Cisco vá khẩn cấp lỗ hổng zero-day 10 điểm đang bị nhóm tin tặc khai thác

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
123
1.508 bài viết
Cisco vá khẩn cấp lỗ hổng zero-day 10 điểm đang bị nhóm tin tặc khai thác
WhiteHat Team
Trước làn sóng tấn công từ nhóm APT UAT-9686, Cisco đã chính thức tung bản vá quan trọng cho Secure Email GatewayWeb Manager. Bản vá này nhằm xử lý lỗ hổng zero-day (CVE-2025-20393) đã bị các tin tặc lợi dụng để xâm nhập hệ thống từ cuối tháng 11/2025.
Với thang điểm tuyệt đối 10/10, CVE-2025-20393 là lỗ hổng cực kỳ nghiêm trọng. Nguyên nhân do tính năng 'Spam Quarantine' (Kiểm dịch thư rác) xử lý dữ liệu thiếu an toàn, tạo kẽ hở cho tin tặc chạy lệnh từ xa và chiếm toàn quyền kiểm soát hệ thống.

1768552370251.png

Dù vậy, hacker chỉ có thể khai thác nếu thiết bị nếu rơi vào combo 3 lỗi sau:
  1. Đang dùng phiên bản phần mềm cũ.
  2. Đang bật tính năng Spam Quarantine.
  3. Cấu hình sai khiến tính năng này có thể truy cập trực tiếp từ Internet.
Sau khi xâm nhập thành công, nhóm UAT-9686 lập tức chèn vào thiết bị nạn nhân một bộ công cụ độc hại nhằm chiếm quyền điều khiển lâu dài:
  • AquaTunnel (dựa trên ReverseSSH) & Chisel: Thiết lập các đường hầm mạng bí mật để duy trì kết nối ngược, cho phép hacker tự do ra vào hệ thống, vượt qua sự ngăn chặn của tường lửa.
  • AquaPurge: Công cụ chuyên dụng để xóa nhật ký hệ thống cho phép kẻ tấn công phi tang bằng chứng và lẩn trốn trước các giải pháp giám sát.
  • AquaShell: Một backdoor viết bằng Python, đóng vai trò đầu mối liên lạc để nhận các lệnh đã được mã hóa từ máy chủ hacker và thực thi chúng ngay trên thiết bị.
Cisco đã chính thức tung bản vá khẩn cấp cho lỗ hổng này, tích hợp tính năng đặc biệt giúp tự động rà soát và gỡ bỏ hoàn toàn mã độc cũng như backdoor nếu hệ thống đã bị xâm nhập. Theo đánh giá từ chuyên gia WhiteHat, dù lỗ hổng đạt mức nguy hiểm tuyệt đối nhưng phạm vi ảnh hưởng thực tế khá hạn chế do hacker chỉ khai thác được khi thiết bị đã thay đổi cấu hình mặc định (kích hoạt Spam Quarantine và mở truy cập Internet). Hiện tại chưa ghi nhận thiết bị nào tại Việt Nam nằm trong diện rủi ro.

Tuy nhiên, để đảm bảo an toàn toàn diện, quản trị viên cần ưu tiên làm cứng hệ thống bằng cách cô lập giao diện quản trị sau tường lửa và ngắt ngay kết nối Internet trực tiếp tới cổng Spam Quarantine. Ngoài ra, cần nâng cấp firmware cho Email Security Gateway lên các bản 15.0.5-016, 15.5.4-012, 16.0.4-016 và Secure Email Web Manager lên bản 15.0.2-007, 15.5.4-007, 16.0.4-010 nhằm triệt tiêu mọi mầm mống tấn công tiềm ẩn.

Theo The Hacker News
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Cisco vá loạt lỗ hổng trong Snort 3 và ISE, đe dọa an toàn hệ thống doanh nghiệp
  • Cisco cảnh báo làn sóng tấn công khai thác lỗ hổng zero-day trong AsyncOS
  • Hai lỗ hổng zero-day mới trong Cisco và Citrix đe dọa hàng loạt doanh nghiệp
  • BADCANDY tái bùng phát: Mã độc “ẩn thân” khai thác lỗ hổng Cisco IOS XE
  • Operation Zero Disco: Từ lỗ hổng SNMP đến rootkit ẩn mình trên thiết bị Cisco
  • Hơn 48.000 thiết bị Cisco đối mặt làn sóng tấn công từ ba lỗ hổng nghiêm trọng
    • Thẻ
    apt uat-9686 cisco secure email gateway cve-2025-20393 lỗ hổng cisco zero-day lỗ hổng spam quarantine
    Bên trên