Hai lỗ hổng zero-day mới trong Cisco và Citrix đe dọa hàng loạt doanh nghiệp

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
122
1.263 bài viết
Hai lỗ hổng zero-day mới trong Cisco và Citrix đe dọa hàng loạt doanh nghiệp
WhiteHat Team
Trong khi các doanh nghiệp đang tăng cường đầu tư vào hạ tầng xác thực và kiểm soát truy cập, một nhóm tin tặc tinh vi vừa chứng minh rằng ngay cả những hệ thống bảo mật cốt lõi nhất cũng có thể bị khai thác. Theo báo cáo mới nhất từ đội ngũ tình báo an ninh mạng của Amazon, một tác nhân đe dọa cấp cao đã lợi dụng hai lỗ hổng zero-day chưa từng được công bố trước đó trong Cisco Identity Services Engine (ISE) và Citrix NetScaler ADC để phát tán mã độc tùy chỉnh đặc biệt nhắm vào các hệ thống quản lý danh tính và truy cập của doanh nghiệp.

amazon-cisco-citrix-zero-day – Đã sửa.jpg

Đây là hai sản phẩm quan trọng được sử dụng rộng rãi để kiểm soát xác thực người dùng và thực thi chính sách bảo mật mạng nội bộ, có mặt trong hàng nghìn tổ chức, ngân hàng, tập đoàn, cơ quan chính phủ trên toàn cầu.

Theo Amazon, dấu vết của chiến dịch này được phát hiện thông qua hệ thống honeypot MadPot – mạng lưới “bẫy” do Amazon triển khai để giám sát hành vi tấn công thực tế trên Internet. Từ đó, nhóm nghiên cứu phát hiện hàng loạt nỗ lực khai thác hai lỗ hổng nguy hiểm:
  • CVE-2025-5777: Còn được gọi là “Citrix Bleed 2” với điểm CVSS 9,3 là lỗi xác thực trong Citrix NetScaler ADC/Gateway cho phép kẻ tấn công vượt qua bước đăng nhập mà không cần thông tin hợp lệ. Lỗ hổng này đã được Citrix vá vào tháng 6/2025.
  • CVE-2025-20337: Đạt điểm tối đa CVSS 10 là lỗ hổng thực thi mã từ xa không cần xác thực trong Cisco ISE và Cisco ISE Passive Identity Connector, cho phép kẻ tấn công chiếm toàn quyền điều khiển hệ thống với đặc quyền root. Cisco đã khắc phục lỗi vào tháng 7/2025.
Ban đầu, Amazon ghi nhận việc khai thác Citrix Bleed 2 dưới dạng zero-day, tức là trước khi bản vá được công bố cho đến khi các chuyên gia phát hiện payload bất thường nhắm vào Cisco ISE, sử dụng chính lỗ hổng CVE-2025-20337 để cài mã độc tùy chỉnh.

Cuộc điều tra cho thấy nhóm tấn công đã triển khai một web shell được ngụy trang tinh vi, có tên IdentityAuditAction, trông giống hệt một thành phần hợp pháp của Cisco ISE. Đây không phải mã độc có sẵn mà là công cụ được viết riêng, tối ưu cho môi trường Cisco ISE – một hệ thống chạy trên nền Java và Tomcat.

Theo phân tích, web shell này có khả năng:
  • Chạy hoàn toàn trong bộ nhớ, tránh để lại dấu vết trên ổ đĩa.
  • Sử dụng kỹ thuật Java Reflection để tiêm mã trực tiếp vào các luồng đang hoạt động.
  • Đăng ký lắng nghe toàn bộ yêu cầu HTTP trên máy chủ Tomcat, cho phép theo dõi và chèn mã độc theo thời gian thực.
  • Mã hóa dữ liệu bằng DES kết hợp Base64 không chuẩn, giúp né tránh các công cụ phát hiện truyền thống.
Những kỹ thuật này cho thấy kẻ tấn công có kiến thức chuyên sâu về cấu trúc nội bộ của Cisco ISE, Java enterprise và Tomcat, đồng thời sở hữu nguồn lực mạnh mẽ hoặc là nhóm nghiên cứu lỗ hổng có tay nghề cao hoặc có quyền truy cập vào thông tin zero-day chưa công khai.

Hai lỗ hổng nói trên đều có tính chất “pre-auth”, không cần đăng nhập hay xác thực trước khi tấn công, khiến chúng vô cùng nguy hiểm ngay cả với những hệ thống được cấu hình tốt. Theo Amazon, đây là chiến dịch tấn công có quy mô rộng và mang tính thử nghiệm, cho thấy tin tặc có thể đang rà quét hàng loạt hạ tầng doanh nghiệp toàn cầu để tìm mục tiêu phù hợp.

Vì Cisco ISE và Citrix NetScaler thường nằm ở “vành đai biên mạng” nên việc bị khai thác có thể dẫn tới mất quyền kiểm soát toàn bộ mạng lưới doanh nghiệp, mở đường cho ransomware, xâm nhập dữ liệu hoặc chiếm quyền điều khiển hệ thống xác thực trung tâm. Do đó, cần triển khai chiến lược phòng thủ đa lớp và năng lực giám sát hành vi bất thường.

Từ sự kiện này, Amazon và các chuyên gia an ninh mạng khuyến nghị doanh nghiệp cần khẩn trương:
  • Cập nhật ngay các bản vá bảo mật mới nhất cho Cisco ISE và Citrix NetScaler ADC.
  • Giới hạn quyền truy cập vào các cổng quản trị bằng firewall hoặc lớp xác thực bổ sung.
  • Giám sát lưu lượng HTTP bất thường trên máy chủ Tomcat, đặc biệt là các tiến trình lạ chạy trong bộ nhớ.
  • Tăng cường phát hiện hành vi thay vì chỉ dựa vào chữ ký mã độc truyền thống.
  • Đào tạo đội ngũ phản ứng sự cố để kịp thời xử lý tình huống zero-day, không phụ thuộc hoàn toàn vào bản vá từ nhà cung cấp.
Bài học lần này cho thấy trong thế giới an ninh mạng, sự cảnh giác không bao giờ là thừa. Các hệ thống bảo mật cấp doanh nghiệp có thể chính là mục tiêu ưu tiên hàng đầu của tin tặc. Trong kỷ nguyên mà danh tính số và truy cập mạng là trung tâm của mọi hạ tầng, việc đầu tư vào giám sát, cập nhật và phát hiện sớm trở nên cấp thiết hơn bao giờ hết. Như Amazon cảnh báo, “hệ thống an toàn không phải là hệ thống không có lỗ hổng mà là hệ thống biết cách phản ứng nhanh nhất khi lỗ hổng xuất hiện.”
WhiteHat
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • NeMo Framework của NVIDIA gặp hai lỗ hổng nghiêm trọng, đe dọa toàn bộ pipeline AI
  • Rủi ro rò rỉ dữ liệu từ hai lỗ hổng SQL trên SuiteCRM
  • Lỗi Cloud Files trong Windows cho phép leo thang đặc quyền, mã khai thác đã bị lộ
  • “Phở anh Hai”: Game Việt thành điểm nóng ảo khiến Google Maps rối loạn
  • Vua lì đòn CVE-2025-59287 thách thức Microsoft phải “vá chồng vá”
  • BADCANDY tái bùng phát: Mã độc “ẩn thân” khai thác lỗ hổng Cisco IOS XE
    • Thẻ
    cisco ise citrix netscaler adc cve-2025-20337 cve-2025-5777
    Bên trên