Lỗ hổng CVE Cisco Firepower: Nguy hiểm và khẩn cấp

Tin tức bảo mật mới liên quan đến lỗ hổng CVE trên Cisco Firepower cho thấy các thiết bị biên mạng đang bị nhắm mục tiêu bằng chuỗi khai thác từ các vulnerabilities n-day để triển khai backdoor tùy biến. Cisco Talos ghi nhận nhóm đe dọa tập trung vào hoạt động gián điệp đang khai thác CVE-2025-20333 và CVE-2025-20362 để xâm nhập môi trường Firepower Extensible Operating System (FXOS).

Chuỗi khai thác trên Cisco Firepower

Các phát hiện cho thấy tác nhân đã sử dụng quyền truy cập ban đầu để cài đặt implant FIRESTARTER, một backdoor cho phép điều khiển từ xa trái phép trên hệ thống bị xâm nhập. Mục tiêu của chiến dịch là các thiết bị Cisco ASA và FTD, nơi mã độc bám sâu vào thành phần lõi của thiết bị.

FIRESTARTER nhắm vào tiến trình LINA, từ đó thực thi shellcode tùy ý trực tiếp trong bộ nhớ thiết bị. Cách tiếp cận này giúp kẻ tấn công kiểm soát luồng xử lý mà không cần phụ thuộc vào file thực thi truyền thống trên đĩa.

Các kỹ thuật duy trì quyền truy cập

Để tạo foothold, tác nhân thao túng chuỗi khởi động của thiết bị bằng cách sửa Cisco Service Platform mount list. Cơ chế duy trì này có tính chất tạm thời và chỉ kích hoạt khi hệ thống khởi động lại theo kiểu graceful reboot.

Khi thiết bị nhận tín hiệu dừng chuẩn, FIRESTARTER sao chép chính nó vào một file log dự phòng và cập nhật mount list để đảm bảo có thể chạy lại. Sau khi payload khởi động lại, mã độc phục hồi mount list gốc và xóa các file tạm nhằm che giấu dấu vết.

Do phụ thuộc mạnh vào trạng thái runlevel, quản trị viên có thể loại bỏ implant bằng hard reboot, chẳng hạn ngắt nguồn điện vật lý của phần cứng.

Lỗ hổng CVE và chuỗi tấn công mạng

Các cảnh báo CVE lần này xoay quanh việc khai thác hai lỗ hổng đã biết để xâm nhập FXOS. Cisco Talos cho biết chiến dịch tận dụng quyền truy cập ban đầu để triển khai backdoor và mở rộng kiểm soát trên thiết bị biên mạng.

Thông tin kỹ thuật công khai về các mã định danh có thể được đối chiếu thêm tại NVD NIST. Điều này hữu ích khi xác minh mức độ rủi ro bảo mật và theo dõi trạng thái bản vá bảo mật liên quan.

Cơ chế chèn mã và chiếm quyền điều khiển

Trong pha lây nhiễm, FIRESTARTER quét bộ nhớ tiến trình LINA để tìm các byte marker cụ thể và một vùng nhớ thực thi liên quan đến shared library framework. Khi phát hiện môi trường phù hợp, mã độc sao chép shellcode thứ cấp vào bộ nhớ và ghi đè một cấu trúc dữ liệu nội bộ hợp lệ.

Quá trình này thay thế một WebVPN XML handler chuẩn bằng routine độc hại của kẻ tấn công. Sau đó, FIRESTARTER chặn các request WebVPN đến và kiểm tra tiền tố tùy chỉnh trong dữ liệu đầu vào.

Nếu request khớp với prefix đặc biệt, shellcode đính kèm sẽ được thực thi ngay. Nếu không khớp, backdoor chuyển tiếp request đến handler gốc để tránh gây nghi ngờ trong quá trình vận hành.

FIRESTARTER backdoor và dấu hiệu xâm nhập

Theo phân tích, cơ chế nạp của FIRESTARTER có nhiều điểm tương đồng kỹ thuật với phương thức triển khai của RayInitiator. Điều này cho thấy cùng một phong cách thiết kế implant nhằm duy trì khả năng điều khiển bí mật trong mối đe dọa mạng nhắm vào thiết bị biên.

Cisco Talos khuyến nghị săn tìm dấu vết FIRESTARTER bằng cách kiểm tra các file artifact và tiến trình bất thường trên thiết bị. Đây là bước quan trọng để phát hiện xâm nhập sớm và ngăn hoạt động gián điệp tiếp diễn.

IOC cần theo dõi

• Tên implant: FIRESTARTER
• Tiến trình bị nhắm đến: LINA
• Thành phần liên quan: Cisco Service Platform mount list
• Handler bị thay thế: WebVPN XML handler
• Hành vi: Copy sang backup log file, sửa mount list, xóa file tạm sau khi khởi động lại
• Dấu hiệu kỹ thuật: Shellcode thứ cấp trong bộ nhớ, request WebVPN có custom prefix

Ảnh hưởng hệ thống và rủi ro an toàn thông tin

Chiến dịch này cho phép chiếm quyền điều khiển ở mức sâu trên thiết bị perimeter, từ đó mở đường cho truy cập trái phép kéo dài và quan sát lưu lượng nội bộ. Với vai trò thiết bị biên mạng, Cisco Firepower khi bị xâm nhập có thể trở thành điểm bám cho các tấn công mạng tiếp theo.

Rủi ro đáng chú ý nằm ở khả năng che giấu hoạt động bằng cách xử lý request hợp lệ song song với routine độc hại. Cách này làm giảm khả năng phát hiện tấn công nếu chỉ dựa trên dấu hiệu vận hành bề mặt.

Đối với môi trường sử dụng ASA/FTD/FXOS, việc theo dõi tin bảo mật mới nhất, đối chiếu lỗ hổng CVE và kiểm tra trạng thái cập nhật bản vá là yêu cầu bắt buộc để giảm nguy cơ bảo mật.

Kiểm tra và xử lý sự cố

Quản trị viên nên rà soát các file artifact, tiến trình bất thường và dấu hiệu sửa đổi mount list trên thiết bị Firepower. Nếu phát hiện hành vi nghi vấn tương ứng với FIRESTARTER, cần cô lập thiết bị và đánh giá lại toàn bộ đường truy cập quản trị.

Trong trường hợp cần loại bỏ implant khỏi bộ nhớ, hard reboot là biện pháp được mô tả là có thể xóa sạch cơ chế bám víu dựa trên runlevel. Tuy nhiên, cần kết hợp với kiểm tra cấu hình và xác minh integrity sau khi thiết bị khởi động lại.

Từ khóa chính: lỗ hổng CVE, tin tức bảo mật, FIRESTARTER, Cisco Firepower, Cisco ASA, FTD, FXOS, phát hiện xâm nhập, update vá lỗi, an toàn thông tin