Một lỗ hổng nghiêm trọng mới được công bố trong Cisco Unified Communications Manager (Unified CM) và Unified CM Session Management Edition (SME) đã đặt các tổ chức trước nguy cơ bị xâm phạm toàn bộ hệ thống.
Lỗ hổng này được định danh là CVE-2025-20309 và được gán điểm CVSS tối đa là 10.0, cho phép kẻ tấn công từ xa không cần xác thực (unauthenticated remote attackers) chiếm quyền truy cập gốc (root access) bằng cách sử dụng các thông tin xác thực SSH tĩnh, được mã hóa cứng (static, hardcoded SSH credentials) mà đã vô tình bị bỏ lại trong các bản phát hành sản phẩm.
Chi Tiết Kỹ Thuật về Lỗ Hổng
Vấn đề này bắt nguồn từ việc tồn tại các thông tin xác thực người dùng tĩnh dành cho tài khoản root – những thông tin xác thực vốn chỉ được dành cho mục đích phát triển và không bao giờ được thiết kế để xuất xưởng cùng với các bản dựng sản xuất. Điều đáng chú ý là các thông tin xác thực này không thể được thay đổi hoặc xóa bởi quản trị viên, khiến các hệ thống bị ảnh hưởng trở nên đặc biệt dễ bị tổn thương.
Kẻ tấn công khai thác lỗ hổng này có khả năng đăng nhập từ xa qua SSH với tư cách là người dùng root, từ đó có được khả năng thực thi các lệnh tùy ý (execute arbitrary commands) với quyền hạn cao nhất trên hệ thống. Việc này có thể dẫn đến việc kiểm soát hoàn toàn thiết bị, truy cập hoặc sửa đổi dữ liệu nhạy cảm, và thậm chí thiết lập các điểm truy cập bền vững trong hạ tầng truyền thông của doanh nghiệp.
Sự sơ suất nghiêm trọng này được phân loại là CWE-798: Sử dụng Thông tin Xác Thực Được Mã Hóa Cứng (Use of Hard-coded Credentials). Lỗ hổng đã được phát hiện trong quá trình kiểm tra bảo mật nội bộ của Cisco và hiện tại không có báo cáo nào về việc khai thác trong thực tế.
Sản Phẩm và Phiên Bản Bị Ảnh Hưởng
Chỉ một tập hợp con cụ thể của các bản phát hành Engineering Special (ES) releases là bị ảnh hưởng bởi lỗ hổng này. Các phiên bản trước đó (ví dụ: 12.5, 14) và các bản phát hành khác không bị ảnh hưởng.
Điều quan trọng cần lưu ý là chỉ các bản phát hành ES được liệt kê mới dễ bị tấn công. Không có bản cập nhật dịch vụ (Service Updates – SUs) nào cho bất kỳ bản phát hành nào bị ảnh hưởng.
Chỉ Số Tổn Thương (IOCs)
Cisco khuyến nghị kiểm tra nhật ký hệ thống để tìm bằng chứng về các lần đăng nhập root không được ủy quyền qua SSH. Cụ thể, các mục nhập trong tệp /var/log/active/syslog/secure cho thấy các phiên SSH cấp root thành công là một dấu hiệu cảnh báo đỏ.
Quản trị viên có thể truy xuất nhật ký bằng lệnh CLI sau:
file get activelog /var/log/active/syslog/secureBiện Pháp Khắc Phục và Khuyến Nghị
Hiện tại, không có biện pháp khắc phục tạm thời (workarounds) nào có sẵn cho lỗ hổng này. Cisco đã phát hành các bản cập nhật bảo mật miễn phí và bản vá cho các phiên bản ES bị ảnh hưởng. Các tổ chức bị ảnh hưởng được khuyến nghị khẩn cấp thực hiện các hành động sau:
- Kiểm tra hệ thống để xác định xem có đang sử dụng các phiên bản Engineering Special (ES) dễ bị tổn thương hay không.
- Ngay lập tức áp dụng các bản vá bảo mật do Cisco cung cấp cho các sản phẩm bị ảnh hưởng.
Thông tin xác thực được mã hóa cứng đại diện cho một rủi ro chuỗi cung ứng (supply-chain risk) nghiêm trọng, vì chúng bỏ qua tất cả các kiểm soát xác thực khác và có thể bị khai thác bởi bất kỳ ai có quyền truy cập mạng. Hành động tức thời là cần thiết để bảo mật các hệ thống bị ảnh hưởng và ngăn chặn khả năng bị xâm phạm toàn bộ cơ sở hạ tầng truyền thông của doanh nghiệp.
