Lido vừa tiết lộ một lỗ hổng bảo mật quan trọng trong cơ chế RageQuit của hệ thống Quản trị Kép (DG), may mắn là không có người dùng nào bị ảnh hưởng bởi sự cố này. Lỗ hổng được phát hiện thông qua sự hợp tác với nền tảng Immunefi, một công ty chuyên về bảo mật blockchain. Ngay sau khi phát hiện, Lido đã nhanh chóng triển khai các biện pháp giảm thiểu rủi ro để đảm bảo an toàn cho hệ thống.

Quản trị Kép là một phần quan trọng trong hoạt động của Lido, cho phép phân quyền quyết định và vận hành. Cơ chế RageQuit là một tính năng cho phép thực hiện các hành động cụ thể trong trường hợp có sự cố hoặc nguy cơ tiềm ẩn. Lido đã thừa nhận rằng sự sẵn sàng và tốc độ phản ứng của ủy ban khẩn cấp đã đóng vai trò quan trọng trong việc hạn chế rủi ro và bảo vệ hệ thống.

Để đối phó với lỗ hổng bảo mật này, Lido đã và đang thực hiện nhiều biện pháp khắc phục. Ủy ban khẩn cấp đang trong tư thế sẵn sàng để đề xuất, thử nghiệm và xem xét các giải pháp sửa chữa cần thiết. Lido cũng sẽ tiến hành một chương trình thử nghiệm trên mạng thử nghiệm Quản trị Kép để đảm bảo rằng các biện pháp khắc phục hiệu quả và không gây ra bất kỳ tác động tiêu cực nào.

Bên cạnh đó, Lido dự kiến sẽ tổ chức các cuộc bỏ phiếu trên chuỗi (on-chain) để triển khai các giải pháp sửa chữa cần thiết. Đây là một quy trình quan trọng để đảm bảo rằng mọi thay đổi được thực hiện một cách minh bạch và có sự đồng thuận từ cộng đồng.

Hiện tại, Lido đang thực hiện một cách toàn diện việc đánh giá và khắc phục lỗ hổng bảo mật. Sự cố này nhấn mạnh tầm quan trọng của việc liên tục kiểm tra và cải thiện các biện pháp bảo mật trong lĩnh vực blockchain và tiền mã hóa. Lido cam kết đảm bảo an toàn và bảo mật cho người dùng của mình, và đang nỗ lực hết mình để duy trì sự tin tưởng của cộng đồng.

Lido chính thức thông báo về sự cố và các biện pháp khắc phục trên trang web của mình. Người dùng có thể theo dõi các cập nhật mới nhất và chi tiết về quá trình khắc phục lỗ hổng bảo mật này.

Ngày 21/7, Microsoft đã phát hành một bản cập nhật khẩn cấp quan trọng để giải quyết hai lỗ hổng bảo mật nghiêm trọng trong nền tảng SharePoint, được xác định là CVE-2025-53770 và CVE-2025-53771. Đây là các lỗ hổng cho phép thực thi mã từ xa (RCE), một trong những loại tấn công nguy hiểm nhất, mà không yêu cầu xác thực trên các máy chủ SharePoint.

Hai lỗ hổng này được phát hiện trong cuộc thi tấn công mạng Pwn2Own tại Berlin hồi tháng 5. Các đội tham gia đã thành công trong việc khai thác chuỗi lỗ hổng ToolShell để kiểm soát hệ thống SharePoint. Mặc dù Microsoft đã phát hành bản vá sơ bộ trong đợt cập nhật tháng 7, nhưng các tin tặc nhanh chóng tìm ra cách vượt qua các lớp bảo vệ này và tiếp tục tấn công hệ thống.

Ước tính của công ty an ninh mạng Censys cho thấy có hơn 10.000 máy chủ SharePoint trên toàn cầu đang có nguy cơ bị xâm nhập, tập trung chủ yếu tại Mỹ, Hà Lan, Anh và Canada. Cơ quan An ninh mạng và Hạ tầng Hoa Kỳ (CISA) cảnh báo rằng các lỗ hổng này cho phép tin tặc truy cập hệ thống tệp, đọc cấu hình nội bộ và cài đặt mã độc từ xa mà không cần tài khoản đăng nhập.

Các chuyên gia từ Google Threat Intelligence mô tả đây là ‘truy cập không cần xác thực một cách liên tục’, trong khi Palo Alto Networks gọi đây là ‘mối đe dọa thực sự và hiện hữu’. Các chiến dịch tấn công hiện tại đang sử dụng các tệp độc hại như spinstall0.aspx và tấn công trực tiếp vào thư mục _layouts – đặc điểm thường thấy trong các đợt tấn công APT có chủ đích và quy mô lớn.

Microsoft đã cung cấp hướng dẫn khắc phục cụ thể cho từng phiên bản hệ thống SharePoint, bao gồm SharePoint Server 2019, SharePoint Server 2016 và SharePoint Subscription Edition. Quản trị viên cần cập nhật khóa máy, khởi động lại dịch vụ IIS trên tất cả máy chủ SharePoint và kiểm tra log hệ thống và nhật ký IIS để phát hiện truy cập trái phép.

Một số dấu hiệu cần lưu ý bao gồm xuất hiện tệp lạ tại đường dẫn C:Program FilesCommon FilesMicrosoft SharedWeb Server Extensions16TEMPLATELAYOUTSspinstall0.aspx và log IIS hiển thị các truy cập bất thường. Microsoft cũng cung cấp công cụ truy vấn trong Microsoft 365 Defender giúp phát hiện nhanh các mối đe dọa tiềm tàng liên quan đến ToolShell.

Quản trị viên hệ thống cần thực hiện ngay các biện pháp khắc phục để bảo vệ hệ thống SharePoint của mình khỏi các lỗ hổng bảo mật nghiêm trọng này. Bạn có thể tìm hiểu thêm thông tin về bản cập nhật và hướng dẫn khắc phục trên trang web của Microsoft.

CISA cũng khuyến nghị người dùng và quản trị viên nên cập nhật các bản vá lỗi mới nhất và thực hiện các biện pháp phòng ngừa để ngăn chặn các cuộc tấn công mạng. Thông tin thêm có thể được tìm thấy trên trang web của CISA.

Một lỗ hổng bảo mật nghiêm trọng trong phần mềm SharePoint của Microsoft đang gây ra những lo ngại sâu sắc trong cộng đồng an ninh mạng. Được biết đến với tên gọi ‘ToolShell’, lỗ hổng zero-day này có thể cho phép các tin tặc tấn công vào hệ thống của nhiều cơ quan chính phủ và doanh nghiệp đang sử dụng phần mềm này để chia sẻ tài liệu nội bộ.

Ông Adam Meyers, Phó Chủ tịch cấp cao của công ty an ninh mạng CrowdStrike, cho biết bất kỳ ai sở hữu máy chủ SharePoint được lưu trữ bên ngoài đều gặp phải vấn đề và đây là một lỗ hổng nghiêm trọng. Lỗ hổng này gây rủi ro cho các tổ chức có máy chủ SharePoint cài đặt tại chỗ, cho phép tin tặc truy cập đầy đủ vào các hệ thống tệp SharePoint, bao gồm cả các dịch vụ được kết nối như Teams và OneDrive.

Bộ phận Phân tích mối đe dọa an ninh mạng của Google cũng cảnh báo rằng lỗ hổng này có thể cho phép tin tặc vượt qua các bản vá trong tương lai. Điều này làm tăng mối lo ngại về việc các tổ chức có thể bị tấn công và phải đối mặt với những rủi ro bảo mật nghiêm trọng.

Microsoft xác nhận rằng dịch vụ SharePoint Online dựa trên đám mây của họ không bị ảnh hưởng bởi lỗ hổng này. Tuy nhiên, ông Michael Sikorski, Giám đốc Công nghệ và Trưởng bộ phận Phân tích mối đe dọa an ninh mạng của Đơn vị Nghiên cứu bảo mật Unit42 tại Palo Alto Networks, cảnh báo rằng lỗ hổng vẫn đang đặt nhiều tổ chức, cá nhân vào tầm ngắm của tin tặc.

Các tổ chức an ninh mạng quốc tế đã phát hiện ra cuộc tấn công quy mô lớn này đã xâm nhập hệ thống của khoảng 100 tổ chức khác nhau, bao gồm nhiều doanh nghiệp và cơ quan chính phủ. Hầu hết các tổ chức bị ảnh hưởng đều ở Mỹ và Đức, trong đó có cả các tổ chức chính phủ. Trung tâm An ninh mạng quốc gia Anh cũng tuyên bố đã nắm được thông tin về một số lượng hạn chế các mục tiêu ở nước này.

CISA khuyến nghị bất kỳ máy chủ nào bị ảnh hưởng bởi lỗ hổng này cần ngắt kết nối với internet cho đến khi chúng được vá bảo mật. Việc này nhằm mục đích ngăn chặn các cuộc tấn công và bảo vệ hệ thống của các tổ chức.

Để tìm hiểu thêm về lỗ hổng bảo mật này, bạn có thể tham khảo thông tin trên trang web của CrowdStrike và Palo Alto Networks. Các tổ chức và cá nhân cần nâng cao cảnh giác và thực hiện các biện pháp bảo mật cần thiết để bảo vệ hệ thống của mình.