Cảnh báo CVE mới từ Cisco liên quan đến Cisco Crosswork Network Controller (CNC) và Network Services Orchestrator (NSO). Lỗ hổng được theo dõi với mã CVE-2026-20188, có CVSS 7.5, có thể gây ra tấn công DoS từ xa, không cần xác thực.
Lỗ hổng CVE-2026-20188 trên Cisco CNC và NSO
Vấn đề này được phân loại là CWE-400: Uncontrolled Resource Consumption, tức tiêu thụ tài nguyên không kiểm soát. Theo mô tả kỹ thuật, các hệ thống bị ảnh hưởng không áp dụng đủ cơ chế rate limiting cho các kết nối mạng đến.
Kẻ tấn công có thể gửi liên tục số lượng lớn yêu cầu kết nối tới máy chủ bị ảnh hưởng. Do phần mềm không thể giới hạn lưu lượng đầu vào một cách hiệu quả, tài nguyên kết nối sẽ nhanh chóng bị cạn kiệt. Khi ngưỡng này bị vượt qua, Cisco CNC và NSO có thể trở nên không phản hồi.
Tham khảo cảnh báo gốc của Cisco tại: Cisco Security Advisory.
Ảnh hưởng hệ thống và điều kiện khai thác
Lỗ hổng CVE này cho phép remote attackers chưa xác thực gây ra tình trạng Denial-of-Service (DoS) trên hệ thống mục tiêu. Khi tài nguyên kết nối bị tiêu thụ hết, quản trị viên hợp lệ sẽ bị khóa truy cập, trong khi các dịch vụ mạng phụ thuộc cũng bị gián đoạn.
Hệ thống không thể tự phục hồi sau khi rơi vào trạng thái cạn kiệt tài nguyên. Đội vận hành phải thực hiện khởi động lại thủ công để giải phóng tài nguyên và khôi phục hoạt động bình thường. Hiện tại, Cisco xác nhận không có workaround tạm thời nào có thể ngăn hiện tượng này mà không ảnh hưởng đến chức năng hợp lệ.
Điểm kỹ thuật cần lưu ý
- CVE: CVE-2026-20188.
- CVSS: 7.5.
- Loại lỗ hổng: DoS do tiêu thụ tài nguyên không kiểm soát.
- CWE: CWE-400.
- Yêu cầu tấn công: Không cần xác thực, khai thác từ xa.
- Tác động: Cạn kiệt kết nối, dịch vụ ngừng phản hồi, cần reboot thủ công.
Phiên bản bị ảnh hưởng
Đối với Cisco Crosswork Network Controller, lỗ hổng ảnh hưởng đến phiên bản 7.1 và các bản trước đó. Cisco xác nhận version 7.2 không bị ảnh hưởng.
Đối với Cisco Network Services Orchestrator, phạm vi ảnh hưởng trải dài qua nhiều nhánh phát hành:
- NSO 6.3 trở xuống: Bị ảnh hưởng nghiêm trọng, cần nâng cấp ngay.
- NSO 6.4: Có lỗ hổng, nhưng đã được vá từ 6.4.1.3.
- NSO 6.5 trở lên: Không bị ảnh hưởng.
Với các môi trường đang chạy nhánh cũ, đây là cảnh báo CVE cần được kiểm tra ngay trong quá trình đánh giá rủi ro bảo mật và lập kế hoạch cập nhật bản vá.
Nguyên nhân kỹ thuật và mã bug nội bộ
Cisco cho biết nguyên nhân gốc của sự cố nằm trong cơ chế xử lý kết nối của cả hai nền tảng, được theo dõi nội bộ dưới mã Cisco Bug ID CSCwr08237. Đây là lỗi liên quan trực tiếp tới cách phần mềm quản lý kết nối đến, dẫn tới khả năng bị khai thác bằng cách dồn dập yêu cầu vào hệ thống.
Trong bối cảnh tin bảo mật mới nhất về hạ tầng mạng, các lỗi thuộc nhóm lỗ hổng CVE gây DoS vẫn đặc biệt đáng chú ý vì có thể làm gián đoạn công cụ quản trị lõi, dù không dẫn đến thực thi mã từ xa hay chiếm quyền điều khiển.
Trạng thái khai thác và nguy cơ bảo mật
Tại thời điểm công bố, Cisco PSIRT chưa ghi nhận proof-of-concept công khai hoặc hoạt động khai thác trong thực tế. Tuy nhiên, nguy cơ bảo mật vẫn ở mức đáng kể vì không tồn tại cơ chế giảm thiểu tạm thời khả dụng.
Điều này khiến cảnh báo CVE trở nên cấp bách hơn đối với các tổ chức đang dùng CNC hoặc NSO trong môi trường vận hành. Với các hệ thống quản lý mạng, việc gián đoạn dù chỉ trong thời gian ngắn cũng có thể ảnh hưởng tới khả năng điều phối dịch vụ và quản trị hạ tầng.
Hành động khắc phục
Cisco khuyến nghị tổ chức bị ảnh hưởng phải lên lịch bảo trì và triển khai bản cập nhật chính thức càng sớm càng tốt. Do không có workaround, update vá lỗi là biện pháp duy nhất để loại bỏ rủi ro từ CVE-2026-20188.
Trước khi nâng cấp, quản trị viên cần rà soát môi trường để xác định chính xác phiên bản đang sử dụng, đối chiếu với các nhánh phát hành bị ảnh hưởng và chuẩn bị quy trình khôi phục nếu hệ thống đang phục vụ các dịch vụ mạng quan trọng.
Kiểm tra phiên bản triển khai
# Kiểm tra phiên bản Cisco CNC hoặc NSO theo tài liệu vận hành nội bộ
show version
# Đối chiếu phiên bản hiện tại với các nhánh đã được Cisco xác nhận
# - CNC 7.1 và cũ hơn: bị ảnh hưởng
# - CNC 7.2: không bị ảnh hưởng
# - NSO 6.3 và cũ hơn: bị ảnh hưởng
# - NSO 6.4.1.3 trở lên: đã được vá
# - NSO 6.5 trở lên: không bị ảnh hưởngIOC
Không có IOC cụ thể được công bố trong nội dung gốc. Không có dấu hiệu về mã khai thác, hash, IP, domain hay mẫu lưu lượng liên quan đến khai thác CVE-2026-20188.
