Cisco’ning ASA va FTD qurilmalarida xavfli «0-day» RCE zaiflik: Xakerlar faol ekspluatatsiya qilmoqda

2025-yilning kuzida kiberxavfsizlik sohasida yana jiddiy xavotir paydo bo‘ldi. Cisco kompaniyasi o‘zining Secure Firewall Adaptive Security Appliance (ASA) hamda Firepower Threat Defense (FTD) mahsulotlarida aniqlangan kritik xavfsizlik zaifligi — CVE-2025-20333 haqida rasmiy ogohlantirish berdi. Mazkur zaiflik allaqachon yovvoyi muhitda (in the wild) xakerlar tomonidan ekspluatatsiya qilinmoqda.

🔥 Zaiflik mohiyati — to‘liq nazoratga yo‘l ochuvchi RCE hujumi

Ushbu zaiflik remote code execution (RCE) turiga kiradi, ya’ni xaker qurilmada masofadan turib kod ishga tushira oladi. CVSS xavf darajasi 9.9/10 bo‘lib, bu uni eng xavfli zaifliklar qatoriga qo‘yadi.

Muammo webvpn komponentidagi buffer overflow (CWE-120) xatosidan kelib chiqadi. Xaker VPN uchun haqiqiy login ma’lumotlariga ega bo‘lsa, maxsus tuzilgan HTTP(S) so‘rovlar orqali tizimga kirib, quyidagi harakatlarni amalga oshirishi mumkin:

  • root darajasida kod ishga tushirish,
  • qurilmani to‘liq egallash,
  • tarmoqqa chuqur kirib borish (pivoting),
  • VPN trafiklarini ko‘rish yoki ma’lumotlarni o‘g‘irlash,
  • zararli dastur o‘rnatish.

Cisco’ning 2025-yil 5-noyabrda yangilangan maslahatiga ko‘ra, xakerlar zaiflikning yangi ekspluatatsiya variantidan foydalanib, qurilmalarni kutilmaganda qayta yuklanishga majbur qilishlari mumkin. Bu esa xizmat ko‘rsatishdagi uzilishlarga (DoS) olib keladi.

🛑 Kimlar xavf ostida?

Zaiflik faqat VPN funksiyalari yoqilgan qurilmalarda faollashadi. Xususan:

ASA qurilmalarida:

  • AnyConnect IKEv2
  • Mobile User Security (MUS)
  • SSL VPN ( webvpn enable <interface> buyrug‘i bilan yoqilgan bo‘lsa)

FTD qurilmalarida:

  • IKEv2 Remote Access
  • SSL VPN (Cisco Secure Firewall Management Center orqali boshqariladigan interfeysda)

💡 Cisco Secure FMC Software ushbu zaiflikdan ta’sirlanmaydi.

📌 Ta’sirlangan va tuzatilgan versiyalar

MahsulotZaif bo‘lgan versiyalarTuzatilgan versiyalar
Cisco ASA9.8.x – 9.16.4.22 / 9.18.1 – 9.18.4.18 / 9.20.1 va avvalgi9.16.4.23+ / 9.18.4.19+ / 9.20.2+
Cisco FTD6.2.2 – 6.6.7.1 / 6.7.0 – 7.0.5 / 7.2.0 – 7.2.5 / 7.4.0 – 7.4.1.16.6.7.2+ / 7.0.6+ / 7.2.6+ / 7.4.2+

🔧 Cisco tavsiyalari — yagona yechim: zudlik bilan yangilash

Mazkur zaiflikka hech qanday vaqtinchalik yechim (workaround) mavjud emas.

Cisco tavsiya qiladi:

  1. Qurilma konfiguratsiyasini tekshirish:
show running-config

VPN funksiyasi yoqilgan bo‘lsa, zaif versiya bo‘lish ehtimoli yuqori.

Rasmiy yamoqlarni o‘rnatish (patched build) — yagona himoya vositasi.

🛡 Tashkilotlar uchun qo‘shimcha himoya choralar

  • VPN uchun ko‘p faktorli autentifikatsiya (MFA) yoqish.
  • Tarmoqqa kirish huquqini kamroq imtiyozlar bilan cheklash (least privilege).
  • IDS/IPS orqali anomal VPN trafiklarini monitoring qilish.
  • Loglarni muntazam tahlil qilish.

Ushbu voqea yana bir bor ko‘rsatadiki:

Perimetr tarmog‘ini himoya qiluvchi qurilmalarni yangilamaslik — tashkilotning butun IT infratuzilmasini xavf ostiga qo‘yadi.

Kiber tahdidlar tobora murakkablashib bormoqda. Yamoqlarni kechiktirish esa xakerlar uchun ochiq eshik qoldiradi. Cisco’ning ogohlantirishi — har qanday tashkilot uchun jiddiy signal:

✅ tarmoqqa kirish nuqtalarini mustahkamlash
✅ yamoqlarni o‘z vaqtida o‘rnatish
✅ xavfsizlik monitoringini uzluksiz davom ettirish

Bu bugungi kunda eng zarur himoya strategiyasidir.