổng Chrome giá 90.000 USD và bắt giữ hacker thiếu niên

Bản tin tổng hợp hàng tuần của SecurityWeek cung cấp cái nhìn tổng quan ngắn gọn về các diễn biến quan trọng có thể không nhận được sự đưa bài đầy đủ nhưng vẫn có liên quan mật thiết đến bối cảnh mối đe dọa an ninh mạng rộng lớn hơn.

Tóm tắt được biên tập kỹ lưỡng này làm nổi bật các câu chuyện chính về việc công bố lỗ hổng, các phương thức tấn công mới, cập nhật chính sách, báo cáo ngành và các sự kiện đáng chú ý khác, giúp độc giả duy trì nhận thức toàn diện về môi trường an ninh mạng đang không ngừng thay đổi.

Dưới đây là những điểm nhấn của tuần này:

Tin tức An ninh mạng

Thượng viện Mỹ củng cố phòng thủ cho vệ tinh thương mại

Dự luật lưỡng đảng từ các Thượng nghị sĩ Gary Peters và John Cornyn gần đây đã vượt qua rào cản quan trọng của ủy ban để giúp các nhà khai thác vệ tinh chống lại tin tặc và các đối thủ nước ngoài. Đạo luật An ninh Vệ tinh năm 2025 (Satellite Cybersecurity Act of 2025) chỉ đạo Bộ Thương mại thiết lập một nguồn lực trung ương về các thực hành bảo mật tốt nhất và yêu cầu một nghiên cứu của GAO về các nỗ lực bảo vệ vệ tinh trước các mối đe dọa mạng. Động lực thúc đẩy sự bảo vệ mạnh mẽ hơn này xuất hiện khi các nghiên cứu chỉ ra rằng khoảng một nửa số tín hiệu vệ tinh thương mại vẫn chưa được mã hóa dù đang truyền tải dữ liệu nhạy cảm.

Cảnh sát tháo dỡ hạ tầng bộ công cụ phishing W3LL

Văn phòng Sở điều tra Liên bang (FBI) tại Atlanta và Cảnh sát Quốc gia Indonesia đã đóng cửa một hoạt động tội phạm mạng tinh vi, gây thiệt hại hơn 20 triệu USD thông qua nền tảng phishing-as-a-service tùy chỉnh. Nhà phát triển chính, được biết đến với biệt danh G.L., bị cáo buộc đã bán quyền truy cập vào bộ công cụ phishing W3LL và quản lý một thị trường giúp xâm phạm hơn 25.000 tài khoản.

Meta trang bị bộ công cụ kiểm thử cho các nhà nghiên cứu hàng đầu

Meta đã hợp tác với PortSwigger để cung cấp giấy phép Burp Suite Pro cho các nhà nghiên cứu bảo mật đạt hạng Bạc (Silver league) trên nền tảng tiền thưởng lỗi (bug bounty) của mình. Mục tiêu là giúp các nhà nghiên cứu nâng cao kỹ năng và săn lùng lỗ hổng hiệu quả và sáng tạo hơn.

Các lỗ hổng AWS RES cho phép thực thi lệnh và leo thang đặc quyền

Nhiều lỗ hổng trong AWS Research and Engineering Studio (RES) cho phép người dùng đã xác thực thực thi các lệnh tùy ý và leo thang đặc quyền. CVE-2026-5707 và CVE-2026-5709 xuất phát từ đầu vào chưa được khử trùng, cho phép chèn lệnh trên máy chủ máy tính để bàn ảo và các phiên bản EC2 cluster-manager, trong khi CVE-2026-5708 cho phép kẻ tấn công giả định quyền hạn của hồ sơ phiên bản thông qua các yêu cầu API được tạo độc hại. AWS đã khắc phục các vấn đề này trong phiên bản 2026.03.

Dropper GlassWorm lây lan qua các IDE của nhà phát triển

Một biến thể mới của GlassWorm sử dụng dropper gốc biên dịch bằng Zig được nhúng trong một tiện ích mở rộng OpenVSX độc hại mạo danh WakaTime, cho phép nó vượt qua tính năng sandboxing điển hình của tiện ích và thực thi với quyền truy cập hệ thống đầy đủ. Sau khi thực thi, nó quét tìm các IDE dựa trên VS Code (Visual Studio Code, Cursor, Windsurf, VSCodium và Positron) và cài đặt payload giai đoạn hai trên tất cả các môi trường được phát hiện.

Nhóm ShinyHunters nhắm mục tiêu vào Rockstar Games

Nhóm tác nhân đe dọa ShinyHunters đang đe dọa rò rỉ dữ liệu bị đánh cắp từ Rockstar Games bằng cách khai thác các token xác thực trong công cụ giám sát chi phí đám mây Anodot. Theo nhóm này, vụ vi phạm đã cung cấp quyền truy cập trái phép vào các phiên bản kho dữ liệu Snowflake của Rockstar. Rockstar Games đã xác nhận có sự lộ hạn chế thông tin phi vật chất thông qua một vụ vi phạm của bên thứ ba nhưng khẳng định hoạt động cốt lõi và dữ liệu người chơi không bị ảnh hưởng.

Lỗ hổng RCE nghiêm trọng trong ShowDoc đang bị khai thác

Các tác nhân đe dọa đang tích cực vũ khí hóa một lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng trong ShowDoc, một nền tảng tài liệu và cộng tác IT phổ biến tại Trung Quốc, để triển khai các web shell. Được theo dõi là CVE-2025-0520, lỗi này xuất phát từ cơ chế tải lên tệp không bị hạn chế không xác thực đúng các phần mở rộng tệp. Bản vá đã được phát hành trong phiên bản 2.8.7. Tình báo gần đây cho thấy hàng nghìn phiên bản vẫn đang bị lộ ra internet.

Cảnh sát bắt giữ thiếu niên sau vụ xâm nhập mạng giáo dục gây gián đoạn

Cảnh sát Bắc Ireland đã giam giữ một thiếu niên 16 tuổi liên quan đến một cuộc tấn công mạng nhắm vào hệ thống giáo dục C2k, hệ thống cung cấp các dịch vụ IT cốt lõi cho hầu hết các trường học trong khu vực. Cơ quan Giáo dục xác nhận rằng vụ vi phạm đã làm lộ dữ liệu cá nhân tại một số ít cơ sở giáo dục.

EPA tăng ngân sách an ninh mạng lên 19 triệu USD

Đề xuất ngân sách năm tài chính 2027 của Cơ quan Bảo vệ Môi trường (EPA) tăng đáng kể tài trợ cho an ninh thông tin và các biện pháp phòng thủ mạng cụ thể cho ngành nước để chống lại các mối đe dọa ngày càng tăng từ các tác nhân độc hại. Một sáng kiến chính bao gồm yêu cầu quyền hạn mới để tài trợ các khoản tài trợ an ninh mạng trong Chương trình Tài trợ Cơ sở hạ tầng Nước uống Hiện có, nhằm cụ thể giúp các hệ thống nước củng cố cơ sở hạ tầng của họ. Tổng ngân sách cho chương trình an ninh thông tin của cơ quan này dự kiến sẽ tăng gấp đôi lên 19,1 triệu USD.

ShinyHunters rò rỉ hàng triệu hồ sơ người dùng McGraw Hill

Nhóm tống tiền ShinyHunters đã rò rỉ dữ liệu liên quan đến 13,5 triệu tài khoản McGraw Hill sau khi khai thác môi trường Salesforce bị cấu hình sai. Bộ dữ liệu với tổng dung lượng hơn 100GB bao gồm địa chỉ email, tên, số điện thoại và địa chỉ vật lý. McGraw Hill, nhà cung cấp các giải pháp giáo dục, cho biết các hệ thống cốt lõi và dữ liệu nhạy cảm của họ không bị xâm phạm.

Lỗ hổng Chrome mang lại cho nhà nghiên cứu 90.000 USD

Google đã vá 31 lỗ hổng trong Chrome 147, bao gồm một lỗi tràn bộ nhớ đệm heap quan trọng trong thành phần đồ họa ANGLE được theo dõi là CVE-2026-6296, mang lại cho nhà nghiên cứu "Cinzinga" phần thưởng 90.000 USD. Bản cập nhật khắc phục nhiều vấn đề an toàn bộ nhớ có rủi ro cao như lỗi use-after-free và lỗi nhầm lẫn kiểu trên các thành phần như V8, PDFium và hệ thống con truyền thông.