Tweet
📌 Tổng quan
Cisco vừa phát hành Security Advisory mức Critical (CVSS 9.9) cho một lỗ hổng Remote Code Execution (RCE) ảnh hưởng đến:
👉 Lỗ hổng tồn tại trong VPN Web Server, cho phép kẻ tấn công từ xa (đã xác thực VPN) thực thi mã tùy ý với quyền root, dẫn đến toàn bộ thiết bị bị kiểm soát.
🆔 Thông tin lỗ hổng
📎 Cisco đã xác nhận có tấn công thực tế (in-the-wild).
⚠️ Mức độ nguy hiểm
👉 Đây là lỗ hổng cực kỳ nguy hiểm, đặc biệt với các hệ thống dùng Remote Access VPN.
🎯 Điều kiện bị ảnh hưởng
Thiết bị BỊ ẢNH HƯỞNG nếu:
webvpn enable outside crypto ikev2 enable outside client-services port 443
📌 Các tính năng liên quan:
❌ Không có workaround
Cisco xác nhận:
✅ Phiên bản đã vá (Fixed Software)
ASA Software:
⚠️ Một số model đã End of Support:
👉 Khuyến nghị: chuyển sang FTD hoặc phiên bản mới hơn
🛠️ Khuyến nghị từ Cisco
Sau khi nâng cấp:
🧠 Góc nhìn thực tế (Blue Team / SOC)
Cisco Advisory:
👉 https://sec.cloudapps.cisco.com/secu...ebvpn-z5xP8EUB
💬 Kết luận
Nếu hệ thống của bạn đang dùng Cisco ASA/FTD + VPN mà chưa vá → rủi ro bị chiếm quyền là rất cao.
👉 Nâng cấp NGAY – không chờ đợi.
Cisco vừa phát hành Security Advisory mức Critical (CVSS 9.9) cho một lỗ hổng Remote Code Execution (RCE) ảnh hưởng đến:
- Cisco Secure Firewall ASA Software
- Cisco Secure Firewall Threat Defense (FTD) Software
👉 Lỗ hổng tồn tại trong VPN Web Server, cho phép kẻ tấn công từ xa (đã xác thực VPN) thực thi mã tùy ý với quyền root, dẫn đến toàn bộ thiết bị bị kiểm soát.
🆔 Thông tin lỗ hổng
- CVE: CVE-2025-20333
- CWE: CWE-120 (Classic Buffer Overflow)
- Advisory ID: cisco-sa-asaftd-webvpn-z5xP8EUB
- CVSS 3.1: 9.9 (Critical)
- Attack Vector: Network
- Privileges Required: Low (chỉ cần tài khoản VPN hợp lệ)
- User Interaction: None
📎 Cisco đã xác nhận có tấn công thực tế (in-the-wild).
⚠️ Mức độ nguy hiểm
- Thực thi mã với quyền root
- Có thể:
- Cài backdoor
- Chiếm quyền firewall
- Mở pivot tấn công mạng nội bộ
- Biến thể tấn công mới (11/2025) còn có thể gây:
- Reload thiết bị
- DoS nghiêm trọng
👉 Đây là lỗ hổng cực kỳ nguy hiểm, đặc biệt với các hệ thống dùng Remote Access VPN.
🎯 Điều kiện bị ảnh hưởng
Thiết bị BỊ ẢNH HƯỞNG nếu:
- Chạy ASA hoặc FTD phiên bản dễ tổn thương
- Có bật VPN Web / SSL VPN / AnyConnect
webvpn enable outside crypto ikev2 enable outside client-services port 443
📌 Các tính năng liên quan:
- AnyConnect SSL VPN
- AnyConnect IKEv2 Remote Access
- Mobile User Security (MUS)
❌ Không có workaround
Cisco xác nhận:
KHÔNG có biện pháp giảm thiểu (workaround)
👉 Chỉ có nâng cấp phần mềm mới khắc phục triệt để
👉 Chỉ có nâng cấp phần mềm mới khắc phục triệt để
✅ Phiên bản đã vá (Fixed Software)
ASA Software:
- 9.12 → 9.12.4.72
- 9.14 → 9.14.4.28
(đây là bản cuối cùng cho hai nhánh này)
⚠️ Một số model đã End of Support:
- 5512-X, 5515-X, 5585-X
- 5525-X, 5545-X, 5555-X (EOS 09/2025)
👉 Khuyến nghị: chuyển sang FTD hoặc phiên bản mới hơn
🛠️ Khuyến nghị từ Cisco
Sau khi nâng cấp:
- Bật Threat Detection cho VPN Services
- Giám sát:
- VPN login abuse
- Client initiation attack
- Kết nối VPN bất thường
🧠 Góc nhìn thực tế (Blue Team / SOC)
- Đây là RCE trên firewall – cấp độ “nightmare”
- Chỉ cần 1 tài khoản VPN bị lộ
- Firewall trở thành điểm pivot hoàn hảo
- SOC nên:
- Audit toàn bộ VPN users
- Rotate credential
- Kiểm tra log VPN & reload bất thường
Cisco Advisory:
👉 https://sec.cloudapps.cisco.com/secu...ebvpn-z5xP8EUB
💬 Kết luận
Nếu hệ thống của bạn đang dùng Cisco ASA/FTD + VPN mà chưa vá → rủi ro bị chiếm quyền là rất cao.
👉 Nâng cấp NGAY – không chờ đợi.