Lỗ hổng CVE-2008-4128, một lỗ hổng giả mạo yêu cầu liên trang (CSRF), đang bị kẻ tấn công khai thác tích cực. Lỗ hổng này ảnh hưởng đến các phiên bản Cisco IOS 12.4(12) và 12.4(4) của Cisco IOS.
Tổng quan về lỗ hổng CVE-2008-4128
Lỗ hổng CVE-2008-4128 đã được đưa vào Danh mục các lỗ hổng đã biết bị khai thác của CISA (Known Exploited Vulnerabilities Catalog) vào ngày 13 tháng 7 năm 2026. Điều này nhấn mạnh rằng ngay cả các lỗ hổng mạng cũ cũng có thể gây ra rủi ro bảo mật sau nhiều năm được công bố.
Các cơ quan chính phủ liên bang đã được yêu cầu thực hiện các biện pháp giảm thiểu cần thiết trước ngày 16 tháng 7 năm 2026, theo Chỉ thị Hoạt động Ràng buộc 22-040.
Ảnh hưởng và phạm vi
Cisco IOS được sử dụng rộng rãi trong các bộ định tuyến, bộ chuyển mạch và cơ sở hạ tầng mạng doanh nghiệp. Các thiết bị bị phơi nhiễm ra internet hoặc hoạt động với cấu hình lỗi thời có thể cung cấp điểm truy cập cho kẻ tấn công nhằm giành quyền kiểm soát môi trường mạng.
Lỗ hổng này ảnh hưởng đến chức năng quản lý web của Cisco IOS, cho phép kẻ tấn công sử dụng các yêu cầu được chế tạo đặc biệt để buộc trình duyệt của quản trị viên đã được xác thực gửi lệnh đến thiết bị Cisco IOS mục tiêu mà không hề hay biết.
Nếu bị khai thác thành công, lỗ hổng này có thể cho phép kẻ tấn công thay đổi cài đặt bộ định tuyến hoặc bộ chuyển mạch, tạo các bí danh lệnh, sửa đổi cấu hình HTTP hoặc gây rối hoạt động mạng.
Chi tiết kỹ thuật về lỗ hổng
CVE-2008-4128 được phân loại theo CWE-352, liên quan đến các lỗ hổng CSRF. Các cuộc tấn công CSRF xảy ra khi nạn nhân có phiên trình duyệt đã được xác thực bị lừa truy cập một trang web độc hại hoặc mở nội dung do kẻ tấn công kiểm soát.
Theo mô tả CVE, vấn đề này có thể cho phép kẻ tấn công từ xa thực thi các lệnh tùy ý thông qua các yêu cầu được chế tạo đặc biệt, liên quan đến lệnh “show privilege” và URI “/level/15/exec/-”.
Một vector tấn công tiềm năng khác liên quan đến việc gửi lệnh bí danh exec thông qua URI “/level/15/exec/-/configure/http”. Việc khai thác thành công phụ thuộc vào việc quản trị viên được xác thực vào giao diện web của thiết bị và tương tác với nội dung độc hại từ kẻ tấn công.
Biện pháp giảm thiểu và phòng ngừa
CISA đã không xác định công khai tác nhân đe dọa, chiến dịch tấn công hoặc phương thức khai thác đằng sau việc sử dụng tích cực CVE-2008-4128. Họ cũng lưu ý rằng lỗ hổng này hiện không được biết là đã bị khai thác trong các chiến dịch ransomware.
Các tổ chức nên xem xét ngay lập tức các tài sản Cisco IOS của họ và xác định các hệ thống đang chạy các phiên bản bị ảnh hưởng. Các nhóm bảo mật được khuyến nghị áp dụng các biện pháp giảm thiểu do Cisco đề xuất và tuân theo hướng dẫn khắc phục dựa trên rủi ro của CISA.
Trong trường hợp không có bản vá hoặc biện pháp giảm thiểu, các tổ chức nên xem xét việc loại bỏ các thiết bị bị ảnh hưởng khỏi dịch vụ. Họ cũng nên đánh giá xem giao diện quản trị có thể truy cập từ internet hay không, hạn chế quyền truy cập quản lý web vào các mạng đáng tin cậy và tắt các dịch vụ HTTP hoặc HTTPS không cần thiết.
Quản trị viên nên tránh duyệt các trang web không đáng tin cậy khi đăng nhập vào các cổng quản lý thiết bị mạng. Ngoài ra, các tổ chức nên xem xét nhật ký và cấu hình về các bí danh lệnh trái phép, các thay đổi cấu hình HTTP bất thường và hoạt động liên quan đến đặc quyền không mong muốn.
Việc đưa CVE-2008-4128 vào Danh mục KEV nhấn mạnh một thách thức hoạt động dai dẳng: các lỗ hổng cũ có thể trở nên nguy hiểm mới khi các thiết bị không còn được hỗ trợ, các biện pháp kiểm soát phơi nhiễm yếu hoặc các giao diện quản trị tồn tại lâu dài vẫn còn được sử dụng tích cực.
Để tăng cường khả năng phát hiện và điều tra mối đe dọa nhanh chóng, hãy xem xét tích hợp các giải pháp phù hợp. Tìm hiểu thêm về các giải pháp bảo mật tại CISA KEV Catalog.










