Gần 50.000 tường lửa Cisco ảnh hưởng bởi lỗ hổng thực thi mã từ xa

Theo đó, các lỗ hổng được theo dõi với mã định danh CVE-2025-20333 và CVE-2025-20362, cho phép kẻ tấn công thực thi mã tùy ý và truy cập vào các điểm cuối URL bị hạn chế liên quan đến truy cập VPN. Đáng chú ý, cả hai lỗ hổng bảo mật này đều có thể bị khai thác từ xa mà không cần xác thực.
Theo Cisco, các tổ chức và doanh nghiệp có thể giảm thiểu mối đe dọa này bằng cách hạn chế tiếp xúc với giao diện web VPN, đồng thời tăng cường ghi log và giám sát các hoạt động đăng nhập VPN đáng ngờ và các yêu cầu HTTP được tạo thủ công.
Ngày 30/9, dịch vụ giám sát mối đe dọa The Shadowserver Foundation báo cáo rằng, các đợt rà quét của họ đã phát hiện hơn 48.800 trường hợp ASA và FTD trên Internet vẫn dễ bị tấn công bởi lỗ hổng CVE-2025-20333 và CVE-2025-20362.
Hầu hết các IP đều nằm ở Mỹ (hơn 19.200 điểm cuối), tiếp theo là Vương quốc Anh (2.800), Nhật Bản (2.300), Đức (2.200), Nga (2.100), Canada (1.500) và Đan Mạch (1.200).
Những con số này tính đến ngày 29/9, cho thấy thiếu phản ứng phù hợp đối với hoạt động khai thác đang diễn ra cũng như các cảnh báo trước đó. Đáng chú ý, công ty an ninh mạng Greynoise (Mỹ) cũng đã cảnh báo vào ngày 4/9 về các đợt rà quét đáng ngờ xảy ra từ cuối tháng 8/2025, nhắm vào các thiết bị Cisco ASA. Trong 80% trường hợp, các đợt rà quét này là dấu hiệu cảnh báo về các lỗ hổng chưa được ghi nhận sắp xảy ra trong các sản phẩm mục tiêu.
Rủi ro liên quan đến hai lỗ hổng bảo mật này nghiêm trọng đến mức Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) đã ban hành chỉ thị khẩn cấp, yêu cầu tất cả các cơ quan thuộc nhánh hành pháp dân sự liên bang (FCEB) có 24 giờ để xác định bất kỳ phiên bản Cisco ASA và FTD nào bị xâm phạm trên mạng, cũng như nâng cấp những phiên bản vẫn có thể hoạt động.
Một báo cáo từ Trung tâm An ninh mạng Quốc gia Anh (NCSC) đã làm sáng tỏ thêm về các cuộc tấn công, lưu ý rằng tin tặc đã triển khai phần mềm độc hại Line Viper, cùng với bootkit GRUB có tên là RayInitiator.
Do hoạt động khai thác đã diễn ra trong một khoảng thời gian, quản trị viên hệ thống các tổ chức, doanh nghiệp có khả năng bị ảnh hưởng được khuyến cáo áp dụng các khuyến nghị của Cisco đối với CVE-2025-20333 và CVE-2025-20362 càng sớm càng tốt.