Khẩn cấp: Bộ đôi lỗ hổng Zero-Day trên Cisco ASA đang bị tấn công; CISA ban hành chỉ thị khẩn cấp

Cisco đang kêu gọi khách hàng vá hai lỗ hổng bảo mật ảnh hưởng đến máy chủ web VPN của Cisco Secure Firewall Adaptive Security Appliance (ASA) Software và Cisco Secure Firewall Threat Defense (FTD) Software, mà hãng cho biết đã bị khai thác trong thực tế.

Các lỗ hổng Zero-Day đang được đề cập được liệt kê dưới đây -

• CVE-2025-20333 (CVSS score: 9.9) - Một lỗ hổng xác thực đầu vào người dùng không đúng trong các yêu cầu HTTP(S) có thể cho phép kẻ tấn công từ xa đã xác thực với thông tin đăng nhập người dùng VPN hợp lệ thực thi mã tùy ý với quyền root trên một thiết bị bị ảnh hưởng bằng cách gửi các yêu cầu HTTP được tạo sẵn.
• CVE-2025-20362 (CVSS score: 6.5) - Một lỗ hổng xác thực đầu vào người dùng không đúng trong các yêu cầu HTTP(S) có thể cho phép kẻ tấn công từ xa chưa xác thực truy cập các điểm cuối URL bị hạn chế mà không cần xác thực bằng cách gửi các yêu cầu HTTP được tạo sẵn.

Cisco cho biết họ đã nắm được thông tin về "các nỗ lực khai thác" cả hai lỗ hổng này, nhưng không tiết lộ ai đứng sau các cuộc tấn công hay mức độ lan rộng của chúng. Người ta nghi ngờ rằng hai lỗ hổng này đang được kết hợp để bỏ qua xác thực và thực thi mã độc trên các thiết bị dễ bị tổn thương.

Hãng cũng ghi nhận sự hỗ trợ điều tra từ Australian Signals Directorate, Australian Cyber Security Centre (ACSC), Canadian Centre for Cyber Security, U.K. National Cyber Security Centre (NCSC) và U.S. Cybersecurity and Infrastructure Security Agency (CISA).

CISA Ban hành Chỉ thị Khẩn cấp ED 25-03

Trong một cảnh báo riêng biệt, CISA cho biết họ đang ban hành một chỉ thị khẩn cấp kêu gọi các cơ quan liên bang xác định, phân tích và giảm thiểu các nguy cơ bị xâm nhập ngay lập tức. Ngoài ra, cả hai lỗ hổng đã được thêm vào danh mục Known Exploited Vulnerabilities (KEV), cho các cơ quan 24 giờ để áp dụng các biện pháp giảm thiểu cần thiết.

"CISA nhận thức được một chiến dịch khai thác đang diễn ra bởi một advanced threat actor nhắm mục tiêu vào Cisco Adaptive Security Appliances (ASA)," cơ quan này lưu ý.

"Chiến dịch này diễn ra rộng rãi và liên quan đến việc khai thác các lỗ hổng Zero-Day để đạt được remote code execution không cần xác thực trên các ASA, cũng như thao túng read-only memory (ROM) để duy trì sự hiện diện sau khi khởi động lại và nâng cấp hệ thống. Hoạt động này gây ra rủi ro đáng kể cho các mạng lưới nạn nhân."

Cơ quan này cũng lưu ý rằng hoạt động này có liên quan đến một threat cluster được đặt tên là ArcaneDoor, trước đây được xác định là nhắm mục tiêu vào các thiết bị mạng perimeter từ một số nhà cung cấp, bao gồm Cisco, để phân phối các họ malware như Line Runner và Line Dancer. Hoạt động này được quy cho một threat actor có tên mã UAT4356 (còn gọi là Storm-1849).

"Threat actor này đã chứng minh khả năng sửa đổi ASA ROM thành công ít nhất từ đầu năm 2024," CISA nói thêm. "Những lỗ hổng Zero-Day này trong nền tảng Cisco ASA cũng có mặt trong các phiên bản cụ thể của Cisco Firepower. Secure Boot của các thiết bị Firepower sẽ phát hiện việc thao túng ROM đã được xác định."