-
09/04/2020
-
115
-
1.147 bài viết
Hơn 48.000 thiết bị Cisco đối mặt làn sóng tấn công từ ba lỗ hổng nghiêm trọng
Cisco đang đối mặt với làn sóng cảnh báo an ninh mạng khi liên tiếp ba lỗ hổng nghiêm trọng được phát hiện và khai thác trên các sản phẩm cốt lõi của hãng. Hai lỗ hổng ảnh hưởng đến tường lửa Adaptive Security Appliance (ASA) và Firepower Threat Defense (FTD), trong khi một lỗ hổng khác nằm trong hệ điều hành mạng IOS/IOS XE. Các lỗi này không chỉ cho phép kẻ tấn công chiếm quyền thiết bị mà còn đe dọa trực tiếp đến hạ tầng mạng doanh nghiệp và cơ quan chính phủ trên toàn thế giới.
CVE-2025-20333 là lỗ hổng thực thi mã từ xa, có điểm CVSS 9.8 và nằm trong ngữ cảnh tiến trình dịch vụ web của ASA/FTD. Khi nhận các yêu cầu HTTP(S) độc hại, tiến trình này có thể bị ghi đè bộ nhớ và buộc phải thực thi mã tùy ý trên hệ điều hành. Điều này đồng nghĩa với việc kẻ tấn công có khả năng chiếm toàn bộ quyền điều khiển, vô hiệu hóa các chính sách lọc lưu lượng, xóa dấu vết trong nhật ký và mở đường cho các cuộc tấn công xâm nhập sâu hơn vào hệ thống mạng.
Tiếp theo, CVE-2025-20362 thuộc dạng thiếu kiểm tra ủy quyền, với điểm CVSS 9.1. Lỗ hổng này đòi hỏi kẻ tấn công phải có thông tin đăng nhập hợp lệ, nhưng một khi điều kiện đó được thỏa mãn, chúng có thể leo thang đặc quyền và thực thi những lệnh nguy hiểm trên thiết bị. Bằng cách này, kẻ tấn công có thể nâng quyền từ tài khoản người dùng thông thường lên quyền quản trị, qua đó kiểm soát toàn bộ cấu hình và dữ liệu nhạy cảm.
Khi hai lỗ hổng này được khai thác kết hợp, nguy cơ càng trở nên nghiêm trọng. Tin tặc có thể dễ dàng vượt qua tuyến phòng thủ biên, tiếp cận dữ liệu quan trọng và di chuyển ngang trong mạng nội bộ để mở rộng phạm vi kiểm soát. Để giảm thiểu rủi ro, Cisco đã phát hành bản vá 9.18.1.18 nhằm khắc phục triệt để. Quản trị viên được khuyến nghị áp dụng bản vá ngay, đồng thời hạn chế truy cập quản trị chỉ từ các địa chỉ IP tin cậy, bật xác thực đa yếu tố, áp dụng mật khẩu mạnh, giám sát chặt chẽ nhật ký thiết bị và phân đoạn mạng đối với những tài sản quan trọng.
Đây là lỗ hổng tràn bộ đệm trên ngăn xếp với điểm CVSS khoảng 7.7. Khi bị tấn công, thiết bị có thể rơi vào trạng thái từ chối dịch vụ và tự động khởi động lại. Trong kịch bản nghiêm trọng hơn, kẻ tấn công có thông tin xác thực còn có thể thực thi mã từ xa với quyền root, gây tổn hại về tính toàn vẹn và sẵn sàng của hạ tầng mạng.
Nguyên nhân xuất phát từ cách SNMP agent xử lý dữ liệu trong gói SNMP được chế tác, cho phép gửi gói độc hại tới cổng UDP 161 để khai thác. Với SNMPv1 và v2c, community string yếu hoặc mặc định có thể bị lợi dụng; với SNMPv3, việc khai thác đòi hỏi thông tin đăng nhập hợp lệ nhưng nếu thành công sẽ dẫn tới quyền kiểm soát toàn diện thiết bị. Về mặt vận hành, nên sử dụng Access Control List để giới hạn lưu lượng SNMP chỉ vào các nguồn quản trị đáng tin cậy.
Cisco đã phát hành bản vá và khuyến nghị triển khai ngay. Quản trị viên nên tắt SNMP trên các thiết bị không cần thiết, chặn truy cập SNMP từ Internet, vô hiệu hóa SNMPv1/v2c và chuyển sang SNMPv3. Đồng thời cần thay đổi community string mặc định và giám sát lưu lượng đến cổng 161 để phát hiện dấu hiệu tấn công.
Việc cả ba lỗ hổng đều đang bị khai thác thực tế, cùng số lượng lớn thiết bị chưa vá trên toàn cầu, khiến nguy cơ trở thành nạn nhân của các cuộc tấn công leo thang rất cao. Các tổ chức, đặc biệt là những đơn vị phụ thuộc vào hạ tầng Cisco, cần khẩn trương rà soát hệ thống, áp dụng bản vá mới nhất và triển khai biện pháp bảo mật bổ sung để vá các lỗ hổng nguy hiểm này trước khi quá muộn.
Hai lỗ hổng nguy hiểm trong ASA và FTD Firewall
Cisco vừa phát đi cảnh báo khẩn về hai lỗ hổng nghiêm trọng trong các thiết bị tường lửa ASA và FTD. Đây là những sản phẩm được triển khai rộng rãi như tuyến phòng thủ biên cho doanh nghiệp và tổ chức, do đó bất kỳ sự cố nào cũng có thể kéo theo hậu quả lớn. Hai lỗ hổng này tồn tại trên các phiên bản trước Maintenance Release 9.18.1.18, khiến hàng chục nghìn hệ thống bị đặt vào tình thế rủi ro cao. Thống kê từ Shadowserver ghi nhận hơn 48.800 thiết bị ASA/FTD vẫn công khai trên Internet chưa được vá, qua đó tạo ra một bề mặt tấn công khổng lồ cho tin tặc lợi dụng.CVE-2025-20333 là lỗ hổng thực thi mã từ xa, có điểm CVSS 9.8 và nằm trong ngữ cảnh tiến trình dịch vụ web của ASA/FTD. Khi nhận các yêu cầu HTTP(S) độc hại, tiến trình này có thể bị ghi đè bộ nhớ và buộc phải thực thi mã tùy ý trên hệ điều hành. Điều này đồng nghĩa với việc kẻ tấn công có khả năng chiếm toàn bộ quyền điều khiển, vô hiệu hóa các chính sách lọc lưu lượng, xóa dấu vết trong nhật ký và mở đường cho các cuộc tấn công xâm nhập sâu hơn vào hệ thống mạng.
Tiếp theo, CVE-2025-20362 thuộc dạng thiếu kiểm tra ủy quyền, với điểm CVSS 9.1. Lỗ hổng này đòi hỏi kẻ tấn công phải có thông tin đăng nhập hợp lệ, nhưng một khi điều kiện đó được thỏa mãn, chúng có thể leo thang đặc quyền và thực thi những lệnh nguy hiểm trên thiết bị. Bằng cách này, kẻ tấn công có thể nâng quyền từ tài khoản người dùng thông thường lên quyền quản trị, qua đó kiểm soát toàn bộ cấu hình và dữ liệu nhạy cảm.
Khi hai lỗ hổng này được khai thác kết hợp, nguy cơ càng trở nên nghiêm trọng. Tin tặc có thể dễ dàng vượt qua tuyến phòng thủ biên, tiếp cận dữ liệu quan trọng và di chuyển ngang trong mạng nội bộ để mở rộng phạm vi kiểm soát. Để giảm thiểu rủi ro, Cisco đã phát hành bản vá 9.18.1.18 nhằm khắc phục triệt để. Quản trị viên được khuyến nghị áp dụng bản vá ngay, đồng thời hạn chế truy cập quản trị chỉ từ các địa chỉ IP tin cậy, bật xác thực đa yếu tố, áp dụng mật khẩu mạnh, giám sát chặt chẽ nhật ký thiết bị và phân đoạn mạng đối với những tài sản quan trọng.
Lỗ hổng SNMP trong hệ điều hành mạng IOS/IOS XE
Không chỉ dừng ở firewall, Cisco IOS và IOS XE cũng tồn tại lỗ hổng nghiêm trọng CVE-2025-20352 trong subsystem SNMP, đã được xác nhận khai thác ngoài thực tế.Đây là lỗ hổng tràn bộ đệm trên ngăn xếp với điểm CVSS khoảng 7.7. Khi bị tấn công, thiết bị có thể rơi vào trạng thái từ chối dịch vụ và tự động khởi động lại. Trong kịch bản nghiêm trọng hơn, kẻ tấn công có thông tin xác thực còn có thể thực thi mã từ xa với quyền root, gây tổn hại về tính toàn vẹn và sẵn sàng của hạ tầng mạng.
Nguyên nhân xuất phát từ cách SNMP agent xử lý dữ liệu trong gói SNMP được chế tác, cho phép gửi gói độc hại tới cổng UDP 161 để khai thác. Với SNMPv1 và v2c, community string yếu hoặc mặc định có thể bị lợi dụng; với SNMPv3, việc khai thác đòi hỏi thông tin đăng nhập hợp lệ nhưng nếu thành công sẽ dẫn tới quyền kiểm soát toàn diện thiết bị. Về mặt vận hành, nên sử dụng Access Control List để giới hạn lưu lượng SNMP chỉ vào các nguồn quản trị đáng tin cậy.
Cisco đã phát hành bản vá và khuyến nghị triển khai ngay. Quản trị viên nên tắt SNMP trên các thiết bị không cần thiết, chặn truy cập SNMP từ Internet, vô hiệu hóa SNMPv1/v2c và chuyển sang SNMPv3. Đồng thời cần thay đổi community string mặc định và giám sát lưu lượng đến cổng 161 để phát hiện dấu hiệu tấn công.
Việc cả ba lỗ hổng đều đang bị khai thác thực tế, cùng số lượng lớn thiết bị chưa vá trên toàn cầu, khiến nguy cơ trở thành nạn nhân của các cuộc tấn công leo thang rất cao. Các tổ chức, đặc biệt là những đơn vị phụ thuộc vào hạ tầng Cisco, cần khẩn trương rà soát hệ thống, áp dụng bản vá mới nhất và triển khai biện pháp bảo mật bổ sung để vá các lỗ hổng nguy hiểm này trước khi quá muộn.
Tổng hợp