Các đội ngũ an ninh trên toàn cầu đã nhận được cảnh báo khẩn cấp sau khi tin tặc bắt đầu khai thác một lỗ hổng zero-day mới được phát hiện trong tường lửa Cisco Adaptive Security Appliance (ASA) 5500-X Series. Sự kiện này cho phép kẻ tấn công triển khai các phần mềm độc hại tinh vi, được đặt tên là RayInitiator và LINE VIPER, có khả năng chiếm toàn quyền kiểm soát các thiết bị bị ảnh hưởng.

Khai thác Lỗ hổng Zero-Day trên Cisco ASA

Chi tiết về Lỗ hổng và Tác động Nghiêm trọng

Cisco đã xác nhận rằng cùng một nhóm tác nhân đe dọa đứng sau các cuộc tấn công ASA năm ngoái đã phát triển các kỹ thuật mới. Mục tiêu là để khai thác các lỗ hổng zero-day trong Series 5500-X. Một khi hệ thống bị xâm nhập, kẻ tấn công có thể thực thi các lệnh tùy ý, cài đặt các payload độc hại và trích xuất dữ liệu nhạy cảm.

Việc chiếm quyền điều khiển hoàn toàn thiết bị có thể dẫn đến hậu quả nghiêm trọng. Bao gồm mất mát dữ liệu, gián đoạn dịch vụ và mở cửa cho các cuộc tấn công tiếp theo vào cơ sở hạ tầng mạng.

Phân tích Mã độc RayInitiator và LINE VIPER

Cơ chế Hoạt động của RayInitiator

Báo cáo của NCSC về RayInitiator và LINE VIPER đã phác thảo chi tiết cách thức hoạt động của mã độc này. RayInitiator thiết lập một chỗ đứng vững chắc bằng cách sửa đổi cấu hình tường lửa. Nó cũng tạo ra các tài khoản quản trị viên ẩn, giúp kẻ tấn công duy trì quyền truy cập.

Cơ chế Hoạt động của LINE VIPER

Sau khi RayInitiator thiết lập ban đầu, LINE VIPER sẽ cung cấp một backdoor. Backdoor này cho phép thực thi lệnh từ xa và trích xuất dữ liệu mà không kích hoạt các công cụ phát hiện thông thường. Sự tinh vi này khiến việc phát hiện và ngăn chặn trở nên khó khăn hơn.

Các Biện pháp Khắc phục và Cảnh báo CVE

Khuyến nghị từ NCSC và Cisco

Trung tâm An ninh Mạng Quốc gia (NCSC), một phần của GCHQ, đã phát hành hướng dẫn chi tiết tại đây. Hướng dẫn này nhằm giúp các nhà bảo vệ xác định và chặn mối đe dọa này. NCSC đã cung cấp một báo cáo phân tích mã độc chuyên sâu và kêu gọi các tổ chức hành động nhanh chóng để bảo vệ mạng của mình.

Trang cập nhật bảo mật của Cisco cũng bao gồm các bản vá bảo mật được khuyến nghị và các thay đổi cấu hình. Những thay đổi này nhằm mục đích đóng lại lỗ hổng đang bị khai thác.

Các Hành động Khuyến nghị cho Tổ chức

Các tổ chức bị ảnh hưởng được khuyến nghị thực hiện các bước sau:

• Kiểm tra hệ thống mạng ngay lập tức để tìm các dấu hiệu xâm nhập (IOCs).
• Áp dụng các bản vá bảo mật mới nhất do Cisco cung cấp cho các thiết bị ASA 5500-X Series.
• Đánh giá và sửa đổi các cấu hình tường lửa để loại bỏ mọi thay đổi độc hại do RayInitiator thực hiện.
• Theo dõi chặt chẽ các tài khoản quản trị viên và các hoạt động mạng để phát hiện bất thường.
• Tải xuống báo cáo phân tích đầy đủ và các quy tắc phát hiện từ NCSC để củng cố khả năng phòng thủ trước lỗ hổng zero-day này.

Cisco cũng đã công bố một hướng dẫn phát hiện trên trang web của họ. Hướng dẫn này cung cấp lời khuyên từng bước để bảo mật việc triển khai ASA và phòng thủ chống lại các cuộc tấn công tiếp diễn. Đây là một cảnh báo CVE quan trọng đối với tất cả người dùng Cisco ASA.

Rủi ro từ Thiết bị Đạt Ngưỡng Hết Hỗ trợ (EOL)

Kế hoạch Nâng cấp và Thay thế

NCSC cũng nhấn mạnh rằng một số mẫu ASA 5500-X sẽ đạt ngưỡng hết hỗ trợ (end-of-support) trong khoảng thời gian từ tháng 9 năm 2025 đến tháng 8 năm 2026. Các thiết bị lỗi thời thường thiếu các bản cập nhật bảo mật, khiến chúng trở thành mục tiêu hàng đầu cho kẻ tấn công khai thác lỗ hổng zero-day.

Ollie Whitehouse, Giám đốc Công nghệ tại NCSC, đã nhấn mạnh tính cấp bách của vấn đề này: “Điều quan trọng là các tổ chức phải tuân thủ các thực hành tốt nhất của nhà cung cấp về phát hiện và khắc phục. Công nghệ hết thời hạn sử dụng mang lại rủi ro đáng kể. Các hệ thống và thiết bị cần được chuyển đổi sang các phiên bản hiện đại kịp thời. Điều này nhằm để giải quyết các lỗ hổng zero-day và tăng cường khả năng phục hồi.”

Các tổ chức vẫn đang sử dụng các mẫu này nên lập kế hoạch thay thế hoặc nâng cấp mà không chậm trễ. Việc trì hoãn có thể đặt ra những nguy cơ bảo mật nghiêm trọng. Nó làm tăng khả năng bị khai thác thông qua các lỗ hổng zero-day đã biết hoặc chưa biết.

Sự Tiến hóa của Các Mối Đe dọa

So sánh LINE DANCER/LINE RUNNER với RayInitiator/LINE VIPER

Cảnh báo hiện tại được xây dựng dựa trên một cảnh báo chung được phát hành năm ngoái, đã xem xét các chủng mã độc Cisco ASA trước đó, LINE DANCER và LINE RUNNER. Các công cụ RayInitiator và LINE VIPER mới thể hiện khả năng ẩn mình và linh hoạt cao hơn nhiều. Điều này đánh dấu một sự leo thang nghiêm trọng trong khả năng của kẻ tấn công.

Sự phát triển của các chủng mã độc cho thấy kẻ tấn công đang không ngừng cải tiến kỹ thuật. Do đó, các biện pháp phòng thủ cũng cần phải được cập nhật và nâng cao liên tục để chống lại các mối đe dọa ngày càng tinh vi.

Các Chỉ số Xâm phạm (IOCs)

Để hỗ trợ các đội ngũ an ninh trong việc phát hiện và ứng phó, dưới đây là các chỉ số xâm phạm chính liên quan đến cuộc tấn công này:

• Tên Mã độc: RayInitiator
• Tên Mã độc: LINE VIPER

Các nhà bảo vệ mạng có thể tải xuống báo cáo phân tích đầy đủ và các quy tắc phát hiện để nhận biết các chỉ số xâm phạm này. Việc tích hợp các IOC này vào hệ thống phát hiện xâm nhập (IDS) và hệ thống quản lý thông tin và sự kiện bảo mật (SIEM) là rất quan trọng để phát hiện sớm lỗ hổng zero-day và các cuộc tấn công tiềm tàng.