CyberThao
Writer
Cisco vừa cảnh báo khách hàng về hai lỗ hổng zero-day nghiêm trọng ảnh hưởng đến máy chủ web VPN của Cisco Secure Firewall Adaptive Security Appliance (ASA) và Cisco Secure Firewall Threat Defense (FTD). Theo hãng, các lỗ hổng này đã bị khai thác trong thực tế.
Báo cáo còn ghi nhận sự phối hợp của Cục Tín hiệu Úc, ACSC, Trung tâm an ninh mạng Canada, NCSC (Anh) và Cơ quan An ninh mạng & Hạ tầng Hoa Kỳ (CISA).
Trong cảnh báo riêng, CISA ban hành chỉ thị khẩn cấp ED 25-03, yêu cầu các cơ quan liên bang nhanh chóng rà soát, phân tích và áp dụng biện pháp giảm thiểu trong vòng 24 giờ. Cả hai lỗ hổng cũng được thêm vào danh mục Lỗ hổng đã bị khai thác (KEV).
CISA cho biết một chiến dịch khai thác đang diễn ra, nhắm trực tiếp vào Cisco ASA. Kẻ tấn công sử dụng zero-day để thực thi mã từ xa không cần xác thực, thậm chí thao túng bộ nhớ ROM để duy trì quyền kiểm soát sau khi thiết bị khởi động lại hoặc nâng cấp. Đây là mối đe dọa lớn cho hạ tầng mạng nạn nhân.
Chiến dịch được liên kết với nhóm ArcaneDoor, từng tấn công thiết bị mạng ngoại vi của nhiều hãng, triển khai các phần mềm độc hại Line Runner và Line Dancer. CISA cho rằng nhóm này do tác nhân UAT4356 (còn gọi Storm-1849) điều hành.
Theo CISA, kẻ tấn công đã chứng minh khả năng sửa đổi ROM ASA ít nhất từ năm 2024. Một số phiên bản Cisco Firepower cũng bị ảnh hưởng, nhưng tính năng Secure Boot của thiết bị Firepower có thể phát hiện thao túng ROM.
Đọc chi tiết tại đây: https://thehackernews.com/2025/09/urgent-cisco-asa-zero-day-duo-under.html
Hai lỗ hổng zero-day bị nhắm đến
- CVE-2025-20333 (CVSS 9.9): Lỗi xác thực không đúng dữ liệu đầu vào trong yêu cầu HTTP(S). Kẻ tấn công từ xa có tài khoản VPN hợp lệ có thể thực thi mã tùy ý với quyền root bằng cách gửi yêu cầu HTTP thủ công.
- CVE-2025-20362 (CVSS 6.5): Lỗi xác thực dữ liệu đầu vào cho phép kẻ tấn công từ xa chưa xác thực truy cập các URL hạn chế mà không cần đăng nhập.
Báo cáo còn ghi nhận sự phối hợp của Cục Tín hiệu Úc, ACSC, Trung tâm an ninh mạng Canada, NCSC (Anh) và Cơ quan An ninh mạng & Hạ tầng Hoa Kỳ (CISA).
CISA phát chỉ thị giảm thiểu khẩn cấp
Trong cảnh báo riêng, CISA ban hành chỉ thị khẩn cấp ED 25-03, yêu cầu các cơ quan liên bang nhanh chóng rà soát, phân tích và áp dụng biện pháp giảm thiểu trong vòng 24 giờ. Cả hai lỗ hổng cũng được thêm vào danh mục Lỗ hổng đã bị khai thác (KEV).
CISA cho biết một chiến dịch khai thác đang diễn ra, nhắm trực tiếp vào Cisco ASA. Kẻ tấn công sử dụng zero-day để thực thi mã từ xa không cần xác thực, thậm chí thao túng bộ nhớ ROM để duy trì quyền kiểm soát sau khi thiết bị khởi động lại hoặc nâng cấp. Đây là mối đe dọa lớn cho hạ tầng mạng nạn nhân.
Chiến dịch được liên kết với nhóm ArcaneDoor, từng tấn công thiết bị mạng ngoại vi của nhiều hãng, triển khai các phần mềm độc hại Line Runner và Line Dancer. CISA cho rằng nhóm này do tác nhân UAT4356 (còn gọi Storm-1849) điều hành.
Theo CISA, kẻ tấn công đã chứng minh khả năng sửa đổi ROM ASA ít nhất từ năm 2024. Một số phiên bản Cisco Firepower cũng bị ảnh hưởng, nhưng tính năng Secure Boot của thiết bị Firepower có thể phát hiện thao túng ROM.
Đọc chi tiết tại đây: https://thehackernews.com/2025/09/urgent-cisco-asa-zero-day-duo-under.html
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview