Cisco đã công bố các lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến Cisco Unified Contact Center Express (Unified CCX). Các lỗ hổng này có thể cho phép kẻ tấn công từ xa, không cần xác thực thực thi các lệnh tùy ý, leo thang đặc quyền lên root và vượt qua các cơ chế xác thực.
Các lỗ hổng này nằm trong tiến trình Java Remote Method Invocation (RMI) và ứng dụng CCX Editor, gây ra rủi ro nghiêm trọng cho các triển khai trung tâm liên lạc doanh nghiệp sử dụng Cisco Unified CCX.
Tổng quan về các lỗ hổng CVE nghiêm trọng
Hai lỗ hổng quan trọng đã được xác định trong hệ thống Cisco Unified CCX. Đây là những điểm yếu có khả năng gây ra tác động lớn đến an ninh mạng của tổ chức.
CVE-2025-20354: Thực thi mã từ xa (RCE) trong Java RMI
Lỗ hổng đầu tiên, CVE-2025-20354, là một lỗ hổng Remote Code Execution trong tiến trình Java RMI.
Lỗ hổng này có CVSS Base Score là 9.8, cho phép kẻ tấn công chưa xác thực tải lên các tệp tùy ý.
Việc này được thực hiện thông qua việc khai thác các cơ chế xác thực không đúng trong tiến trình Java RMI.
Khai thác thành công cho phép kẻ tấn công thực thi các lệnh tùy ý trên hệ điều hành cơ bản.
Đồng thời, chúng có thể leo thang đặc quyền lên root, mang lại khả năng chiếm quyền điều khiển hoàn toàn hệ thống.
Để biết thêm chi tiết, tham khảo Cisco Security Advisory: cisco-sa-cc-unauth-rce-QeN8h7mQ.
CVE-2025-20358: Vượt qua xác thực trong ứng dụng CCX Editor
Lỗ hổng thứ hai, CVE-2025-20358, là một lỗ hổng vượt qua xác thực trong ứng dụng CCX Editor.
Lỗ hổng này có CVSS Base Score là 9.4, cho phép kẻ tấn công vượt qua xác thực và lấy được các quyền quản trị liên quan đến việc tạo và thực thi script.
Nguyên nhân của lỗ hổng bắt nguồn từ các cơ chế xác thực không đúng trong giao tiếp giữa CCX Editor và các máy chủ Unified CCX bị ảnh hưởng.
Kẻ tấn công có thể khai thác bằng cách chuyển hướng luồng xác thực đến một máy chủ độc hại, lừa CCX Editor nhận diện xác thực gian lận.
Khai thác thành công cho phép kẻ tấn công tạo và thực thi các script tùy ý trên hệ thống bị ảnh hưởng dưới tài khoản người dùng nội bộ (non-root).
Phạm vi ảnh hưởng và cập nhật bản vá bảo mật
Các lỗ hổng này ảnh hưởng đến các hệ thống Cisco Unified CCX, bất kể cấu hình thiết bị.
Cisco đã xác nhận rằng Packaged Contact Center Enterprise (Packaged CCE) và Unified Contact Center Enterprise (Unified CCE) không bị ảnh hưởng bởi các vấn đề này.
Cả hai lỗ hổng đều độc lập với nhau, nghĩa là kẻ tấn công không cần phải kết hợp các khai thác để giành quyền truy cập.
Phiên bản bị ảnh hưởng và giải pháp vá lỗi
Cisco đã phát hành các bản cập nhật phần mềm để khắc phục cả hai lỗ hổng. Hiện tại không có giải pháp thay thế tạm thời (workarounds) nào được cung cấp.
- Đối với Cisco Unified CCX phiên bản 12.5, các hệ thống bị ảnh hưởng nên nâng cấp lên phiên bản 12.5 SU3 ES07 hoặc mới hơn.
- Đối với Cisco Unified CCX phiên bản 15.0, bản sửa lỗi có sẵn trong phiên bản 15.0 ES01 và các bản phát hành tiếp theo.
Do tính chất nghiêm trọng của các lỗ hổng này và việc không có giải pháp thay thế, Cisco khuyến nghị mạnh mẽ việc vá lỗi ngay lập tức cho tất cả các hệ thống bị ảnh hưởng.
Các hệ thống chạy phiên bản cũ hơn 12.5 SU3 hoặc 15.0 nên được xem xét là có nguy cơ bị xâm nhập trong trạng thái hiện tại của chúng.
Đánh giá rủi ro và khuyến nghị bảo mật
Theo báo cáo của Nhóm Ứng phó Sự cố Bảo mật Sản phẩm (PSIRT) của Cisco, hiện tại chưa có bằng chứng về thông báo công khai hoặc khai thác độc hại chủ động đối với các lỗ hổng này.
Tuy nhiên, khả năng khai thác dễ dàng (chỉ yêu cầu truy cập mạng và không cần xác thực), cùng với hậu quả nghiêm trọng (thực thi mã từ xa dưới quyền root), cho thấy các lỗ hổng này có thể sẽ thu hút sự chú ý của các tác nhân đe dọa khi thời gian áp dụng bản vá kéo dài.
Các tổ chức đang vận hành Cisco Unified CCX cần kiểm tra ngay lập tức phiên bản phần mềm hiện tại của mình so với các chi tiết lỗ hổng và áp dụng các bản vá bảo mật phù hợp.
Các quản trị viên hệ thống nên ưu tiên vá các hệ thống đang đối mặt với nguy cơ tiếp xúc trực tiếp với internet.
Ngoài ra, phân đoạn mạng và kiểm soát truy cập giới hạn truyền thông RMI đến các mạng đáng tin cậy có thể cung cấp các biện pháp phòng thủ tạm thời cho đến khi các bản vá được triển khai.
Với điểm CVSS cao và tiềm năng chiếm quyền điều khiển hoàn toàn mà các lỗ hổng CVE này mang lại, hành động khẩn cấp là cần thiết trên tất cả các triển khai bị ảnh hưởng.
