Cisco đã công bố một vấn đề bảo mật nghiêm trọng trên Cisco Catalyst SD-WAN Manager (trước đây là vManage), hiện đang bị khai thác tích cực trong các cuộc tấn công zero-day. Điều này làm dấy lên lo ngại cho các môi trường mạng doanh nghiệp trên toàn cầu.
Lỗ hổng Arbitrary File Write trên Cisco Catalyst SD-WAN Manager
Lỗ hổng, được theo dõi dưới mã định danh CVE-2026-20262, là một lỗi ghi tệp tùy ý (arbitrary-file-write) trong giao diện quản lý dựa trên web. Nó có điểm CVSS là 6.5 và xuất phát từ việc xác thực đầu vào do người dùng cung cấp không đúng cách trong quá trình tải tệp lên.
Theo Cisco, kẻ tấn công có thông tin đăng nhập hợp lệ và quyền ghi có thể khai thác lỗ hổng này để tải lên các tệp được chế tạo đặc biệt lên các hệ thống mục tiêu. Sau khi khai thác thành công, lỗ hổng cho phép kẻ tấn công tạo hoặc ghi đè tệp bất kỳ trên hệ điều hành nền.
Chi tiết kỹ thuật và Tác động
Khả năng này có thể được sử dụng để triển khai các payload độc hại, bao gồm cả web shells, và có khả năng leo thang đặc quyền lên cấp root. Điều này làm tăng đáng kể mức độ nghiêm trọng của cuộc tấn công.
Cisco’s Product Security Incident Response Team (PSIRT) đã xác nhận rằng lỗ hổng này đã được quan sát thấy trong các hoạt động khai thác thực tế giới hạn vào tháng 6 năm 2026. Điều này đặt lỗ hổng vào danh mục các lỗ hổng zero-day, nơi kẻ tấn công có thể khai thác nó trước khi việc vá lỗi được triển khai rộng rãi.
Vấn đề ảnh hưởng đến tất cả các mô hình triển khai của Cisco Catalyst SD-WAN Manager, bao gồm các hệ thống on-premises, Cisco SD-WAN Cloud, Cloud-Pro và các môi trường FedRAMP.
Đáng chú ý, không có giải pháp tạm thời nào khả dụng, khiến việc cập nhật bản vá ngay lập tức trở thành biện pháp giảm thiểu hiệu quả duy nhất. Các nhà nghiên cứu bảo mật nhấn mạnh rằng các giao diện quản lý SD-WAN bị lộ ra Internet có nguy cơ cao nhất.
Phương thức Tấn công và Chỉ số Compromise (IOCs)
Kẻ tấn công có thể khai thác các API endpoint bị lộ bằng cách tạo các yêu cầu HTTP để tải lên các tệp độc hại. Một ví dụ bao gồm việc tải lên tệp WAR vào các thư mục nhạy cảm bằng cách sử dụng kỹ thuật traversal thư mục. Cisco đã cung cấp các Chỉ số Compromise (IOCs) cụ thể để giúp các tổ chức phát hiện các hoạt động khai thác tiềm ẩn.
Các hoạt động đáng ngờ có thể xuất hiện trong các tệp nhật ký như:
/opt/trend/script/test.sh
/opt/trend/script/test.jsp
/opt/trend/script/test.war
/opt/trend/script/test.tmp
/opt/trend/script/test.zip
/opt/trend/script/test.java
/opt/trend/script/test.log
/opt/trend/script/test.ini
/opt/trend/script/test.conf
/opt/trend/script/test.sh.bak
/opt/trend/script/test.jsp.bak
/opt/trend/script/test.war.bak
/opt/trend/script/test.tmp.bak
/opt/trend/script/test.zip.bak
/opt/trend/script/test.java.bak
/opt/trend/script/test.log.bak
/opt/trend/script/test.ini.bak
/opt/trend/script/test.conf.bak
/opt/trend/script/test.sh.orig
/opt/trend/script/test.jsp.orig
/opt/trend/script/test.war.orig
/opt/trend/script/test.tmp.orig
/opt/trend/script/test.zip.orig
/opt/trend/script/test.java.orig
/opt/trend/script/test.log.orig
/opt/trend/script/test.ini.orig
/opt/trend/script/test.conf.origCác nhật ký này gợi ý hoạt động sau khai thác, nơi kẻ tấn công triển khai và tương tác với các ứng dụng độc hại trong hệ thống.
Cisco làm rõ rằng lỗ hổng này không ảnh hưởng trực tiếp đến việc xử lý lưu lượng hoặc kết nối SD-WAN. Tuy nhiên, việc chiếm quyền kiểm soát mặt phẳng quản lý có thể cho phép kẻ tấn công thao túng cấu hình hoặc duy trì quyền truy cập liên tục.
Biện pháp Khắc phục và Cập nhật
Để giải quyết vấn đề này, Cisco đã phát hành các phiên bản đã vá lỗi trên nhiều nhánh phần mềm. Người dùng bị ảnh hưởng được khuyến nghị mạnh mẽ nâng cấp lên các bản phát hành đã sửa lỗi sau đây, tùy thuộc vào cấu hình triển khai của họ:
- 20.9.9.2
- 20.12.7.2
- 20.15.4.5
- 20.15.5.3
- 20.18.3.1
- 26.1.1.2
Tổ chức cũng được khuyến khích kiểm tra nhật ký, hạn chế quyền truy cập bên ngoài vào các giao diện quản lý và sử dụng lệnh “request admin-tech” để thu thập dữ liệu chẩn đoán trước khi liên hệ với Cisco TAC để hỗ trợ ứng phó sự cố.
Lỗ hổng này được xác định trong quá trình kiểm tra bảo mật nội bộ. Tuy nhiên, việc nó nhanh chóng chuyển sang giai đoạn bị khai thác tích cực nhấn mạnh rủi ro bảo mật liên tục do các giao diện quản lý bị lộ và các cơ chế xác thực đầu vào không đầy đủ gây ra.
Với việc không có giải pháp tạm thời và các cuộc tấn công đang diễn ra, việc cập nhật bản vá kịp thời và giám sát liên tục vẫn là yếu tố quan trọng để giảm thiểu phơi nhiễm. Để biết thêm chi tiết về các bản vá lỗi, vui lòng tham khảo Cisco Security Advisory.
