Cisco cảnh báo làn sóng tấn công khai thác lỗ hổng zero-day trong AsyncOS

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
122
1.429 bài viết
Cisco cảnh báo làn sóng tấn công khai thác lỗ hổng zero-day trong AsyncOS
WhiteHat Team
Cisco vừa phát đi cảnh báo khẩn liên quan đến một lỗ hổng zero-day nghiêm trọng trong Cisco AsyncOS đang bị khai thác ngoài thực tế. Lỗ hổng này ảnh hưởng trực tiếp tới các thiết bị Cisco Secure Email Gateway và Cisco Secure Email and Web Manager, cho phép tin tặc thực thi lệnh với quyền root trên hệ điều hành của thiết bị, qua đó chiếm toàn quyền kiểm soát hệ thống.
Gemini_Generated_Image_3kabx93kabx93kab.png

Lỗ hổng được theo dõi với định danh CVE-2025-20393 và đạt điểm CVSS 10.0. Nguyên nhân xuất phát từ việc kiểm tra và xử lý dữ liệu đầu vào không đúng cách, tạo điều kiện cho kẻ tấn công chèn và thực thi các chỉ thị độc hại với đặc quyền cao nhất. Hãng cho biết đã phát hiện chiến dịch xâm nhập vào ngày 10/12/2025, trong đó một nhóm APT có liên hệ Trung Quốc, được đặt mã hiệu là UAT-9686, đã lợi dụng lỗ hổng này để tấn công một số thiết bị nhất định có các cổng dịch vụ mở ra Internet. Hiện vẫn chưa rõ số lượng tổ chức bị ảnh hưởng.

Tất cả phiên bản của AsyncOS đều bị ảnh hưởng, tuy nhiên việc khai thác chỉ xảy ra khi thiết bị được cấu hình bật tính năng Spam Quarantine và tính năng này có thể truy cập trực tiếp từ Internet. Đáng chú ý, Spam Quarantine không được bật mặc định, nhưng trong các môi trường cấu hình thiếu chặt chẽ, đây lại chính là điểm mở đường cho kẻ tấn công xâm nhập từ xa.

Hoạt động khai thác được ghi nhận từ ít nhất cuối tháng 11/2025. Trong các hệ thống bị xâm nhập, UAT-9686 đã triển khai nhiều công cụ nhằm duy trì quyền kiểm soát lâu dài. Các công cụ này bao gồm ReverseSSH, còn được gọi là AquaTunnel, cùng Chisel để thiết lập các đường hầm kết nối từ xa, AquaPurge để xóa log và che giấu dấu vết, đồng thời cài một backdoor Python nhẹ mang tên AquaShell. Backdoor này hoạt động bằng cách lắng nghe các yêu cầu HTTP POST không cần xác thực, giải mã dữ liệu được gửi kèm theo một cơ chế tùy chỉnh và thực thi lệnh trực tiếp trong hệ thống. Việc sử dụng AquaTunnel trước đây từng được ghi nhận trong các chiến dịch của những nhóm APT Trung Quốc như APT41 và UNC5174.

Cisco khuyến cáo người dùng cần nhanh chóng đưa thiết bị về cấu hình an toàn, hạn chế tối đa việc để các dịch vụ hoạt động công khai trên Internet, đặt thiết bị sau tường lửa và chỉ cho phép truy cập từ các máy chủ đáng tin cậy. Hãng cũng nhấn mạnh việc tách riêng chức năng xử lý mail và quản trị hệ thống trên các giao diện mạng khác nhau, theo dõi chặt chẽ log web để phát hiện lưu lượng bất thường, đồng thời tắt giao thức HTTP đối với cổng quản trị chính. Các biện pháp bổ sung bao gồm vô hiệu hóa các dịch vụ không cần thiết, sử dụng cơ chế xác thực mạnh như SAML hoặc LDAP và thay đổi mật khẩu quản trị mặc định. Trong trường hợp thiết bị đã bị xác nhận xâm nhập, giải pháp duy nhất hiện là rebuild lại toàn bộ appliance để loại bỏ hoàn toàn cơ chế duy trì truy cập mà tin tặc đã cài cắm.

Cơ quan An ninh mạng và Hạ tầng Mỹ (CISA) đã đưa CVE-2025-20393 vào danh mục các lỗ hổng đã bị khai thác trong thực tế, yêu cầu các cơ quan liên bang Mỹ phải hoàn thành các biện pháp giảm thiểu rủi ro trước ngày 24/12/2025.

Cùng thời điểm, nhóm nghiên cứu GreyNoise phát hiện một chiến dịch tự động nhắm vào hạ tầng xác thực VPN doanh nghiệp, tập trung vào các cổng Cisco SSL VPN và Palo Alto GlobalProtect. Hơn 10.000 địa chỉ IP tham gia thử đăng nhập vào GlobalProtect tại Mỹ, Pakistan và Mexico, trong khi Cisco SSL VPN cũng ghi nhận làn sóng brute-force từ hơn 1.200 địa chỉ IP. Đây là các chiến dịch dò quét và thử thông tin đăng nhập hàng loạt, không khai thác lỗ hổng, nhưng phản ánh áp lực tấn công ngày càng lớn đối với hệ thống truy cập từ xa của doanh nghiệp.

Những sự kiện gần đây một lần nữa nhấn mạnh mức độ rủi ro từ các thiết bị có các dịch vụ nhạy cảm truy cập trực tiếp Internet. Ngay cả những tổ chức có hạ tầng an toàn cũng có thể gặp nguy cơ nếu không thực hiện phân tách chức năng, giám sát lưu lượng và rà soát cấu hình thường xuyên. Việc chuẩn bị phương án ứng phó sự cố, theo dõi hành vi bất thường và hạn chế các điểm tiếp xúc công khai là những bước quan trọng để bảo vệ hệ thống, dữ liệu và duy trì hoạt động liên tục trước các mối đe dọa ngày càng tinh vi.​

Theo The Hacker News
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Hai lỗ hổng zero-day mới trong Cisco và Citrix đe dọa hàng loạt doanh nghiệp
  • BADCANDY tái bùng phát: Mã độc “ẩn thân” khai thác lỗ hổng Cisco IOS XE
  • Operation Zero Disco: Từ lỗ hổng SNMP đến rootkit ẩn mình trên thiết bị Cisco
  • Hơn 48.000 thiết bị Cisco đối mặt làn sóng tấn công từ ba lỗ hổng nghiêm trọng
  • Tin tặc khai thác Cisco Safe Links để né bộ lọc liên kết và vượt qua hệ thống mạng
  • Lỗ hổng 10 điểm trong Cisco, hacker có thể chiếm quyền từ xa không cần đăng nhập
    • Thẻ
    apt asyncos cisco cyberattack emailsecurity networksecurity zeroday
    Bên trên