Cisco đã công bố một lỗ hổng CVE nghiêm trọng trong sản phẩm Catalyst SD-WAN Manager của mình, hiện đang bị khai thác tích cực trong môi trường thực tế. Lỗ hổng này cho phép kẻ tấn công thực thi các lệnh tùy ý với quyền root trên hệ thống.
Vấn đề này, được theo dõi dưới mã định danh CVE-2026-20245, mang điểm số CVSS 7.8 (mức độ nghiêm trọng cao) và phát sinh từ việc kiểm tra đầu vào không đúng cách trong giao diện dòng lệnh (CLI) của hệ thống. Đây là một rủi ro bảo mật đáng kể, đòi hỏi sự chú ý khẩn cấp từ các tổ chức sử dụng giải pháp này.
Mô Tả Kỹ Thuật về Lỗ Hổng CVE-2026-20245
Bản Chất của Lỗ Hổng Command Injection
Theo cảnh báo của Cisco, lỗi này xuất phát từ việc thiếu sót trong quá trình làm sạch (sanitization) dữ liệu đầu vào do người dùng cung cấp trong quá trình xử lý các tệp được tải lên. Việc kiểm tra đầu vào không đầy đủ là nguyên nhân chính dẫn đến khả năng tiêm lệnh (command injection).
Kẻ tấn công đã xác thực có thể khai thác điểm yếu này bằng cách tải lên một tệp được chế tạo đặc biệt. Tệp này sẽ kích hoạt tiêm lệnh, cho phép leo thang đặc quyền lên người dùng root.
Một khi quyền truy cập root được thiết lập, kẻ tấn công có thể kiểm soát hoàn toàn mặt phẳng quản lý SD-WAN. Điều này bao gồm khả năng thao túng cấu hình và tiềm ẩn gây ảnh hưởng đến các thiết bị biên (edge devices) được kết nối.
Điều Kiện Khai Thác và Yêu Cầu Đặc Quyền
Cuộc tấn công yêu cầu đặc quyền cấp netadmin, điều này có nghĩa là mối đe dọa không thể bị khai thác trực tiếp bởi các tác nhân chưa được xác thực. Kẻ tấn công cần phải có quyền truy cập ban đầu vào hệ thống với một tài khoản quản trị mạng.
Mặc dù vậy, Cisco cảnh báo rằng kẻ tấn công có thể kết hợp lỗ hổng này với các điểm yếu đã biết khác, chẳng hạn như CVE-2026-20182 hoặc CVE-2026-20127, để đạt được quyền truy cập cần thiết. Điều này làm tăng đáng kể rủi ro trong các môi trường thực tế, nơi việc thỏa hiệp thông tin đăng nhập hoặc khai thác chuỗi là khả thi.
Tác Động và Rủi Ro từ Các Cuộc Tấn Công Mạng Khai Thác Lỗ Hổng
Khi kẻ tấn công đạt được quyền root, họ có thể thực hiện nhiều hành động độc hại. Điều này bao gồm việc thay đổi các cấu hình mạng quan trọng, chuyển hướng lưu lượng truy cập hoặc thậm chí ngắt dịch vụ toàn bộ.
Việc kiểm soát mặt phẳng quản lý SD-WAN cho phép kẻ tấn công kiểm soát toàn bộ môi trường mạng SD-WAN. Điều này đe dọa nghiêm trọng đến tính toàn vẹn, bảo mật và khả năng hoạt động của cơ sở hạ tầng mạng.
Nhóm Ứng phó Sự cố An ninh Sản phẩm (PSIRT) của Cisco đã xác nhận rằng lỗ hổng CVE này đã bị khai thác trong các cuộc tấn công có giới hạn. Trong các trường hợp được quan sát, các tác nhân đe dọa đã sử dụng lỗ hổng để đẩy các thay đổi cấu hình trái phép lên các thiết bị biên SD-WAN.
Hành vi này cho thấy các hoạt động hậu khai thác nhằm mục đích duy trì sự hiện diện, di chuyển ngang (lateral movement), hoặc thao túng lưu lượng truy cập trong các mạng doanh nghiệp. Điều này có thể dẫn đến rò rỉ dữ liệu, gián đoạn hoạt động, hoặc tạo ra các cửa hậu cho các cuộc tấn công trong tương lai.
Phạm Vi Ảnh Hưởng và Các Vector Tấn Công Tiềm Năng
Lỗ hổng này ảnh hưởng đến tất cả các triển khai Cisco Catalyst SD-WAN Manager. Điều này bao gồm các hệ thống đặt tại chỗ (on-premises), Cisco SD-WAN Cloud, Cloud-Pro, và các triển khai cho chính phủ (FedRAMP).
Các hệ thống được phơi bày ra internet được coi là có rủi ro cao hơn. Đặc biệt là nếu các giao diện quản lý có thể truy cập từ bên ngoài. Điều này tạo điều kiện thuận lợi cho kẻ tấn công thực hiện các hành vi quét và khai thác ban đầu.
Cisco đã không phát hành bản vá phần mềm ngay lập tức để khắc phục vấn đề này tại thời điểm công bố. Hiện tại, không có giải pháp tạm thời (workaround) trực tiếp cho lỗ hổng CVE-2026-20245.
Công ty đã khuyến nghị khách hàng nâng cấp lên phiên bản phần mềm đã được sửa lỗi trước đó, được tham chiếu trong cảnh báo tháng 5 năm 2026 của họ. Tuy nhiên, một bản sửa lỗi chuyên biệt cho lỗ hổng cụ thể này vẫn đang chờ xử lý.
Phát Hiện Xâm Nhập và Chỉ Báo Compromise (IOCs)
Cisco đã cung cấp hướng dẫn để giúp các tổ chức phát hiện khả năng bị xâm nhập. Các quản trị viên được khuyến nghị xem xét tệp scripts.log nằm trong thư mục /var/log/ để tìm các mục đáng ngờ.
Một ví dụ về dấu hiệu xâm nhập là việc thực thi các lệnh như /usr/bin/vconfd_script_upload_tenant_list.sh với các đường dẫn tệp không mong muốn. Điều này bao gồm các tệp CSV độc hại được tải lên.
Tuy nhiên, Cisco lưu ý rằng các mục nhật ký này cũng có thể xuất hiện trong các hoạt động hợp pháp. Do đó, việc phân tích cẩn thận là rất cần thiết để tránh các kết quả dương tính giả (false positives) và tập trung vào các tấn công mạng thực sự.
Thu Thập Dữ Liệu Pháp Y (Forensic Data)
Để hỗ trợ các nỗ lực ứng phó sự cố, các tổ chức được khuyến nghị mạnh mẽ thu thập dữ liệu pháp y. Điều này nên được thực hiện bằng cách sử dụng lệnh request admin-tech trước khi áp dụng bất kỳ nâng cấp nào.
request admin-techViệc này đảm bảo việc bảo toàn bằng chứng quan trọng có thể giúp xác định mức độ bị xâm phạm. Nó là một bước thiết yếu trong quy trình ứng phó sự cố để hiểu rõ hơn về phạm vi và tác động của cuộc tấn công.
Khuyến Nghị Bảo Mật và Cập Nhật Bản Vá Khắc Phục
Để giảm thiểu rủi ro từ lỗ hổng CVE-2026-20245, các tổ chức nên ưu tiên các hành động sau:
- Nâng cấp Phần Mềm Khẩn Cấp: Nâng cấp các hệ thống Cisco Catalyst SD-WAN Manager lên phiên bản phần mềm đã được sửa lỗi sớm nhất có thể. Tham khảo cảnh báo bảo mật chính thức của Cisco để biết chi tiết phiên bản cụ thể.
- Giám Sát và Phân Tích Nhật Ký: Thực hiện giám sát liên tục và phân tích chuyên sâu tệp
/var/log/scripts.logđể phát hiện các chỉ báo xâm nhập (IOCs). Đặc biệt chú ý đến các hoạt động thực thi lệnh bất thường. - Kiểm Soát Truy Cập Nghiêm Ngặt: Đảm bảo kiểm soát truy cập chặt chẽ vào giao diện quản lý SD-WAN Manager. Hạn chế quyền truy cập từ bên ngoài internet nếu không thực sự cần thiết.
- Đánh Giá Cấu Hình Sau Nâng Cấp: Cisco khuyến nghị xem xét lại cấu hình thiết bị và nhật ký sau khi nâng cấp. Việc vá lỗi đơn thuần có thể không khắc phục được hoàn toàn các hệ thống đã bị xâm phạm nếu kẻ tấn công đã cài đặt cơ chế duy trì (persistence).
- Liên Hệ Hỗ Trợ Kỹ Thuật: Nếu phát hiện các chỉ báo xâm nhập, khách hàng nên liên hệ với Cisco TAC để được hướng dẫn các bước khắc phục chi tiết. Việc nâng cấp hệ thống bị ảnh hưởng mà không giải quyết các cơ chế duy trì hoặc thay đổi trái phép có thể khiến mạng vẫn bị phơi nhiễm.
Trong bối cảnh chưa có bản vá chuyên biệt cho lỗ hổng CVE-2026-20245, việc thực hiện các biện pháp kiểm soát truy cập, giám sát liên tục và phân tích nhật ký là cực kỳ quan trọng. Các tổ chức cần ưu tiên những biện pháp này để giảm thiểu rủi ro trong khi chờ đợi bản cập nhật bản vá vĩnh viễn.
Bối Cảnh và Nguồn Gốc Báo Cáo
Lỗ hổng này được công ty bảo mật Mandiant báo cáo. Điều này một lần nữa nhấn mạnh sự hợp tác liên tục giữa các nhà cung cấp và các nhóm tình báo mối đe dọa. Sự phối hợp này là chìa khóa trong việc xác định các mối đe dọa đang hoạt động và bảo vệ cơ sở hạ tầng mạng toàn cầu. Nhờ đó, các tổ chức có thể phản ứng nhanh chóng trước các rủi ro mới.
