| Hạng mục | Nội dung |
|---|---|
| Chủ đề | CVE nổi bật trong tháng 5/2026 |
| Đơn vị | Khoa An toàn thông tin, FPT University Hòa Lạc |
| Ngày báo cáo | 30/05/2026 |
| Phạm vi | Các lỗ hổng có mức độ nghiêm trọng cao, có khai thác thực tế, có PoC công khai hoặc ảnh hưởng đến hạ tầng trọng yếu |
| Nguồn tham khảo | BleepingComputer, Help Net Security, Rapid7, Cisco Talos, CrowdStrike, CISA KEV |
1. Tổng quan chung
Tháng 5/2026 ghi nhận nhiều lỗ hổng nghiêm trọng ảnh hưởng đến các nền tảng hạ tầng quan trọng như Cisco Catalyst SD WAN, Microsoft Defender, Windows Hyper V, Azure Entra ID, nginx và FortiClient EMS. Điểm đáng chú ý là Microsoft Patch Tuesday ngày 12/05/2026 đã vá 120 CVE, trong đó có 17 lỗ hổng Critical. Tại thời điểm phát hành bản vá, không ghi nhận zero day nào đang bị khai thác công khai. Tuy nhiên, trong nửa sau của tháng, một số lỗ hổng đã được CISA đưa vào danh sách Known Exploited Vulnerabilities do có bằng chứng khai thác thực tế.
Nhìn tổng thể, các rủi ro nổi bật trong tháng tập trung vào năm nhóm chính: bypass xác thực, leo thang đặc quyền cục bộ, từ chối dịch vụ, giả mạo danh tính và thực thi mã từ xa. Các tổ chức đang vận hành hệ thống SD WAN, endpoint protection, reverse proxy, hệ thống ảo hóa hoặc nền tảng quản lý endpoint cần ưu tiên rà soát và vá lỗi theo mức độ phơi nhiễm thực tế.
| Nội dung | Thông tin chính |
|---|---|
| Tháng báo cáo | 05/2026 |
| Số CVE Microsoft vá trong Patch Tuesday | 120 |
| Số CVE Critical của Microsoft | 17 |
| Zero day tại ngày phát hành Patch Tuesday | Không ghi nhận |
| CVE được đưa vào CISA KEV sau đó | Cisco SD WAN và hai lỗ hổng Microsoft Defender |
| Nhóm rủi ro chính | Authentication bypass, privilege escalation, denial of service, spoofing, remote code execution |
2. Bảng tổng hợp CVE nổi bật
Bảng dưới đây tóm tắt các CVE quan trọng nhất trong tháng. Thứ tự chưa phải là thứ tự vá lỗi tuyệt đối, nhưng phản ánh các lỗ hổng có mức độ ảnh hưởng cao, có khả năng bị khai thác hoặc đã có bằng chứng khai thác trong thực tế.
| CVE | Sản phẩm | CVSS | Loại lỗi | Trạng thái | Mức ưu tiên |
|---|---|---|---|---|---|
| CVE 2026 20182 | Cisco Catalyst SD WAN | 10.0 | Authentication bypass | Đã vá, có trong CISA KEV | Rất cao |
| CVE 2026 41091 | Microsoft Defender MPE | 7.8 | Local privilege escalation | Đã vá, có trong CISA KEV | Cao |
| CVE 2026 45498 | Microsoft Defender Platform | 7.5 | Denial of service | Đã vá, có trong CISA KEV | Cao |
| CVE 2026 40402 | Windows Hyper V | 9.3 | Elevation of privilege | Patch Tuesday 12/05 | Cao |
| CVE 2026 40379 | Azure Entra ID ESTS | 9.3 | Spoofing | Patch Tuesday 12/05 | Cao |
| CVE 2026 42945 | nginx | 9.8 | Heap buffer overflow dẫn đến RCE | Có PoC công khai | Rất cao |
| CVE 2026 35616 | FortiClient EMS | 9.8 | Improper access control dẫn đến RCE | Có hotfix khẩn cấp | Rất cao |
3. Nhóm lỗ hổng đã bị khai thác thực tế
Nhóm lỗ hổng cần được ưu tiên cao nhất là các CVE đã có bằng chứng khai thác thực tế. Đây là nhóm không nên chỉ đánh giá theo điểm CVSS, mà cần đánh giá theo khả năng attacker có thể tiếp cận hệ thống, khả năng lan rộng sau khai thác và mức độ ảnh hưởng đến control plane, endpoint protection hoặc server quản trị.
CVE 2026 20182 ảnh hưởng đến Cisco Catalyst SD WAN. Lỗi nằm trong dịch vụ vdaemon, thành phần quản lý control plane của SD WAN fabric. Khi peer khai báo kiểu thiết bị là vHub, hệ thống bỏ qua bước xác minh certificate nhưng vẫn đánh dấu phiên kết nối là authenticated. Điều này tạo ra authentication bypass ở lớp điều khiển. Sau khi vượt qua bước xác thực, attacker có thể truy cập NETCONF qua SSH port 830 và thay đổi cấu hình SD WAN fabric. Hậu quả có thể bao gồm thay đổi routing table, TLOC và policy. Đây là lỗ hổng đặc biệt nghiêm trọng vì tác động trực tiếp đến năng lực điều khiển mạng diện rộng.
Hai lỗ hổng CVE 2026 41091 và CVE 2026 45498 ảnh hưởng đến Microsoft Defender. CVE 2026 41091 cho phép attacker đã có tài khoản cục bộ leo thang đặc quyền lên SYSTEM thông qua lỗi xử lý symbolic link. CVE 2026 45498 cho phép làm gián đoạn hoạt động của Defender, từ đó hỗ trợ attacker vô hiệu hóa lớp phòng vệ trước khi triển khai payload chính. Hai lỗi này cần được nhìn như một chuỗi hỗ trợ tấn công endpoint, trong đó một lỗi phục vụ privilege escalation, lỗi còn lại phục vụ defense evasion.
CVE 2026 35616 ảnh hưởng đến FortiClient EMS. Đây là lỗ hổng improper access control cho phép attacker không cần xác thực gửi request đặc biệt để thực thi lệnh tùy ý trên server. Rủi ro tăng cao nếu FortiClient EMS được public ra Internet hoặc được triển khai trong mạng quản trị có quyền điều phối endpoint.
| CVE | Sản phẩm | Cơ chế lỗi | Hậu quả | Hành động cần làm |
|---|---|---|---|---|
| CVE 2026 20182 | Cisco Catalyst SD WAN Controller và SD WAN Manager | Bỏ qua xác minh certificate khi peer khai báo kiểu thiết bị vHub | Thay đổi cấu hình SD WAN fabric, can thiệp routing và policy | Nâng phiên bản ngay, không có workaround |
| CVE 2026 41091 | Microsoft Defender Malware Protection Engine | Symbolic link được phân giải trước khi kiểm tra quyền truy cập | Leo thang đặc quyền lên SYSTEM | Kiểm tra engine version và bảo đảm đã cập nhật |
| CVE 2026 45498 | Microsoft Defender Platform | Lỗi trong Antimalware Platform có thể bị kích hoạt từ xa | Defender bị crash hoặc mất khả năng bảo vệ | Kiểm tra platform version và bảo đảm đã cập nhật |
| CVE 2026 35616 | FortiClient EMS | Kiểm soát truy cập sai, cho phép request không xác thực | Thực thi lệnh tùy ý trên server | Nâng cấp lên v7.4.7 hoặc áp dụng hotfix |
4. Nhóm CVE Critical trong Microsoft Patch Tuesday
Bên cạnh các lỗ hổng đã bị khai thác thực tế, Microsoft Patch Tuesday tháng 5/2026 cũng có một số CVE Critical cần được ưu tiên trong môi trường doanh nghiệp. Hai lỗ hổng đáng chú ý là CVE 2026 40402 trong Windows Hyper V và CVE 2026 40379 trong Azure Entra ID ESTS.
CVE 2026 40402 là lỗi use after free trong Hyper V. Trong kịch bản phổ biến, lỗi này có thể dẫn đến từ chối dịch vụ trên host. Tuy nhiên, trong môi trường cloud, shared hosting hoặc hệ thống nhiều tenant, rủi ro cần được đánh giá nghiêm túc hơn vì một guest VM có thể tác động đến host. Các tổ chức vận hành hạ tầng ảo hóa dùng chung cần ưu tiên vá các host chứa workload quan trọng hoặc workload của nhiều đơn vị khác nhau.
CVE 2026 40379 ảnh hưởng đến Azure Entra ID ESTS, thành phần phát token trung tâm trong hệ sinh thái Entra ID. Lỗ hổng liên quan đến exposure of sensitive information và spoofing. Rủi ro chính nằm ở khả năng attacker lợi dụng luồng xác thực để giả mạo người dùng hoặc service, đặc biệt khi kết hợp với phishing. Các hệ thống sử dụng Entra ID cho SSO cần rà soát lại conditional access, MFA, sign in log và các cảnh báo liên quan đến token.
| CVE | Thành phần | Loại lỗi | Kịch bản rủi ro | Đối tượng cần ưu tiên |
|---|---|---|---|---|
| CVE 2026 40402 | Windows Hyper V | Use after free | Guest VM có thể gây ảnh hưởng đến host, phổ biến là DoS | Cloud, shared hosting, môi trường nhiều tenant |
| CVE 2026 40379 | Azure Entra ID ESTS | Exposure of sensitive information, spoofing | Có thể hỗ trợ giả mạo danh tính qua luồng xác thực | Hệ thống dùng Entra ID SSO, SaaS, tài khoản đặc quyền |
5. Chuỗi khai thác liên quan đến nginx trên Linux
CVE 2026 42945 là một trong các lỗ hổng đáng chú ý nhất trên nền tảng Linux trong tháng. Lỗi nằm trong ngx_http_rewrite_module của nginx và có bản chất là heap buffer overflow. Attacker có thể gửi HTTP request được thiết kế đặc biệt đến port 80 hoặc 443 để đạt remote code execution trong worker process của nginx.
Điểm nguy hiểm của CVE này không chỉ nằm ở RCE ban đầu. Theo phân tích trong tài liệu, lỗi có thể được kết hợp với một lỗi local privilege escalation trong Linux kernel module algif_aead để tạo thành chuỗi khai thác hoàn chỉnh: nginx RCE → kernel LPE → root. Điều này khiến các instance nginx public, đặc biệt là nginx đứng trước workload quan trọng, cần được ưu tiên vá sớm.
| Thành phần | Nội dung |
|---|---|
| CVE chính | CVE 2026 42945 |
| Sản phẩm | nginx |
| Module bị ảnh hưởng | ngx_http_rewrite_module |
| Loại lỗi | Heap buffer overflow |
| Điều kiện khai thác | Có network path đến port 80 hoặc 443 |
| Hậu quả ban đầu | Remote code execution trong worker process |
| Chuỗi tấn công | nginx RCE → Linux kernel LPE → root |
| Mức độ đáng lo ngại | Có PoC công khai, không cần xác thực, phù hợp để tấn công workload quan trọng |
6. Thứ tự ưu tiên xử lý
Việc ưu tiên vá lỗi không nên chỉ dựa trên CVSS. Một lỗ hổng có CVSS thấp hơn nhưng đã bị khai thác thực tế vẫn cần được xử lý trước một lỗ hổng có CVSS cao nhưng chưa có exposure thực tế trong môi trường của tổ chức. Với dữ liệu tháng 5/2026, thứ tự ưu tiên nên tập trung trước vào các hệ thống public, hệ thống điều khiển mạng, hệ thống quản lý endpoint và các thành phần có khả năng mở đường cho attacker kiểm soát sâu hơn.
| Thứ tự | CVE hoặc nhóm CVE | Lý do ưu tiên | Khuyến nghị xử lý |
|---|---|---|---|
| 1 | CVE 2026 20182 | CVSS 10.0, có khai thác thực tế, ảnh hưởng control plane của Cisco SD WAN | Nâng phiên bản ngay |
| 2 | CVE 2026 35616 | Unauthenticated RCE trên FortiClient EMS, có hotfix khẩn cấp | Rà soát exposure Internet, nâng cấp hoặc áp dụng hotfix |
| 3 | CVE 2026 42945 | nginx RCE, CVSS 9.8, có PoC công khai | Vá các instance nginx public và nginx bảo vệ workload quan trọng |
| 4 | CVE 2026 41091 và CVE 2026 45498 | Defender bị khai thác để leo thang đặc quyền và vô hiệu hóa phòng vệ endpoint | Kiểm tra engine version và platform version |
| 5 | CVE 2026 40402 | Ảnh hưởng Hyper V, rủi ro cao trong môi trường cloud và shared hosting | Ưu tiên vá host ảo hóa dùng chung |
| 6 | CVE 2026 40379 | Ảnh hưởng Entra ID ESTS, có thể hỗ trợ spoofing | Rà soát SSO, conditional access, MFA và sign in log |
7. Hành động đề xuất cho đội vận hành
Đội vận hành cần chuyển danh sách CVE thành các đầu việc có thể kiểm chứng. Mỗi hành động cần có bằng chứng sau xử lý, ví dụ version sau nâng cấp, log cập nhật, danh sách node đã vá, kết quả scan lại hoặc ảnh chụp cấu hình. Cách làm này giúp biến hoạt động vá lỗi từ phản ứng kỹ thuật đơn lẻ thành quy trình quản trị rủi ro có khả năng kiểm toán.
| Nhóm hệ thống | Việc cần làm | Bằng chứng cần thu thập | Thời hạn đề xuất |
|---|---|---|---|
| Cisco SD WAN | Kiểm tra vSmart và vManage, nâng cấp theo advisory | Version sau nâng cấp, log thay đổi cấu hình, danh sách node đã vá | Ngay lập tức |
| Microsoft Defender | Xác minh Malware Protection Engine và Antimalware Platform đã đạt version vá | Engine version, platform version, trạng thái Windows Update | Trong 7 ngày |
| Windows Hyper V | Áp dụng bản vá Patch Tuesday tháng 5/2026 cho host ảo hóa | KB đã cài, danh sách host đã cập nhật, kết quả reboot nếu có | Trong 14 ngày với hệ thống quan trọng |
| Azure Entra ID | Rà soát SSO, conditional access, MFA và log đăng nhập bất thường | Conditional access policy, sign in log, alert liên quan token | Trong 14 ngày |
| nginx | Xác định instance public, kiểm tra version, vá hoặc thay thế bản bị ảnh hưởng | Version nginx, danh sách endpoint public, kết quả scan sau vá | Sớm nhất có thể |
| FortiClient EMS | Kiểm tra exposure Internet, nâng cấp v7.4.7 hoặc áp dụng hotfix | Version EMS, firewall rule, log truy cập bất thường | Ngay lập tức |
