Cisco เตือนภัย Zero-Day บน ASA Firewall ถูกโจมตีจริง แนะอัปเดตซอฟต์แวร์
Cisco ได้ออกคำเตือนแก่ผู้ใช้งานเกี่ยวกับ ช่องโหว่ Zero-Day สองรายการ บนอุปกรณ์ไฟร์วอลล์ ซึ่งมีการโจมตีใช้งานจริงเกิดขึ้นแล้ว โดยบริษัทแนะนำให้ผู้ใช้เร่งอัปเดตเป็นเวอร์ชันที่มีการแพตช์โดยทันที เพื่อป้องกันความเสี่ยงที่อาจบานปลาย
Cisco เผยว่า มีช่องโหว่ 2 รายการ ที่ถูกนำไปใช้โจมตีแล้ว ได้แก่
1. CVE-2025-20333 — ช่องโหว่นี้กระทบอุปกรณ์ที่ใช้ซอฟต์แวร์ Cisco ASA และ Firewall Threat Defense (FTD) โดยเปิดทางให้ผู้โจมตีที่ผ่านการยืนยันตัวตน (authenticated remote attackers) สามารถรันโค้ดตามอำเภอใจ (execute arbitrary code) บนอุปกรณ์ที่มีจุดอ่อนได้
2. CVE-2025-20362 — ช่องโหว่อันตรายที่อนุญาตให้ผู้โจมตีจากระยะไกลเข้าถึง URL endpoints ที่ถูกจำกัด (restricted URL endpoints) ได้โดยไม่ต้องยืนยันตัวตน (unauthenticated)
ในคำแนะนำของ Cisco ระบุว่า ทีม PSIRT (Product Security Incident Response Team) ได้รับทราบถึงความพยายามในการใช้ประโยชน์จากช่องโหว่เหล่านี้จริง และแนะนำให้ลูกค้าอัปเกรดซอฟต์แวร์เป็นเวอร์ชันที่ได้รับการแก้ไข (fixed release) เพื่อบรรเทาความเสี่ยง
นอกจากนี้ Cisco ได้ขอบคุณหน่วยงานด้านความมั่นคงปลอดภัยต่างประเทศที่ให้ความช่วยเหลือในการสืบสวนช่องโหว่ ได้แก่ Australian Cyber Security Centre, Canadian Centre for Cyber Security, UK NCSC, และ CISA
และแม้จะไม่เชื่อมโยงโดยตรงกับการโจมตี Zero-Day ข้างต้น แต่ Cisco ยังได้ออกแพตช์สำหรับช่องโหว่ CVE-2025-20363 ซึ่งเป็นช่องโหว่สำคัญ (critical) ที่กระทบกับอุปกรณ์ไฟร์วอลล์และซอฟต์แวร์ Cisco IOS โดยช่องโหว่นี้อนุญาตให้ผู้โจมตีที่ไม่ได้ยืนยันตัวตน (unauthenticated threat actors) รันโค้ดจากระยะไกลได้ หากอุปกรณ์ยังไม่ได้รับการแพตช์
Cisco แสดงความระมัดระวังแม้ว่าไม่พบหลักฐานที่แน่ชัดว่าสามารถเชื่อมโยงกับการโจมตี Zero-Day ในปัจจุบัน แต่ก็แนะนำให้องค์กรอัปเดตเพื่อปิดความเสี่ยงที่อาจเกิดขึ้นในอนาคต
ก่อนหน้าการเผยแพร่แพตช์ Cisco บริษัทด้านความปลอดภัย GreyNoise ตรวจพบแคมเปญโจมตีขนาดใหญ่ในปลายเดือนสิงหาคม โดย มี IP ไม่ซ้ำกันสูงสุดถึง 25,000 รายการ มุ่งเป้าไปยังพอร์ทัลเข้าสู่ระบบ ASA และบริการ IOS Telnet/SSH ที่เปิดเผยสู่สาธารณะ
ด้าน GreyNoise เคยรายงานว่า กิจกรรมสำรวจหรือ reconnaissance เช่นนี้ มักเกิดก่อนการเปิดเผยช่องโหว่ใหม่ — พบว่าใน 80% ของกรณี จะตามมาด้วยการโจมตีจริง
การตรวจพบแคมเปญเช่นนี้ถือเป็นสัญญาณเตือนล่วงหน้าว่าแฮ็กเกอร์อาจกำลังทดสอบหรือสแกนอุปกรณ์เป้าหมายเพื่อเตรียมโจมตีในอนาคต
ทั้งนี้ เหตุการณ์นี้เกิดขึ้นไม่นานหลังจาก Cisco ได้ปล่อยแพตช์สำหรับช่องโหว่ Zero-Day ใน Cisco IOS และ IOS XE ที่ถูกโจมตีอย่างแพร่หลาย นั่นสะท้อนภาพที่ว่า Cisco — เป็นผู้ผลิตอุปกรณ์เครือข่ายยอดนิยมในองค์กร — ยังคงเป็นเป้าหมายอันดับต้น ๆ สำหรับการโจมตีทางไซเบอร์ โดยเหตุการณ์ซ้ำ ๆ แสดงให้เห็นว่าอุปกรณ์โครงสร้างพื้นฐานสำคัญ แม้จะเป็นระบบที่มีความเชื่อถือสูง ยังคงมีจุดอ่อนที่อาจถูกโจมตีได้หากไม่ได้รับการดูแลหรืออัปเดตอย่างต่อเนื่อง
เพื่อรับมือกับความเสี่ยงที่เกิดขึ้น องค์กรที่ใช้งานอุปกรณ์ Cisco ASA, FTD, IOS หรือ IOS XE ควรดำเนินการตามมาตรการดังนี้:
- ตรวจสอบเวอร์ชันซอฟต์แวร์ที่ใช้งาน และวางแผนอัปเกรดเป็นเวอร์ชันที่มีการแพตช์
- ปิดบริการที่ไม่จำเป็น เช่น Telnet หรือบริการที่ไม่ได้ใช้งาน
- ใช้การยืนยันตัวตนที่เข้มงวด (MFA, การกำหนดนโยบายเข้มงวด)
- ติดตามและวิเคราะห์บันทึกเหตุการณ์ (log) ผ่านระบบ SIEM / SOC
- ทดสอบระบบหลังการอัปเดต และเฝ้าระวังประกาศความปลอดภัยใหม่จาก Cisco