CISA สั่งหน่วยงานรัฐบาลสหรัฐฯ เร่งแพตช์ช่องโหว่ Zero-Day ร้ายแรงบนไฟร์วอลล์ Cisco
สำนักงานความมั่นคงทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ได้ออกคำสั่งด่วนให้หน่วยงานรัฐบาลกลางทั้งหมดเร่งอัปเดตแพตช์เพื่ออุดช่องโหว่ Zero-Day ร้ายแรงที่ตรวจพบบนอุปกรณ์ไฟร์วอลล์ในซีรีส์ Cisco ASA 5500-X Series หลังพบว่าถูกใช้ในการโจมตีจริงแล้ว ในปฏิบัติการที่มีชื่อว่า ArcaneDoor
ช่องโหว่ที่ถูกใช้งานจริง
ช่องโหว่หลักที่ถูกระบุคือ CVE-2025-20362 และ CVE-2025-20333 ซึ่งส่งผลกระทบต่ออุปกรณ์ Cisco ASA รุ่นเก่าที่ผลิตก่อนมีการเพิ่มคุณสมบัติ Secure Boot และ Trust Anchor
- CVE-2025-20362 เปิดช่องให้ผู้โจมตีสามารถหลีกเลี่ยงกระบวนการยืนยันตัวตน VPN และเข้าถึงทรัพยากรที่ควรถูกจำกัดได้
- CVE-2025-20333 จัดอยู่ในระดับร้ายแรง 9.9/10 ทำให้ผู้โจมตีสามารถเข้าถึงสิทธิระดับ root และควบคุมอุปกรณ์ได้เต็มรูปแบบ
ช่องโหว่เหล่านี้เปิดโอกาสให้ผู้โจมตีสามารถรันโค้ดจากระยะไกลโดยไม่ต้องยืนยันตัวตน รวมถึงติดตั้งมัลแวร์ในระดับ ROMMON (boot firmware) ซึ่งทำให้มัลแวร์ยังคงทำงานแม้อุปกรณ์ถูกรีบูตหรือติดตั้งเฟิร์มแวร์ใหม่
แคมเปญ ArcaneDoor
Cisco เปิดเผยว่า ช่องโหว่นี้ถูกใช้โจมตีจริงตั้งแต่เดือนพฤษภาคมที่ผ่านมา โดยพบการพุ่งเป้าไปที่เครือข่ายของหน่วยงานรัฐบาลสหรัฐฯ ภายใต้แคมเปญที่มีชื่อว่า ArcaneDoor
ผู้โจมตีใช้วิธีติดตั้งมัลแวร์แบบ bootkit เพื่อคงอยู่ในระบบ ปิดฟังก์ชัน logging เพื่อหลบเลี่ยงการตรวจจับ และบางกรณีทำให้อุปกรณ์ล่มเพื่อขัดขวางการวิเคราะห์ เหตุการณ์นี้สะท้อนให้เห็นถึงความซับซ้อนและความอันตรายของภัยคุกคามไซเบอร์ที่เจาะจงโจมตีโครงสร้างพื้นฐานสำคัญของรัฐ
คำสั่งเร่งด่วนจาก CISA
CISA กำหนดให้หน่วยงานรัฐบาลกลางทุกแห่งต้องดำเนินการดังนี้ภายในวันที่ 30 กันยายน 2025 เวลา 23:59 น. (EDT)
- จัดทำบัญชีอุปกรณ์ (inventory) Cisco ASA 5500-X Series ที่ใช้งานอยู่
- ตรวจสอบว่าอุปกรณ์ใดมีความเสี่ยง ถูกเจาะ หรือติดตั้งแพตช์ไม่ได้
- หากอุปกรณ์ไม่สามารถอัปเดตหรือถูกโจมตีแล้ว ต้องตัดออกจากระบบทันที
- อุปกรณ์ที่สามารถอัปเดตได้ ต้องทำการติดตั้งแพตช์อย่างสมบูรณ์ภายในเส้นตายที่กำหนด
หากอุปกรณ์ใดหมดอายุซัพพอร์ต (EOL) และไม่สามารถแพตช์ได้ ให้ยุติการใช้งานเพื่อป้องกันความเสี่ยงที่จะลุกลามสู่ระบบเครือข่ายอื่น