lỗ hổng CVE trên Cisco Catalyst SD-WAN Manager đã được CISA đưa vào Known Exploited Vulnerabilities (KEV), cho thấy các vấn đề này đang bị khai thác thực tế và cần xử lý ngay. Ba lỗ hổng CVE được ghi nhận vào ngày 20/04/2026, với thời hạn khắc phục rất ngắn, đến 23/04/2026.
Ba lỗ hổng CVE trong Cisco Catalyst SD-WAN Manager
Các lỗ hổng CVE ảnh hưởng đến Cisco Catalyst SD-WAN Manager, nền tảng quản trị SD-WAN được sử dụng rộng rãi trong hạ tầng mạng doanh nghiệp. CISA đã cập nhật thông tin này trong danh mục KEV và phát hành hướng dẫn liên quan tại cisa.gov.
SD-WAN manager nằm ở vị trí trung tâm trong kiến trúc mạng doanh nghiệp, kiểm soát routing, policy và cấu hình thiết bị trên nhiều điểm triển khai phân tán. Khi nền tảng này bị xâm nhập, kẻ tấn công có thể mở rộng tấn công mạng theo chiều ngang và di chuyển qua nhiều phân đoạn hạ tầng.
Mức độ ảnh hưởng hệ thống
Việc chiếm quyền điều khiển nền tảng quản trị SD-WAN có thể dẫn đến thay đổi cấu hình mạng, sửa policy định tuyến và tác động trực tiếp đến lưu lượng giữa các site. Đây là dạng rủi ro bảo mật có thể ảnh hưởng đồng thời đến tính sẵn sàng, tính toàn vẹn và khả năng giám sát mạng.
Trong bối cảnh này, khai thác thành công các lỗ hổng CVE có thể tạo điều kiện cho remote code execution hoặc truy cập trái phép vào thành phần quản trị trung tâm. Nội dung nguồn chưa cung cấp mã khai thác, IOC hay CVSS cụ thể, vì vậy các dữ liệu đó không được bổ sung thêm.
Cảnh báo CVE và yêu cầu khắc phục khẩn cấp
CISA đã phát hành Emergency Directive 26-03 cùng tài liệu Hunt & Hardening Guidance for Cisco SD-WAN Devices. Chỉ thị này nhấn mạnh mức độ nghiêm trọng của cảnh báo CVE và yêu cầu các đơn vị áp dụng biện pháp xử lý ngay khi có thể.
Đối với các tổ chức không thể triển khai biện pháp giảm thiểu, hướng dẫn nêu rõ cần ngừng sử dụng sản phẩm theo BOD 22-01 đối với dịch vụ cloud. Đây là biện pháp được áp dụng khi lỗ hổng CVE chưa thể được giảm thiểu an toàn trong thời gian ngắn.
Nguy cơ đối với môi trường doanh nghiệp
Các nền tảng quản trị SD-WAN thường có đặc quyền cao và kết nối với nhiều thiết bị đầu cuối mạng. Vì vậy, khi một lỗ hổng CVE bị khai thác, tác động không chỉ dừng ở một máy chủ đơn lẻ mà có thể lan sang toàn bộ môi trường định tuyến và chính sách truy cập.
Các sự cố khai thác nền tảng quản trị như vậy trong quá khứ thường xuất hiện trước các cuộc xâm nhập quy mô lớn. Trong tài liệu gốc, trạng thái liên quan đến ransomware được ghi là unknown, do đó không có kết luận bổ sung về mã độc tống tiền.
Hành động ưu tiên cho quản trị viên hệ thống
Với hạn chót 23/04/2026, các nhóm vận hành cần ưu tiên rà soát tất cả hệ thống Cisco Catalyst SD-WAN Manager đang hoạt động trong môi trường nội bộ và cloud. Đây là thời điểm mà cập nhật bản vá hoặc áp dụng biện pháp giảm thiểu phải được triển khai ngay.
- Xác định toàn bộ phiên bản Cisco Catalyst SD-WAN Manager đang triển khai.
- Đối chiếu tình trạng hệ thống với danh mục lỗ hổng CVE trong KEV.
- Áp dụng bản vá bảo mật hoặc biện pháp giảm thiểu theo hướng dẫn của CISA và Cisco.
- Nếu không thể giảm thiểu an toàn, xem xét dừng sử dụng theo hướng dẫn được nêu.
Theo dõi và phát hiện xâm nhập
Do nền tảng này quản lý cấu hình và routing, các dấu hiệu bất thường cần được ưu tiên kiểm tra trong nhật ký quản trị, thay đổi policy, truy cập trái phép vào giao diện quản lý và bất kỳ hoạt động cấu hình không được phê duyệt nào. Với các lỗ hổng CVE đang bị khai thác, việc phát hiện xâm nhập sớm có ý nghĩa quan trọng đối với an toàn mạng.
Nếu tổ chức đang vận hành SD-WAN ở quy mô lớn, cần tăng cường giám sát quyền truy cập quản trị, xác thực đa yếu tố nếu khả dụng, và kiểm tra tính toàn vẹn của cấu hình định tuyến. Đây là các bước tối thiểu để giảm nguy cơ bảo mật phát sinh từ một lỗ hổng CVE có khả năng bị khai thác trong thực tế.
Các quản trị viên cũng nên theo dõi danh mục KEV của CISA để xác định sớm những lỗ hổng CVE đang được khai thác tích cực. Việc này giúp ưu tiên cập nhật bản vá cho những thành phần có mức độ phơi nhiễm cao nhất trong hạ tầng.
Nguồn tham chiếu: CISA Known Exploited Vulnerabilities Catalog
