Cisco đã phát đi cảnh báo CVE quan trọng về các cuộc tấn công đang diễn ra nhắm vào một lỗ hổng CVE thực thi mã từ xa (RCE) nghiêm trọng ảnh hưởng đến phần mềm Secure Firewall, Adaptive Security Appliance (ASA) và Threat Defense (FTD) của hãng.

Vào ngày 05 tháng 11 năm 2025, công ty đã cập nhật thông báo bảo mật, tiết lộ rằng các tác nhân đe dọa đã phát hiện ra một biến thể tấn công mới.

Biến thể này có khả năng chiếm quyền kiểm soát hoàn toàn các thiết bị trên các hệ thống chưa được vá lỗi.

Phân tích chi tiết lỗ hổng CVE-2025-20333

Lỗ hổng CVE này được theo dõi dưới mã CVE-2025-20333. Nó ảnh hưởng đến thành phần máy chủ web VPN trên cả nền tảng tường lửa Cisco Secure ASA và Secure FTD.

Một kẻ tấn công từ xa đã được xác thực có thể khai thác lỗi xác thực đầu vào không đúng cách trong các yêu cầu HTTP.

Điều này cho phép chúng thực thi mã tùy ý với quyền root trên các thiết bị bị ảnh hưởng.

Các sản phẩm và cấu hình bị ảnh hưởng

Các tổ chức đang chạy phần mềm Cisco Secure Firewall ASA Software hoặc Secure FTD Software với tính năng VPN được bật sẽ đối mặt với rủi ro tức thì.

Các cấu hình dễ bị tấn công bao gồm:

• AnyConnect IKEv2 Remote Access với dịch vụ máy khách.
• Các triển khai bảo mật người dùng di động (Mobile User Security).
• Các triển khai SSL VPN.

Cơ chế khai thác và mức độ nghiêm trọng

Việc khai thác thành công lỗ hổng CVE này có thể cho phép kẻ tấn công bỏ qua tất cả các kiểm soát bảo mật.

Điều này gây ra rủi ro đáng kể cho các tổ chức dựa vào các tường lửa này để bảo vệ biên mạng của mình.

Điểm đáng lưu ý là lỗ hổng CVE này yêu cầu thông tin xác thực người dùng VPN hợp lệ để khai thác.

Điều này có nghĩa là kẻ tấn công phải có được thông tin xác thực hợp pháp thông qua lừa đảo (phishing), đánh cắp thông tin đăng nhập, hoặc các mối đe dọa nội bộ.

Mối đe dọa thực tế và các biến thể tấn công

Cisco nhận thức được một biến thể tấn công mới vào đầu tháng 11, nhắm mục tiêu cụ thể vào các thiết bị chạy các phiên bản phần mềm ASA và FTD dễ bị tổn thương.

Biến thể này gây ra tình trạng từ chối dịch vụ (DoS) khiến các thiết bị chưa được vá lỗi tự động khởi động lại, làm gián đoạn hoạt động mạng một cách bất ngờ.

Hậu quả của việc khai thác thành công

Khả năng tấn công đạt được việc chiếm quyền điều khiển thiết bị hoàn toàn là một mối lo ngại đặc biệt.

Kẻ tấn công có thể sửa đổi các quy tắc tường lửa, chuyển hướng lưu lượng truy cập, hoặc thiết lập các cửa hậu (backdoor) dai dẳng.

Điều này có thể dẫn đến chiếm quyền điều khiển hoàn toàn hệ thống, gây ra rủi ro an ninh mạng nghiêm trọng.

Biện pháp khắc phục và khuyến nghị bảo mật

Cisco đã phát hành các phiên bản phần mềm đã sửa lỗi và khuyến nghị tất cả khách hàng nâng cấp ngay lập tức.

Không có biện pháp khắc phục tạm thời (workaround) nào khả dụng để giảm thiểu lỗ hổng CVE này, do đó, cập nhật bản vá là biện pháp khắc phục khả thi duy nhất. Bạn có thể tham khảo thông báo bảo mật đầy đủ tại Cisco Security Advisory.

Cập nhật bản vá là giải pháp duy nhất

Các tổ chức không chắc chắn về mức độ phơi nhiễm của mình có thể sử dụng công cụ Software Checker của Cisco.

Công cụ này giúp xác minh xem các phiên bản phần mềm cụ thể của họ có bị ảnh hưởng hay không và xác định các phiên bản đã được sửa lỗi sớm nhất có sẵn.

Các bước tăng cường bảo vệ bổ sung

Sau khi áp dụng các bản vá, Cisco khuyến nghị xem xét lại cấu hình phát hiện mối đe dọa VPN.

Việc này nhằm kích hoạt các biện pháp bảo vệ chống lại các cuộc tấn công xác thực đăng nhập VPN truy cập từ xa, các cuộc tấn công do máy khách khởi tạo và các nỗ lực kết nối dịch vụ VPN không hợp lệ.

Việc tăng cường bảo mật bổ sung này sẽ cung cấp một lớp phòng thủ sâu (defense-in-depth) chống lại các vectơ tấn công tương tự, giảm thiểu mối đe dọa mạng.