Cisco đã phát hành một cảnh báo bảo mật khẩn cấp về nhiều lỗ hổng CVE nghiêm trọng trong các sản phẩm Identity Services Engine (ISE) và ISE Passive Identity Connector (ISE-PIC) của mình. Các lỗ hổng này có thể cho phép kẻ tấn công từ xa đã xác thực thực thi các lệnh tùy ý trên thiết bị bị ảnh hưởng, cũng như thực hiện các cuộc tấn công leo thang đường dẫn (path traversal), một mối đe dọa dai dẳng trong hạ tầng mạng doanh nghiệp.
Cảnh báo chính thức từ Cisco, được công bố vào ngày 15 tháng 4 năm 2026, nêu rõ rằng có hai lỗ hổng độc lập. Các thiết bị bị ảnh hưởng bởi một lỗ hổng có thể không bị ảnh hưởng bởi lỗ hổng còn lại, và việc khai thác một lỗ hổng không yêu cầu khai thác lỗ hổng kia. Điều này đòi hỏi quản trị viên phải đánh giá toàn diện tình trạng bảo mật của hệ thống.
CVE-2026-20147: Lỗ hổng Remote Code Execution (RCE) nghiêm trọng
Lỗ hổng nghiêm trọng nhất là CVE-2026-20147, với điểm CVSS 9.9, được xếp loại là lỗ hổng Remote Code Execution (RCE). Nguyên nhân của lỗ hổng này là do thiếu xác thực đầu vào do người dùng cung cấp một cách không đầy đủ.
Cơ chế khai thác và tác động
Kẻ tấn công có thông tin xác thực quản trị hợp lệ có thể khai thác lỗ hổng CVE này bằng cách gửi một yêu cầu HTTP được chế tạo đặc biệt đến thiết bị mục tiêu. Yêu cầu này bỏ qua các cơ chế kiểm tra đầu vào, cho phép kẻ tấn công chèn và thực thi mã tùy ý.
Một cuộc tấn công thành công cấp quyền truy cập cấp người dùng vào hệ điều hành cơ bản của thiết bị. Từ đó, kẻ tấn công có thể leo thang đặc quyền lên cấp root, giành toàn quyền kiểm soát hệ thống.
Trong các triển khai ISE một nút (single-node), việc khai thác lỗ hổng CVE-2026-20147 có thể khiến nút bị sập. Tình trạng này dẫn đến điều kiện từ chối dịch vụ (DoS) nghiêm trọng, khiến các điểm cuối (endpoints) chưa được xác thực không thể truy cập mạng cho đến khi quản trị viên khôi phục hoàn toàn hệ thống. Điều này làm gián đoạn nghiêm trọng hoạt động mạng và khả năng truy cập tài nguyên. Thông tin chi tiết về lỗ hổng có thể được tìm thấy trên NVD.NIST.GOV.
CVE-2026-20148: Lỗ hổng Path Traversal
Lỗ hổng thứ hai là CVE-2026-20148, với điểm CVSS 4.9, được phân loại là lỗ hổng path traversal. Tương tự như CVE-2026-20147, lỗ hổng này cũng yêu cầu thông tin xác thực quản trị viên hợp lệ và xuất phát từ việc xác thực đầu vào không đúng cách.
Cơ chế khai thác và rủi ro dữ liệu
Bằng cách gửi một yêu cầu HTTP được chế tạo đặc biệt, kẻ tấn công có thể thực hiện các cuộc tấn công path traversal. Điều này cho phép chúng truy cập và đọc trực tiếp các tệp nhạy cảm, tùy ý từ hệ điều hành cơ bản.
Khả năng đọc các tệp tùy ý có thể dẫn đến việc rò rỉ thông tin cấu hình quan trọng, thông tin xác thực, khóa mã hóa hoặc dữ liệu nhạy cảm khác, gây ra nguy cơ nghiêm trọng về bảo mật dữ liệu và tiềm ẩn các cuộc tấn công tiếp theo. Để biết thêm thông tin về lỗ hổng này, vui lòng tham khảo NVD.NIST.GOV.
Các phiên bản bị ảnh hưởng và Giải pháp
Cisco đã xác nhận rằng không có giải pháp tạm thời (workarounds) nào khả dụng cho cả hai lỗ hổng CVE này. Do đó, quản trị viên được khuyến nghị nâng cấp ngay lập tức lên các phiên bản đã được vá lỗi.
Hướng dẫn Cập nhật Bản vá Bảo mật
Các bản cập nhật bảo mật cần thiết được Cisco phác thảo rõ ràng trong các cấu trúc báo cáo lỗ hổng tiêu chuẩn dành cho quản trị viên hệ thống. Việc tuân thủ các hướng dẫn này là tối quan trọng để đảm bảo an ninh mạng cho hạ tầng Cisco ISE và ISE-PIC.
- Quản trị viên nên tham khảo trực tiếp Cisco Security Advisory để có danh sách đầy đủ các phiên bản bị ảnh hưởng và các phiên bản đã vá lỗi.
- Việc trì hoãn cập nhật có thể khiến hệ thống tiếp tục dễ bị tổn thương trước các cuộc tấn công khai thác.
Tình trạng Hỗ trợ của Cisco ISE-PIC
Điều quan trọng cần lưu ý là Cisco ISE-PIC phiên bản 3.4 là phiên bản cuối cùng được hỗ trợ, vì sản phẩm này đã chính thức đạt đến ngày kết thúc bán hàng (End-of-Sale). Quản trị viên sử dụng ISE-PIC cần đặc biệt chú ý đến thông báo này và lập kế hoạch nâng cấp hoặc di chuyển phù hợp để tránh rủi ro bảo mật do sử dụng phần mềm không được hỗ trợ.
Tình trạng Khai thác và Phát hiện
Các lỗ hổng này được phát hiện và báo cáo cho Cisco bởi nhà nghiên cứu bảo mật Jonathan Lein từ TrendAI Research.
Tại thời điểm công bố cảnh báo, Nhóm Phản ứng Sự cố An ninh Sản phẩm của Cisco (PSIRT) cho biết họ không nhận thức được bất kỳ thông báo công khai hay hoạt động khai thác độc hại nào của các lỗ hổng CVE này trong thực tế. Tuy nhiên, điều này không làm giảm mức độ nghiêm trọng của chúng, và việc áp dụng các bản vá bảo mật ngay lập tức vẫn là yêu cầu bắt buộc để phòng ngừa.
Tầm quan trọng của Cập nhật Bảo mật
Việc bỏ qua các bản vá bảo mật cho các lỗ hổng CVE nghiêm trọng như RCE và path traversal có thể dẫn đến những hậu quả thảm khốc. Một cuộc tấn công mạng thành công có thể gây ra mất mát dữ liệu, gián đoạn dịch vụ, tổn thất tài chính và ảnh hưởng đến uy tín. Do đó, việc duy trì một chương trình quản lý lỗ hổng bảo mật mạnh mẽ và cập nhật hệ thống kịp thời là yếu tố then chốt để bảo vệ hạ tầng mạng của tổ chức trước các mối đe dọa đang phát triển.
