Một lỗ hổng Cisco Secure Firewall nghiêm trọng đã được phát hiện trong phần mềm Secure Firewall Threat Defense của Cisco, được định danh là CVE-2025-20217.

Lỗ hổng này tiềm ẩn những rủi ro đáng kể đối với hạ tầng an ninh mạng trên toàn cầu, đặc biệt là các hệ thống tường lửa được triển khai rộng rãi.

Lỗ hổng ảnh hưởng đến Snort 3 Detection Engine, một thành phần cốt lõi trong khả năng phát hiện mối đe dọa của Cisco Secure Firewall.

Nó có thể cho phép kẻ tấn công từ xa không cần xác thực thực hiện các cuộc tấn công từ chối dịch vụ (DoS) chống lại các thiết bị bị ảnh hưởng, làm gián đoạn nghiêm trọng các hoạt động mạng quan trọng.

Cảnh báo CVE-2025-20217: Phân tích Kỹ thuật Lỗ hổng

Lỗ hổng xuất phát từ việc xử lý không chính xác lưu lượng truy cập được kiểm tra bởi Snort 3 Detection Engine trong phần mềm Cisco Secure Firewall Threat Defense.

Theo cảnh báo CVE từ Cisco (tham khảo Cisco Security Advisory), kẻ tấn công có thể khai thác điểm yếu này.

Việc khai thác được thực hiện bằng cách gửi các gói tin hoặc luồng dữ liệu được tạo đặc biệt thông qua thiết bị Cisco Secure Firewall bị ảnh hưởng.

Hành động này khiến hệ thống rơi vào một vòng lặp xử lý vô hạn trong quá trình kiểm tra gói tin, dẫn đến tình trạng treo hoặc ngừng hoạt động của dịch vụ.

Cơ chế Khai thác và Tác động của Cuộc tấn công DoS

Lỗ hổng CVE-2025-20217 đặc biệt nguy hiểm vì nó không yêu cầu bất kỳ hình thức xác thực nào từ phía kẻ tấn công.

Khả năng khai thác từ xa qua mạng làm cho nó trở thành một mối đe dọa nghiêm trọng đối với các tổ chức có triển khai tường lửa kết nối trực tiếp với internet.

Khi bị khai thác thành công, thiết bị Cisco Secure Firewall sẽ trở nên không phản hồi. Thiết bị bị kẹt trong vòng lặp xử lý và không thể thực hiện các chức năng bảo mật cốt lõi.

Điều này dẫn đến một tình trạng từ chối dịch vụ hoàn toàn, ảnh hưởng đến khả năng truyền thông và bảo vệ của toàn bộ mạng.

May mắn là Cisco đã tích hợp các cơ chế khôi phục tự động thông qua chức năng “system watchdog”.

Chức năng này sẽ tự động khởi động lại tiến trình Snort khi phát hiện tình trạng vòng lặp vô hạn. Điều này giúp ngăn chặn sự cố kéo dài.

Tuy nhiên, mỗi lần khởi động lại vẫn gây ra sự gián đoạn dịch vụ tạm thời. Khoảng thời gian này có thể tạo ra các “cửa sổ lỗ hổng” (windows of vulnerability), nơi mạng có thể dễ bị tấn công hoặc gián đoạn thêm trước khi dịch vụ được khôi phục hoàn toàn.

Phạm vi Thiết bị Ảnh hưởng bởi Lỗ hổng Cisco Secure Firewall

Lỗ hổng CVE-2025-20217 này ảnh hưởng cụ thể đến các thiết bị của Cisco đang chạy các phiên bản dễ bị tấn công của phần mềm Secure FTD.

Điều kiện để lỗ hổng tồn tại là phải có các chính sách xâm nhập (intrusion policies) được kích hoạt và các chính sách này phải sử dụng Snort 3 engine.

Các tổ chức được khuyến nghị xác định mức độ phơi nhiễm của mình bằng cách kiểm tra cấu hình. Cần xem xét liệu Snort 3 có đang hoạt động tích cực trên các hệ thống Firepower Threat Defense của họ hay không.

Hướng dẫn chi tiết về cách kiểm tra này thường được cung cấp trong tài liệu kỹ thuật của Cisco.

Điều quan trọng cần lưu ý là lỗ hổng Cisco Secure Firewall này không ảnh hưởng đến một số sản phẩm bảo mật khác của Cisco.

• Secure Firewall ASA Software
• Secure Firewall Management Center Software
• Cyber Vision Software
• Các sản phẩm Meraki
• Umbrella Software
• Các triển khai Snort mã nguồn mở

Điều này giúp các tổ chức khoanh vùng được phạm vi rủi ro và tập trung nỗ lực khắc phục vào các hệ thống bị ảnh hưởng trực tiếp.

Biện pháp Khắc phục và Khuyến nghị Bản vá Bảo mật

Để giải quyết lỗ hổng Cisco Secure Firewall này, Cisco đã nhanh chóng phát hành các bản cập nhật phần mềm.

Các bản cập nhật này được cung cấp như một phần trong gói khuyến nghị bảo mật tháng 8 năm 2025 của hãng, nhấn mạnh tính cấp bách của vấn đề.

Công ty đặc biệt nhấn mạnh rằng hiện tại không có biện pháp khắc phục tạm thời (workaround) nào khả dụng cho lỗ hổng Cisco Secure Firewall này.

Điều này đồng nghĩa với việc việc triển khai các bản vá bảo mật ngay lập tức là chiến lược giảm thiểu rủi ro duy nhất và hiệu quả nhất.

Các tổ chức đang sử dụng hệ thống Cisco Secure Firewall bị ảnh hưởng cần coi việc áp dụng các bản cập nhật bảo mật có sẵn là ưu tiên hàng đầu.

Việc trì hoãn có thể tạo cơ hội cho kẻ tấn công khai thác, gây ra gián đoạn dịch vụ và ảnh hưởng đến an ninh mạng tổng thể.

Với điểm CVSS cao của lỗ hổng CVE-2025-20217 và khả năng khai thác từ xa không cần xác thực, các đội an ninh mạng cần coi đây là một ưu tiên vá lỗi cực kỳ quan trọng.

Việc công bố lỗ hổng này một lần nữa củng cố tầm quan trọng của việc duy trì các bản vá bảo mật hiện hành và liên tục giám sát các khuyến nghị bảo mật từ nhà cung cấp đối với các thành phần hạ tầng quan trọng, đặc biệt là các thiết bị bảo mật cốt lõi như Cisco Secure Firewall.