Một lỗ hổng zero-day nghiêm trọng trong phần mềm Cisco Secure Firewall Adaptive Security Appliance (ASA) và Cisco Secure Firewall Threat Defense (FTD) đang bị khai thác tích cực. Lỗ hổng này cho phép kẻ tấn công thực thi mã từ xa với quyền root, gây ra rủi ro nghiêm trọng cho các hệ thống sử dụng phần mềm của Cisco.

CVE-2025-20333: Khai thác Lỗ hổng Zero-day nghiêm trọng trong Cisco Secure Firewall

Lỗ hổng này, được theo dõi dưới mã CVE-2025-20333, là một lỗi thực thi mã từ xa (remote code execution – RCE). Kẻ tấn công được xác thực có thể thực thi mã tùy ý với quyền root trên các thiết bị bị ảnh hưởng.

Cisco đã công bố khuyến cáo bảo mật vào ngày 25 tháng 9 năm 2025, khẩn cấp yêu cầu tất cả người dùng nâng cấp lên phiên bản phần mềm đã được vá lỗi. Hiện tại không có biện pháp khắc phục tạm thời (workaround) nào khả dụng cho lỗ hổng zero-day này.

Chi tiết kỹ thuật và Tác động của CVE-2025-20333

Cisco đã xác định nguyên nhân của vấn đề nằm trong thành phần máy chủ web VPN của phần mềm ASA và FTD. Lỗ hổng zero-day phát sinh do việc xác thực đầu vào do người dùng cung cấp trong các yêu cầu HTTP(S) không đúng cách.

Kẻ tấn công với thông tin xác thực VPN hợp lệ có thể gửi các yêu cầu được tạo riêng đến cổng web VPN. Hành động này sẽ kích hoạt quá trình thực thi mã từ xa.

Việc khai thác thành công lỗ hổng zero-day này cấp quyền root, dẫn đến việc chiếm quyền kiểm soát hệ thống hoàn toàn. Điều này có thể cho phép kẻ tấn công truy cập, sửa đổi hoặc phá hủy dữ liệu quan trọng.

CVE-2025-20362: Lỗ hổng truy cập trái phép

Ngoài lỗ hổng RCE nghiêm trọng, Cisco cũng báo cáo một lỗ hổng mức trung bình khác, CVE-2025-20362. Vấn đề này cho phép kẻ tấn công không cần xác thực truy cập các điểm cuối URL bị hạn chế mà không qua kiểm tra truy cập hợp lệ.

Mặc dù lỗ hổng này không trực tiếp dẫn đến thực thi mã, nó làm suy yếu các cơ chế kiểm soát truy cập. Điều này có thể đóng vai trò là bước đệm cho các cuộc tấn công phức tạp hơn hoặc thu thập thông tin.

Cả hai lỗ hổng, CVE-2025-20333 và CVE-2025-20362, đều có chung nguyên nhân gốc rễ liên quan đến xác thực đầu vào cho các dịch vụ HTTP(S). Điều này nhấn mạnh tầm quan trọng của việc kiểm tra đầu vào toàn diện để ngăn chặn các lỗ hổng zero-day tương tự.

Thiết bị và Cấu hình bị ảnh hưởng bởi Lỗ hổng Zero-day

Các thiết bị bị ảnh hưởng bao gồm bất kỳ hệ thống Cisco ASA hoặc Cisco FTD nào đang chạy phiên bản dễ bị tấn công. Điều kiện để dễ bị tấn công là khi tính năng webvpn hoặc truy cập từ xa AnyConnect IKEv2 được bật.

Các cấu hình cụ thể mở cổng nghe SSL cũng có nguy cơ đối với lỗ hổng zero-day này. Bao gồm các lệnh như crypto ikev2 enable <interface> client-services port <port_numbers> và webvpn enable <interface>.

• crypto ikev2 enable <interface> client-services port <port_numbers>: Lệnh này kích hoạt IKEv2 trên giao diện đã chọn và cấu hình các dịch vụ client trên các cổng được chỉ định, mở ra khả năng khai thác.
• webvpn enable <interface>: Lệnh này kích hoạt tính năng WebVPN trên giao diện đã chọn, cho phép truy cập VPN dựa trên trình duyệt, đây là thành phần chính của lỗ hổng zero-day.

Các cấu hình Cisco Secure Firewall Management Center (FMC) và Device Manager (FDM) cũng có thể làm lộ các thiết bị FTD. Điều này xảy ra nếu chúng kích hoạt VPN truy cập từ xa.

Cisco đã xác nhận rằng phần mềm Secure FMC Software không bị ảnh hưởng bởi các lỗ hổng zero-day đã nêu. Điều này giúp khoanh vùng các hệ thống cần chú ý.

Biện pháp Khắc phục và Khuyến nghị Cập nhật Bản vá

Cisco khuyến nghị khách hàng nâng cấp lên phiên bản phần mềm đã vá lỗi càng sớm càng tốt. Không có biện pháp khắc phục tạm thời nào có thể giảm thiểu hoàn toàn các lỗ hổng này, đặc biệt là lỗ hổng zero-dayCVE-2025-20333.

Để xác định các phiên bản bị ảnh hưởng và tìm bản phát hành đã sửa lỗi đầu tiên, khách hàng nên sử dụng Cisco Software Checker. Hướng dẫn nâng cấp và số phiên bản đã được vá lỗi có sẵn trong phần “Fixed Software” của khuyến cáo. Đây là bước quan trọng để cập nhật bản vá kịp thời.

Sau khi cập nhật bản vá, cần xem xét lại các cài đặt phát hiện mối đe dọa cho dịch vụ VPN. Điều này giúp bảo vệ chống lại các cuộc tấn công brute-force đăng nhập, các cuộc tấn công khởi tạo từ client và các kết nối dịch vụ không hợp lệ.

Hướng dẫn chi tiết về cấu hình phát hiện mối đe dọa VPN có thể tìm thấy trong Hướng dẫn cấu hình CLI của Cisco Secure Firewall ASA, dưới phần “Configure Threat Detection for VPN Services”.

Tổ chức Cisco PSIRT đang theo dõi các nỗ lực khai thác tích cực của lỗ hổng zero-day CVE-2025-20333. Đơn vị này khuyến khích việc vá lỗi nhanh chóng để giảm thiểu rủi ro.

Lỗ hổng này được phát hiện trong một trường hợp hỗ trợ của Cisco TAC và đang bị khai thác thực tế. Các nhóm bảo mật cần ưu tiên vá lỗi các thiết bị ASA và FTD để ngăn chặn nguy cơ chiếm quyền điều khiển hệ thống hoàn toàn từ cuộc tấn công remote code execution này.

Tài nguyên và Cập nhật từ Cisco

Thông tin chi tiết về các lỗ hổng này, bao gồm mã khuyến cáo cisco-sa-asaftd-webvpn-z5xP8EUB và ID lỗi Cisco CSCwq79831, có sẵn trong khuyến cáo của Cisco. Đây là nguồn thông tin chính xác nhất về các bản vá và biện pháp phòng ngừa.

Người dùng có thể truy cập các liên kết sau để biết thêm chi tiết và cập nhật:

• Thông tin chi tiết về CVE-2025-20333 từ NVD: NVD – CVE-2025-20333
• Khuyến cáo bảo mật của Cisco: Cisco Security Advisory – cisco-sa-asaftd-webvpn-z5xP8EUB