Cisco cảnh báo lỗ hổng bảo mật chưa được vá (0-day) trong thiết bị email AsyncOS

[T-X]

Cisco đã cảnh báo người dùng về một lỗ hổng bảo mật zero-day mức độ nghiêm trọng cao nhất trong phần mềm Cisco AsyncOS, đang bị một nhóm tin tặc tấn công dai dẳng (APT) có liên hệ với Trung Quốc, mang tên mã UAT-9686, khai thác trong các cuộc tấn công nhắm vào Cisco Secure Email Gateway và Cisco Secure Email and Web Manager.

Hãng sản xuất thiết bị mạng cho biết họ đã phát hiện ra chiến dịch xâm nhập này vào ngày 10 tháng 12 năm 2025 và đã xác định được một "nhóm thiết bị hạn chế" có một số cổng nhất định được mở ra internet. Hiện chưa rõ có bao nhiêu khách hàng bị ảnh hưởng.

Cisco cho biết trong một thông báo: "Cuộc tấn công này cho phép các tác nhân đe dọa thực thi các lệnh tùy ý với quyền root trên hệ điều hành cơ bản của thiết bị bị ảnh hưởng. Cuộc điều tra đang diễn ra đã phát hiện bằng chứng về một cơ chế duy trì hoạt động do các tác nhân đe dọa cài đặt để duy trì mức độ kiểm soát nhất định đối với các thiết bị bị xâm nhập."

Lỗ hổng bảo mật chưa được vá này đang được theo dõi với mã số CVE-2025-20393 và có điểm CVSS là 10.0. Nó liên quan đến trường hợp xác thực đầu vào không đúng cách, cho phép các tác nhân đe dọa thực thi các lệnh độc hại với quyền hạn cao trên hệ điều hành cơ bản.

Tất cả các phiên bản phần mềm Cisco AsyncOS đều bị ảnh hưởng. Tuy nhiên, để khai thác thành công, các điều kiện sau phải được đáp ứng đối với cả phiên bản vật lý và ảo của thiết bị Cisco Secure Email Gateway và Cisco Secure Email and Web Manager:

    Thiết bị được cấu hình với tính năng cách ly thư rác.
    Tính năng cách ly thư rác được hiển thị và có thể truy cập được từ internet.

Cần lưu ý rằng tính năng cách ly thư rác không được bật mặc định. Để kiểm tra xem tính năng này có được bật hay không, người dùng nên làm theo các bước sau:

    Kết nối với giao diện quản lý web
    Điều hướng đến Mạng > Giao diện IP > [Chọn giao diện mà bạn đã cấu hình Kiểm dịch thư rác] (đối với Cổng Email Bảo mật) hoặc Thiết bị Quản lý > Mạng > Giao diện IP > [Chọn giao diện mà bạn đã cấu hình Kiểm dịch thư rác] (đối với Email Bảo mật và Trình quản lý Web)
    Nếu tùy chọn "Cách ly thư rác" được chọn, tính năng này sẽ được kích hoạt.

Hoạt động khai thác được Cisco ghi nhận có từ ít nhất cuối tháng 11 năm 2025, với lỗ hổng UAT-9686 được sử dụng để tấn công các công cụ tạo đường hầm như ReverseSSH (hay còn gọi là AquaTunnel) và Chisel, cũng như tiện ích dọn dẹp nhật ký có tên AquaPurge. Việc sử dụng AquaTunnel trước đây đã được liên kết với các nhóm tin tặc Trung Quốc như APT41 và UNC5174.

Ngoài ra, trong các cuộc tấn công còn sử dụng một loại mã độc Python nhẹ có tên AquaShell, có khả năng nhận các lệnh được mã hóa và thực thi chúng.

Cisco cho biết : "Nó lắng nghe một cách thụ động các yêu cầu HTTP POST không được xác thực có chứa dữ liệu được tạo ra đặc biệt. Nếu phát hiện yêu cầu như vậy, phần mềm độc hại sẽ cố gắng phân tích nội dung bằng một quy trình giải mã tùy chỉnh và thực thi chúng trong trình shell của hệ thống."

Trong trường hợp không có bản vá lỗi, người dùng nên khôi phục thiết bị về cấu hình bảo mật, hạn chế truy cập từ internet, bảo vệ thiết bị bằng tường lửa để chỉ cho phép lưu lượng truy cập từ các máy chủ đáng tin cậy, tách biệt chức năng thư điện tử và quản lý trên các giao diện mạng riêng biệt, theo dõi lưu lượng nhật ký web để phát hiện bất kỳ lưu lượng truy cập bất thường nào và tắt HTTP cho cổng quản trị chính.

Ngoài ra, bạn cũng nên tắt mọi dịch vụ mạng không cần thiết, sử dụng các phương thức xác thực người dùng cuối mạnh mẽ như SAML hoặc LDAP, và thay đổi mật khẩu quản trị mặc định thành một mật khẩu an toàn hơn.

"Trong trường hợp bị xâm nhập xác nhận, việc khôi phục lại thiết bị hiện là lựa chọn khả thi duy nhất để loại bỏ cơ chế duy trì sự hiện diện của kẻ tấn công khỏi thiết bị", công ty cho biết.

Diễn biến này đã khiến Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) bổ sung CVE-2025-20393 vào danh mục Các lỗ hổng đã bị khai thác ( KEV ) của mình, yêu cầu các cơ quan thuộc nhánh hành pháp dân sự liên bang (FCEB) phải áp dụng các biện pháp khắc phục cần thiết trước ngày 24 tháng 12 năm 2025 để bảo vệ mạng lưới của họ.

Thông tin này được đưa ra sau khi GreyNoise cho biết họ đã phát hiện ra một "chiến dịch đánh cắp thông tin đăng nhập tự động, có tổ chức" nhắm vào cơ sở hạ tầng xác thực VPN của doanh nghiệp, cụ thể là dò tìm các cổng Cisco SSL VPN và Palo Alto Networks GlobalProtect bị lộ hoặc được bảo vệ yếu.

Ước tính có hơn 10.000 địa chỉ IP duy nhất đã tham gia vào các nỗ lực đăng nhập tự động vào các cổng thông tin GlobalProtect đặt tại Mỹ, Pakistan và Mexico bằng cách sử dụng các tổ hợp tên người dùng và mật khẩu phổ biến vào ngày 11 tháng 12 năm 2025. Một sự gia tăng tương tự về các nỗ lực đăng nhập bằng phương pháp tấn công vét cạn (brute-force) đã được ghi nhận đối với các điểm cuối Cisco SSL VPN vào ngày 12 tháng 12 năm 2025. Hoạt động này bắt nguồn từ 1.273 địa chỉ IP.

"Hoạt động này phản ánh các nỗ lực đăng nhập tự động quy mô lớn, chứ không phải là khai thác lỗ hổng bảo mật," công ty tình báo về mối đe dọa cho biết. "Việc sử dụng cơ sở hạ tầng nhất quán và thời điểm thực hiện cho thấy một chiến dịch duy nhất đang chuyển hướng qua nhiều nền tảng VPN."