Cisco’ning ASA va FTD qurilmalarida xavfli «0-day» RCE zaiflik: Xakerlar faol ekspluatatsiya qilmoqda
2025-yilning kuzida kiberxavfsizlik sohasida yana jiddiy xavotir paydo bo‘ldi. Cisco kompaniyasi o‘zining Secure Firewall Adaptive Security Appliance (ASA) hamda Firepower Threat Defense (FTD) mahsulotlarida aniqlangan kritik xavfsizlik zaifligi — CVE-2025-20333 haqida rasmiy ogohlantirish berdi. Mazkur zaiflik allaqachon yovvoyi muhitda (in the wild) xakerlar tomonidan ekspluatatsiya qilinmoqda.
🔥 Zaiflik mohiyati — to‘liq nazoratga yo‘l ochuvchi RCE hujumi
Ushbu zaiflik remote code execution (RCE) turiga kiradi, ya’ni xaker qurilmada masofadan turib kod ishga tushira oladi. CVSS xavf darajasi 9.9/10 bo‘lib, bu uni eng xavfli zaifliklar qatoriga qo‘yadi.
Muammo webvpn komponentidagi buffer overflow (CWE-120) xatosidan kelib chiqadi. Xaker VPN uchun haqiqiy login ma’lumotlariga ega bo‘lsa, maxsus tuzilgan HTTP(S) so‘rovlar orqali tizimga kirib, quyidagi harakatlarni amalga oshirishi mumkin:
- root darajasida kod ishga tushirish,
- qurilmani to‘liq egallash,
- tarmoqqa chuqur kirib borish (pivoting),
- VPN trafiklarini ko‘rish yoki ma’lumotlarni o‘g‘irlash,
- zararli dastur o‘rnatish.
Cisco’ning 2025-yil 5-noyabrda yangilangan maslahatiga ko‘ra, xakerlar zaiflikning yangi ekspluatatsiya variantidan foydalanib, qurilmalarni kutilmaganda qayta yuklanishga majbur qilishlari mumkin. Bu esa xizmat ko‘rsatishdagi uzilishlarga (DoS) olib keladi.
🛑 Kimlar xavf ostida?
Zaiflik faqat VPN funksiyalari yoqilgan qurilmalarda faollashadi. Xususan:
ASA qurilmalarida:
- AnyConnect IKEv2
- Mobile User Security (MUS)
- SSL VPN (
webvpn enable <interface>buyrug‘i bilan yoqilgan bo‘lsa)
FTD qurilmalarida:
- IKEv2 Remote Access
- SSL VPN (Cisco Secure Firewall Management Center orqali boshqariladigan interfeysda)
💡 Cisco Secure FMC Software ushbu zaiflikdan ta’sirlanmaydi.
📌 Ta’sirlangan va tuzatilgan versiyalar
| Mahsulot | Zaif bo‘lgan versiyalar | Tuzatilgan versiyalar |
|---|---|---|
| Cisco ASA | 9.8.x – 9.16.4.22 / 9.18.1 – 9.18.4.18 / 9.20.1 va avvalgi | 9.16.4.23+ / 9.18.4.19+ / 9.20.2+ |
| Cisco FTD | 6.2.2 – 6.6.7.1 / 6.7.0 – 7.0.5 / 7.2.0 – 7.2.5 / 7.4.0 – 7.4.1.1 | 6.6.7.2+ / 7.0.6+ / 7.2.6+ / 7.4.2+ |
🔧 Cisco tavsiyalari — yagona yechim: zudlik bilan yangilash
Mazkur zaiflikka hech qanday vaqtinchalik yechim (workaround) mavjud emas.
Cisco tavsiya qiladi:
- Qurilma konfiguratsiyasini tekshirish:
show running-configVPN funksiyasi yoqilgan bo‘lsa, zaif versiya bo‘lish ehtimoli yuqori.
Rasmiy yamoqlarni o‘rnatish (patched build) — yagona himoya vositasi.
🛡 Tashkilotlar uchun qo‘shimcha himoya choralar
- VPN uchun ko‘p faktorli autentifikatsiya (MFA) yoqish.
- Tarmoqqa kirish huquqini kamroq imtiyozlar bilan cheklash (least privilege).
- IDS/IPS orqali anomal VPN trafiklarini monitoring qilish.
- Loglarni muntazam tahlil qilish.
Ushbu voqea yana bir bor ko‘rsatadiki:
Perimetr tarmog‘ini himoya qiluvchi qurilmalarni yangilamaslik — tashkilotning butun IT infratuzilmasini xavf ostiga qo‘yadi.
Kiber tahdidlar tobora murakkablashib bormoqda. Yamoqlarni kechiktirish esa xakerlar uchun ochiq eshik qoldiradi. Cisco’ning ogohlantirishi — har qanday tashkilot uchun jiddiy signal:
✅ tarmoqqa kirish nuqtalarini mustahkamlash
✅ yamoqlarni o‘z vaqtida o‘rnatish
✅ xavfsizlik monitoringini uzluksiz davom ettirish
Bu bugungi kunda eng zarur himoya strategiyasidir.
