Cisco cảnh báo: Lỗ hổng CVE zero-day nghiêm trọng bị khai thác

Cisco đã xác nhận việc khai thác tích cực một **lỗ hổng CVE** zero-day nghiêm trọng, cho phép thực thi mã từ xa (RCE) trong các thiết bị Cisco Secure Email Gateway và Secure Email and Web Manager. Đây là một **CVE nghiêm trọng** với khả năng gây ảnh hưởng toàn diện đến hệ thống.

Tổng quan về Lỗ hổng CVE-2025-20393

Lỗ hổng này được theo dõi dưới mã định danh **CVE-2025-20393**. Nó cho phép kẻ tấn công chưa được xác thực thực thi các lệnh ở cấp độ root tùy ý thông qua các yêu cầu HTTP được tạo lỗi đến tính năng Spam Quarantine. Chi tiết về CVE có thể tham khảo tại NVD – CVE-2025-20393.

Cơ chế khai thác và Điểm CVSS

Nguyên nhân của **lỗ hổng CVE** này xuất phát từ việc xác thực không đầy đủ các yêu cầu HTTP trong tính năng Spam Quarantine của phần mềm Cisco AsyncOS. Điều này tạo điều kiện cho việc thực thi lệnh từ xa với quyền root trên các thiết bị bị ảnh hưởng.

Được phân loại dưới CWE-20 (Improper Input Validation), **lỗ hổng CVE** này đạt điểm **CVSSv3.1** cơ sở tối đa là **10.0**. Mức điểm này nhấn mạnh khả năng tiếp cận qua mạng, độ phức tạp thấp của khai thác và tác động toàn diện đến tính bảo mật, tính toàn vẹn và tính sẵn sàng của hệ thống.

Các Hệ thống bị Ảnh hưởng và Điều kiện Khai thác

Việc khai thác **lỗ hổng CVE** nhắm mục tiêu vào các thiết bị mà tính năng Spam Quarantine được bật và tiếp xúc với internet. Thông thường, tính năng này hoạt động trên cổng **6025**. Cấu hình này không được bật theo mặc định và không được khuyến nghị trong các hướng dẫn triển khai của Cisco.

Cisco bắt đầu nhận thức được các cuộc **tấn công mạng** vào ngày **10 tháng 12 năm 2025**, với bằng chứng về việc khai thác đã có từ tháng **11 năm 2025**.

Tác nhân đe dọa và Công cụ khai thác

Cisco Talos đã xác định chiến dịch tấn công do nhóm tác nhân đe dọa tiên tiến (APT) **UAT-9686** (còn gọi là **UNC-9686**) thực hiện. Đánh giá này dựa trên sự trùng lặp về công cụ với các nhóm như **APT41** và **UNC5174**.

Công cụ và Kỹ thuật Sau Khai thác

Kẻ tấn công sử dụng một backdoor dựa trên Python có tên **AquaShell** để duy trì quyền truy cập từ xa. Ngoài ra, chúng còn triển khai các công cụ đường hầm SSH ngược như **AquaTunnel** và **Chisel** để dịch chuyển ngang trong mạng nội bộ. Công cụ **AquaPurge** được sử dụng để xóa nhật ký nhằm tránh bị phát hiện.

Các mục tiêu của cuộc **tấn công mạng** này bao gồm các ngành viễn thông và cơ sở hạ tầng quan trọng. Mục tiêu sau khai thác tập trung vào hoạt động gián điệp, không phải mã độc tống tiền (ransomware). Đây là một đặc điểm quan trọng của **lỗ hổng CVE** này và cách nó bị khai thác.

Cảnh báo và Hướng dẫn của CISA

Cơ quan An ninh mạng và Hạ tầng Hoa Kỳ (CISA) đã bổ sung **CVE-2025-20393** vào danh mục các lỗ hổng bị khai thác đã biết (Known Exploited Vulnerabilities – KEV) vào ngày **17 tháng 12 năm 2025**. CISA yêu cầu các cơ quan liên bang phải giảm thiểu rủi ro này trước ngày **24 tháng 12 năm 2025**.

Tính đến tháng **1 năm 2026**, chưa có mã khai thác (proof-of-concept) công khai nào tồn tại, nhưng hoạt động quét tự động đã gia tăng đáng kể, cho thấy sự quan tâm ngày càng lớn đến **lỗ hổng CVE** này.

Các Chỉ số Thỏa hiệp (IOCs)

Các chỉ số thỏa hiệp bao gồm:

• Cơ chế duy trì quyền truy cập (persistence mechanism) được cấy ghép vào hệ thống.
• Kênh ẩn (covert channel) được thiết lập cho việc truy cập từ xa.

Cisco khuyến nghị xác minh tình trạng thỏa hiệp thông qua hỗ trợ của Trung tâm Hỗ trợ Kỹ thuật (TAC) với quyền truy cập từ xa được bật.

Khắc phục và Bản vá Bảo mật

Cisco đã phát hành các **bản vá bảo mật** để khắc phục **lỗ hổng CVE** này và loại bỏ các cơ chế duy trì truy cập đã biết. Hiện tại không có giải pháp tạm thời (workaround) nào cho lỗ hổng này. Các quản trị viên nên nâng cấp hệ thống ngay lập tức.

Chi tiết về các bản vá có thể được tìm thấy trong thông báo bảo mật của Cisco: Cisco Security Advisory: cisco-sa-sma-attack-N9bf4.

Kiểm tra và Xác minh Cấu hình

Quản trị viên cũng nên xác nhận trạng thái của tính năng Spam Quarantine thông qua giao diện web của thiết bị, tại mục Network > IP Interfaces. Việc này giúp đảm bảo rằng các cấu hình không mong muốn đã được vô hiệu hóa hoặc cấu hình đúng theo khuyến nghị.

Các phiên bản **bản vá bảo mật** đã được phát hành cho:

• Cisco Secure Email Gateway Fixed Releases
• Cisco Secure Email and Web Manager Fixed Releases

Các biện pháp Tăng cường Bảo mật Bổ sung

Ngoài việc cài đặt **bản vá bảo mật**, các biện pháp tăng cường bảo mật bổ sung bao gồm:

• Thiết lập tường lửa (firewalling) để hạn chế truy cập không mong muốn.
• Tách riêng các giao diện thư điện tử (mail interfaces) và giao diện quản lý (management interfaces).
• Vô hiệu hóa các dịch vụ không cần thiết như HTTP/FTP.
• Sử dụng các giao thức xác thực mạnh mẽ như SAML hoặc LDAP.

Các dịch vụ Cisco Secure Email Cloud vẫn không bị ảnh hưởng bởi **lỗ hổng CVE** này. Các tổ chức nên tiếp tục giám sát nhật ký bên ngoài và liên hệ với TAC để đánh giá nếu nghi ngờ có sự thỏa hiệp.