CISA đã phát đi cảnh báo khẩn cấp về một lỗ hổng zero-day WhatsApp mới được phát hiện, hiện đang bị khai thác tích cực trong các cuộc tấn công. Lỗ hổng nghiêm trọng này đặt ra nguy cơ đáng kể cho người dùng toàn cầu, đặc biệt khi các tác nhân đe dọa, bao gồm những kẻ điều hành ransomware và tội phạm mạng khác, tìm cách lợi dụng điểm yếu trong các quy trình đồng bộ hóa thiết bị của ứng dụng.

Cảnh báo Khẩn cấp về CVE-2025-55177

Vào ngày 2 tháng 9 năm 2025, Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng (CISA) đã thêm lỗ hổng zero-day WhatsApp vào danh mục Các Lỗ hổng Đã bị Khai thác (KEV) của mình. Đây là một động thái nhấn mạnh mức độ nghiêm trọng và tính cấp bách của mối đe dọa. Lỗ hổng này được định danh là CVE-2025-55177 và có liên quan mật thiết đến các quy trình đồng bộ hóa thiết bị của WhatsApp.

CISA đã đặc biệt nhấn mạnh rằng các tổ chức liên bang và các cơ sở hạ tầng quan trọng cần ưu tiên vá lỗi trước thời hạn ngày 23 tháng 9 để giảm thiểu khả năng tiếp xúc với các cuộc tấn công tiềm tàng. Việc bổ sung CVE-2025-55177 vào danh mục KEV của CISA khẳng định rằng đây không chỉ là một lỗ hổng lý thuyết mà là một mối đe dọa thực tế, đã và đang bị lợi dụng.

Phân tích Kỹ thuật về Cơ chế Khai thác Lỗ hổng Zero-day

Bản chất của Lỗ hổng và CWE-863

Lỗ hổng cốt lõi của CVE-2025-55177 phát sinh từ một lỗi kiểm tra ủy quyền không chính xác (incorrect authorization check) trong tính năng liên kết thiết bị của WhatsApp. Điều này cho phép kẻ tấn công thao túng các tin nhắn đồng bộ hóa giữa các thiết bị được liên kết. Thay vì thiết bị của nạn nhân chỉ xử lý nội dung đáng tin cậy, nó có thể bị buộc phải xử lý nội dung độc hại từ các URL tùy ý do kẻ tấn công kiểm soát.

Cụ thể hơn, lỗ hổng này được liên kết với CWE-863, mô tả tình trạng kiểm tra quyền truy cập không chính xác (Incorrect Authorization). Tình trạng này phát sinh khi hệ thống không xác minh đầy đủ liệu một người dùng hoặc quy trình có được phép truy cập một tài nguyên cụ thể hay không. Trong trường hợp của lỗ hổng zero-day WhatsApp, kẻ tấn công có thể lạm dụng cơ chế đồng bộ hóa đa thiết bị của WhatsApp để tạo ra các bản cập nhật liên kết độc hại, vượt qua các kiểm tra bảo mật hiện có.

Kịch bản Tấn công và Tác động

Khả năng thao túng các tin nhắn đồng bộ hóa cho phép kẻ tấn công chèn mã độc hoặc liên kết lừa đảo vào luồng dữ liệu mà thiết bị của nạn nhân tin cậy. Điều này có thể được coi là bước đệm cho một cuộc xâm nhập mạng rộng lớn hơn, khiến người dùng đối mặt với các rủi ro nghiêm trọng như:

• Đánh cắp dữ liệu: Thông tin cá nhân, tin nhắn riêng tư, hoặc dữ liệu nhạy cảm khác có thể bị thu thập trái phép.
• Cài đặt mã độc: Kẻ tấn công có thể sử dụng lỗ hổng để cài đặt phần mềm độc hại (malware) lên thiết bị của nạn nhân, dẫn đến việc chiếm quyền điều khiển hoặc theo dõi hoạt động.
• Rủi ro gián điệp: Khai thác lỗ hổng có thể mở đường cho các hoạt động gián điệp, theo dõi liên tục các hoạt động của người dùng trên WhatsApp và các ứng dụng khác.
• Phishing và Payload Delivery: Các tác nhân đe dọa có thể vũ khí hóa lỗ hổng này cho các chiến dịch lừa đảo (phishing campaigns) hoặc để phân phối các payload độc hại thứ cấp một khi quyền truy cập ban đầu đã được thiết lập.

Các nhà nghiên cứu bảo mật đã cảnh báo rằng việc khai thác zero-day này không yêu cầu tương tác của nạn nhân trong tất cả các kịch bản, làm tăng đáng kể nguy cơ bảo mật bị xâm nhập âm thầm. Điều này có nghĩa là một người dùng có thể bị tấn công mà không hề hay biết, cho phép kẻ tấn công thiết lập chỗ đứng bền vững trên thiết bị mục tiêu.

Mặc dù cảnh báo của CISA chưa liên kết dứt khoát lỗ hổng zero-day WhatsApp này với các chiến dịch ransomware cụ thể, nhưng bản chất của cuộc tấn công mạng này khiến nó trở thành một mục tiêu có giá trị cao đối với các tác nhân đe dọa. Khả năng lây nhiễm mã độc hoặc chiếm quyền điều khiển thiết bị là cơ hội lớn cho các nhóm ransomware để mở rộng phạm vi hoạt động của chúng.

Biện pháp Khuyến nghị và Cập nhật Bảo mật

Meta Platforms, công ty chủ quản của WhatsApp, đã được kêu gọi phát hành các bản sửa lỗi ngay lập tức để khắc phục lỗ hổng CVE-2025-55177. Trong thời gian chờ đợi bản vá, các tổ chức và cá nhân được khuyến nghị thực hiện các bước sau để giảm thiểu rủi ro:

• Thực hiện hướng dẫn của Meta Platforms: Theo dõi và áp dụng các hướng dẫn giảm thiểu rủi ro do Meta Platforms cung cấp ngay khi chúng được công bố.
• Ngừng sử dụng phiên bản dễ bị tấn công: Nếu không có bản vá cụ thể, người dùng và tổ chức nên cân nhắc tạm thời ngừng sử dụng các phiên bản WhatsApp được xác định là dễ bị tấn công hoặc vô hiệu hóa tính năng liên kết thiết bị cho đến khi có bản cập nhật bảo mật đáng tin cậy.
• Giám sát hoạt động bất thường: Tăng cường giám sát các hoạt động mạng và thiết bị để phát hiện bất kỳ dấu hiệu xâm nhập hoặc hành vi đáng ngờ nào có thể liên quan đến việc khai thác zero-day này.
• Cảnh giác với các liên kết và tệp tin đáng ngờ: Luôn duy trì cảnh giác cao độ với các liên kết, tệp tin hoặc tin nhắn không mong muốn, đặc biệt từ các nguồn không xác định, ngay cả khi chúng xuất hiện trên WhatsApp.
• Thường xuyên cập nhật phần mềm: Đảm bảo rằng tất cả các ứng dụng và hệ điều hành trên thiết bị đều được cập nhật lên phiên bản mới nhất ngay khi có bản vá bảo mật.

Việc CISA đưa CVE-2025-55177 vào danh mục KEV của mình là một lời nhắc nhở rõ ràng về tính cấp bách của việc giải quyết mối đe dọa này. Với bằng chứng xác nhận về việc khai thác trong các cuộc tấn công đang diễn ra, các bước khắc phục và cập nhật bản vá nhanh chóng là vô cùng quan trọng để ngăn chặn các cuộc tấn công mạng quy mô lớn và bảo vệ an toàn thông tin cho hàng tỷ người dùng WhatsApp trên toàn thế giới.