Cisco đã phát đi một cảnh báo bảo mật khẩn cấp về một tập hợp các lỗ hổng thực thi mã từ xa (RCE) nghiêm trọng ảnh hưởng đến các sản phẩm Identity Services Engine (ISE) và Passive Identity Connector (ISE-PIC) của hãng. Các lỗ hổng này đang bị khai thác tích cực trong thực tế, cho thấy mức độ nguy hiểm và sự cấp bách trong việc triển khai các biện pháp khắc phục.
Các lỗ hổng này được định danh là CVE-2025-20281, CVE-2025-20282 và CVE-2025-20337. Chúng đều mang mức độ nghiêm trọng cao nhất theo thang điểm CVSS, với điểm cơ bản là 10.0. Mức điểm tuyệt đối này phản ánh khả năng khai thác dễ dàng, tác động nghiêm trọng, và không yêu cầu xác thực để thực hiện tấn công. Kẻ tấn công không cần xác thực có thể đạt được quyền truy cập cấp độ root vào các hệ thống bị ảnh hưởng.
Cisco đã xác nhận rằng hiện không tồn tại bất kỳ biện pháp tạm thời (workaround) nào khả thi để giảm thiểu rủi ro từ các lỗ hổng này. Do đó, hãng khuyến nghị mạnh mẽ tất cả khách hàng áp dụng các bản cập nhật bảo mật được cung cấp mà không chậm trễ.
Chi Tiết Kỹ Thuật Các Lỗ Hổng
CVE-2025-20281 và CVE-2025-20337: Lỗi API cho Phép Khai Thác Root
Cặp lỗ hổng đầu tiên, bao gồm CVE-2025-20281 và CVE-2025-20337, tồn tại trong các API công khai của Cisco ISE và ISE-PIC trong các phiên bản 3.3 và 3.4. Các API này, mặc dù được thiết kế để tương tác hợp pháp, nhưng chứa các điểm yếu trong quá trình xử lý đầu vào.
Bằng cách gửi các yêu cầu API được chế tạo đặc biệt (specially crafted API requests), kẻ tấn công có thể vượt qua các kiểm tra xác thực đầu vào (input validation checks) thông thường. Việc bỏ qua các cơ chế kiểm tra này cho phép kẻ tấn công chèn và thực thi các lệnh tùy ý (arbitrary commands) trên hệ điều hành cơ bản của thiết bị. Điều đặc biệt nguy hiểm là các lệnh này được thực thi với đặc quyền root.
Quyền root là cấp độ cao nhất của quyền truy cập trên các hệ thống dựa trên Unix/Linux (mà Cisco ISE/ISE-PIC sử dụng). Với quyền root, kẻ tấn công có toàn quyền kiểm soát hệ thống, bao gồm:
- Thực thi bất kỳ lệnh nào.
- Cài đặt phần mềm độc hại hoặc các công cụ tấn công.
- Truy cập, sửa đổi hoặc xóa bất kỳ tệp nào, kể cả các tệp cấu hình và dữ liệu nhạy cảm.
- Tạo tài khoản người dùng mới với đặc quyền cao.
- Thiết lập các cửa hậu (backdoor) để duy trì quyền truy cập lâu dài, ngay cả sau khi lỗ hổng gốc đã được vá.
- Gây ra tình trạng từ chối dịch vụ (Denial of Service – DoS) bằng cách tắt hoặc phá hủy các dịch vụ thiết yếu.
Cisco đã gán các lỗ hổng này với các mã theo dõi lỗi nội bộ là CSCwo99449 và CSCwp02814. Hãng cũng lưu ý rằng chúng ảnh hưởng đến tất cả các cấu hình của phiên bản 3.3 và 3.4 của ISE/ISE-PIC. Tuy nhiên, các phiên bản cũ hơn của sản phẩm không bị ảnh hưởng bởi cặp lỗ hổng này.
CVE-2025-20282: Lỗ Hổng Tải Lên Tệp Tin Nguy Hiểm
Lỗ hổng thứ hai, CVE-2025-20282, chỉ ảnh hưởng đến Release 3.4 của ISE và ISE-PIC. Nguồn gốc của lỗ hổng này là do việc xác thực không đầy đủ (insufficient validation) đối với các tệp được tải lên hệ thống.
Trong một hệ thống bảo mật đúng đắn, tất cả các tệp được người dùng hoặc các tiến trình khác tải lên phải trải qua quá trình kiểm tra nghiêm ngặt để đảm bảo chúng không chứa mã độc hoặc dữ liệu không hợp lệ. Khi quá trình xác thực này không được thực hiện một cách đầy đủ, kẻ tấn công có thể lợi dụng để tải lên các đối tượng độc hại (malicious objects).
Trong trường hợp của CVE-2025-20282, việc xác thực không đủ cho phép các tệp độc hại được lưu trữ trong các thư mục có đặc quyền cao trên hệ thống. Một khi đã nằm trong các thư mục này, các tệp độc hại có thể được thực thi. Điều này tạo ra một đường dẫn trực tiếp cho kẻ tấn công để đạt được quyền kiểm soát hệ thống thông qua việc thực thi mã từ xa.
Tương tự như các lỗ hổng trước, Cisco đã gắn nhãn lỗi này là CSCwp02821 và một lần nữa chỉ ra rằng không yêu cầu thông tin đăng nhập (no credentials required) để khai thác lỗ hổng này. Điều này làm cho vector tấn công trở nên cực kỳ dễ tiếp cận đối với các đối thủ từ xa, cho phép họ thực hiện các cuộc tấn công mà không cần bất kỳ sự chuẩn bị hay thông tin truy cập nào.
Hướng Dẫn Khắc Phục và Vá Lỗi
Kể từ khi công bố cảnh báo lần đầu vào ngày 25 tháng 6 năm 2025, Cisco đã liên tục cập nhật hướng dẫn của mình. Phiên bản hiện tại, Version 2.1, được phát hành vào ngày 21 tháng 7 năm 2025, đã xác nhận rằng các bản phát hành vá lỗi tăng cường đã có sẵn.
Cisco nhấn mạnh rằng việc triển khai các bản vá là biện pháp duy nhất để khắc phục hoàn toàn các lỗ hổng này. Chi tiết về việc nâng cấp như sau:
- Khách hàng đang sử dụng ISE Release 3.4 Patch 2 hiện không cần thực hiện thêm hành động nào, vì phiên bản này đã bao gồm các bản vá cần thiết.
- Đối với những khách hàng đang sử dụng Release 3.3 Patch 6, việc bắt buộc là phải nâng cấp lên Release 3.3 Patch 7 để khắc phục triệt để các lỗ hổng.
- Các thiết bị đã được vá bằng các gói hotfix cụ thể như
ise-apply-CSCwo99449_3.3.0.430_patch4-SPA.tar.gzhoặcise-apply-CSCwo99449_3.4.0.608_patch1-SPA.tar.gzcũng được yêu cầu chuyển sang các bản phát hành vá lỗi đầy đủ. Lý do là các gói hotfix này chỉ giải quyết một phần vấn đề và không khắc phục được lỗ hổng CVE-2025-20337. Điều này có nghĩa là việc chỉ áp dụng hotfix có thể tạo ra cảm giác an toàn giả mạo trong khi hệ thống vẫn dễ bị tấn công thông qua CVE-2025-20337.
Cisco tái khẳng định rằng đây là những mối đe dọa thực sự, nghiêm trọng và đảm bảo rằng các bản phát hành phần mềm đã được vá lỗi sẽ loại bỏ hoàn toàn các lỗ hổng này. Các bản vá không chỉ sửa chữa các điểm yếu cụ thể mà còn tăng cường các biện pháp bảo mật tổng thể để ngăn chặn các cuộc tấn công tương tự trong tương lai.
Khuyến Nghị và Biện Pháp Bảo Vệ
Các quản trị viên hệ thống được khuyến cáo mạnh mẽ phải ưu tiên quét lỗ hổng (vulnerability scanning) và triển khai các bản vá (patch deployment) ngay lập tức. Với việc các lỗ hổng này đang bị khai thác tích cực trong môi trường thực tế, nguy cơ bị xâm phạm là rất cao và thời gian phản ứng là cực kỳ quan trọng.
Việc không áp dụng các bản vá kịp thời có thể dẫn đến hậu quả nghiêm trọng, bao gồm mất mát dữ liệu, gián đoạn dịch vụ, và kiểm soát hệ thống hoàn toàn bởi kẻ tấn công. Do Cisco ISE và ISE-PIC đóng vai trò trung tâm trong hạ tầng kiểm soát truy cập mạng (Network Access Control – NAC), bất kỳ sự xâm phạm nào đối với các sản phẩm này đều có thể gây ra những rủi ro lan truyền lớn cho toàn bộ mạng lưới và tài nguyên của tổ chức. Do đó, việc bảo vệ hạ tầng này là một ưu tiên hàng đầu để duy trì an ninh mạng tổng thể.
