Được biết, Cisco Adaptive Security Appliance (ASA) là một thiết bị bảo mật của Cisco tích hợp nhiều chức năng quan trọng như tường lửa, phòng chống xâm nhập (IPS), chống virus và mạng riêng ảo (VPN) vào một nền tảng phần cứng và phần mềm duy nhất, giúp bảo vệ mạng doanh nghiệp khỏi các mối đe dọa mạng toàn diện và linh hoạt. Trong khi đó, Firewall Threat Defense (FTD) là hệ thống tường lửa với các tính năng bảo mật cao.

Có thể thấy, các lỗ hổng được theo dõi là CVE-2025-20333 và CVE-2025-20362, cho phép thực thi mã tùy ý và truy cập vào các điểm cuối URL bị hạn chế liên quan đến truy cập mạng riêng ảo (VPN). Cả hai lỗ hổng bảo mật này đều có thể bị khai thác từ xa mà không cần xác thực.

Vào ngày 25/9 vừa qua, Cisco đã cảnh báo rằng, các lỗ hổng này đã bị khai thác chủ động trong các cuộc tấn công trước khi bản vá được cung cấp tới khách hàng.

Hiện chưa có giải pháp nào có thể khắc phục cả hai lỗ hổng nói trên, nhưng các bước củng cố tạm thời cũng sẽ góp phần giảm thiểu thiệt hại như hạn chế tiếp xúc với giao diện web VPN, tăng cường ghi nhật ký, giám sát các lần đăng nhập VPN đáng ngờ và các yêu cầu HTTP được tạo thủ công.

Mới đây, dịch vụ giám sát mối đe dọa của công ty Shadowserver Foundation báo cáo rằng, các đợt quét của họ đã phát hiện hơn 48.800 trường hợp ASA và FTD tiếp xúc với Internet vẫn còn dễ bị tấn công bởi lỗ hổng CVE-2025-20333 và CVE-2025-20362.

Hầu hết các IP đều nằm ở Hoa Kỳ (hơn 19.200 điểm cuối), tiếp theo là Vương quốc Anh (2.800), Nhật Bản (2.300), Đức (2.200), Nga (2.100), Canada (1.500) và Đan Mạch (1.200).

Những con số này tính đến ngày 29/9, cho thấy việc thiếu phản ứng phù hợp đối với hoạt động khai thác đang diễn ra, cũng như các cảnh báo trước đó.

Đáng chú ý, công ty Greynoise cũng đã cảnh báo vào ngày 04/9 vừa qua về các đợt quét đáng ngờ xảy ra sớm nhất là vào cuối tháng 8 năm nay, nhắm vào các thiết bị Cisco ASA. Trong 80% các trường hợp thuộc các đợt quét này là dấu hiệu cho thấy các lỗ hổng chưa được ghi nhận sẽ xuất hiện trong các sản phẩm bị nhắm mục tiêu.

Rủi ro liên quan đến hai lỗ hổng bảo mật này nghiêm trọng đến mức Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã ban hành chỉ thị khẩn cấp, yêu cầu tất cả các cơ quan thuộc Chi nhánh hành pháp dân sự liên bang (FCEB) có 24 giờ để xác định bất kỳ phiên bản Cisco ASA và FTD nào bị xâm phạm trên mạng, đồng thời nâng cấp những phiên bản còn hoạt động.

CISA cũng khuyến cáo rằng, các thiết bị ASA sắp hết thời hạn hỗ trợ (EoS) nên được ngắt kết nối khỏi mạng lưới của các tổ chức liên bang trước ngày 30/9.

Một báo cáo từ Trung tâm An ninh mạng Quốc gia Anh (NCSC) đã làm sáng tỏ thêm về các cuộc tấn công, lưu ý rằng tin tặc đã triển khai một phần mềm độc hại tải shellcode có tên 'Line Viper', tiếp theo là một bộ khởi động GRUB có tên 'RayInitiator'.

Do hoạt động khai thác đã diễn ra trong hơn một tuần, các quản trị viên của các hệ thống có khả năng bị ảnh hưởng được khuyến cáo áp dụng các khuyến nghị của Cisco đối với CVE-2025-20333 và CVE-2025-20362 [1, 2] càng sớm càng tốt.

Hà Linh