Cisco đã công bố các lỗ hổng CVE nghiêm trọng ảnh hưởng đến Identity Services Engine (ISE) và ISE Passive Identity Connector (ISE-PIC). Các lỗ hổng này có khả năng cho phép kẻ tấn công thực thi mã độc từ xa (RCE) và truy cập dữ liệu nhạy cảm, tạo ra rủi ro bảo mật đáng kể cho các mạng doanh nghiệp.
Chi tiết các Lỗ hổng Cisco ISE
CVE-2026-20181: Lỗ hổng Thực thi Mã Từ xa (RCE)
Đây là lỗ hổng nghiêm trọng nhất, được theo dõi với mã định danh CVE-2026-20181. Lỗ hổng này xuất phát từ việc xác thực đầu vào do người dùng cung cấp không đúng cách. Kẻ tấn công đã được xác thực với quyền quản trị có thể khai thác bằng cách gửi một yêu cầu HTTP được chế tạo đặc biệt tới hệ thống bị ảnh hưởng.
Thành công trong việc khai thác cho phép kẻ tấn công thực thi các lệnh tùy ý trên hệ điều hành cơ bản. Kẻ tấn công có thể ban đầu đạt được quyền truy cập người dùng, sau đó leo thang đặc quyền lên quyền root, giành quyền kiểm soát hoàn toàn thiết bị. Trong các triển khai chỉ có một nút (single-node), việc khai thác lỗ hổng này cũng có thể dẫn đến tình trạng từ chối dịch vụ (DoS), ngăn chặn các điểm cuối mới xác thực vào mạng cho đến khi hệ thống được khôi phục.
CVE-2026-20190: Lỗ hổng Tiết lộ Thông tin
Lỗ hổng thứ hai, được định danh là CVE-2026-20190, là một lỗ hổng tiết lộ thông tin. Nguyên nhân của lỗ hổng này là do kiểm tra ủy quyền không đúng cách. Khác với lỗ hổng RCE, lỗ hổng này có thể bị khai thác bởi kẻ tấn công từ xa chưa được xác thực.
Bằng cách gửi các yêu cầu được chế tạo, kẻ tấn công có thể truy cập vào thông tin nhạy cảm được lưu trữ trên thiết bị, bao gồm cả thông tin xác thực đã được băm (hashed credentials). Các thông tin xác thực này có thể được sử dụng trong các cuộc tấn công tiếp theo, làm tăng nguy cơ bảo mật về khả năng di chuyển ngang (lateral movement) trong mạng.
Thông số Kỹ thuật và Ảnh hưởng
Các lỗ hổng này được công bố theo mã cảnh báo cisco-sa-ise-multi-G5WP8vv vào ngày 17 tháng 6 năm 2026. Với điểm số CVSS 9.1, các lỗ hổng này ảnh hưởng đến các bản triển khai Cisco ISE và ISE Passive Identity Connector (ISE-PIC) bất kể cấu hình.
Cisco xác nhận rằng tất cả các phiên bản của ISE và ISE-PIC đều bị ảnh hưởng, mặc dù mức độ nghiêm trọng của từng lỗ hổng có thể khác nhau tùy thuộc vào phiên bản phát hành.
Biện pháp Khắc phục và Giảm thiểu Rủi ro
Bản vá Bảo mật từ Cisco
Cisco đã phát hành các bản vá cho các lỗ hổng này:
- ISE 3.3 Patch 11
- ISE 3.4 Patch 6
- Bản vá cho ISE 3.5 Patch 4 dự kiến phát hành vào tháng 8 năm 2026.
Các phiên bản cũ hơn cần được di chuyển lên các bản phát hành được hỗ trợ. Hiện tại, không có giải pháp thay thế (workaround) nào được cung cấp, do đó, cập nhật bản vá là biện pháp giảm thiểu hiệu quả duy nhất.
Khuyến nghị về An ninh Mạng
Mặc dù Cisco cho biết hiện tại không có bằng chứng về việc khai thác tích cực ngoài thực địa (in the wild), nhưng do mức độ nghiêm trọng cao và khả năng khai thác tương đối dễ dàng, các tổ chức được khuyến cáo mạnh mẽ ưu tiên việc cập nhật.
Các tổ chức sử dụng Cisco ISE nên ngay lập tức đánh giá mức độ phơi nhiễm của họ và nâng cấp lên các phiên bản phần mềm đã được vá lỗi. Dưới đây là các biện pháp phòng thủ bổ sung:
- Hạn chế quyền truy cập hành chính vào các mạng đáng tin cậy.
- Giám sát nhật ký (logs) để phát hiện các yêu cầu HTTP đáng ngờ.
- Xem xét hoạt động xác thực và leo thang đặc quyền.
Tầm quan trọng của Cơ sở hạ tầng Danh tính
Các lỗ hổng này nhấn mạnh vai trò quan trọng của cơ sở hạ tầng danh tính trong an ninh mạng doanh nghiệp. Việc hệ thống quản lý danh tính bị xâm phạm có thể gây ra những tác động nghiêm trọng. Các nhà nghiên cứu bảo mật từ TrendAI, STAR Labs và Zero Day Initiative là những người đã báo cáo các lỗ hổng này, cho thấy nỗ lực phối hợp trong việc tiết lộ có trách nhiệm từ cộng đồng bảo mật.
Để có thêm thông tin chi tiết về cảnh báo bảo mật này, vui lòng tham khảo thông báo chính thức từ Cisco: Cisco Security Advisory.
