Cisco đã phát hành cảnh báo bảo mật với mức độ nghiêm trọng cao về một lỗ hổng CVE nguy hiểm trong các thiết bị chuyển mạch Cisco Nexus 3000 và 9000 Series. Lỗ hổng này có thể cho phép kẻ tấn công thực hiện các cuộc tấn công từ chối dịch vụ (DoS) thông qua việc gửi các gói tin mạng được chế tạo đặc biệt.
Mô tả Lỗ hổng CVE-2025-20241
Lỗ hổng CVE này, được theo dõi với mã định danh CVE-2025-20241 và được gán điểm CVSS 7.4 (mức độ nghiêm trọng cao), ảnh hưởng đến tính năng Intermediate System-to-Intermediate System (IS-IS) trong phần mềm Cisco NX-OS. Các thiết bị bị ảnh hưởng bao gồm Cisco Nexus 3000 Series Switches và Nexus 9000 Series Switches khi chạy ở chế độ NX-OS độc lập.
Chi tiết về lỗ hổng đã được công bố trong bản tư vấn bảo mật của Cisco với mã cisco-sa-n39k-isis-dos-JhJA8Rfx vào ngày 27 tháng 8 năm 2025.
Nguyên nhân của lỗ hổng CVE này xuất phát từ việc xác thực đầu vào không đầy đủ khi phân tích các gói IS-IS đến. IS-IS là một giao thức định tuyến thường được sử dụng trong các mạng doanh nghiệp để định tuyến động.
Cơ chế Tấn công mạng và Điều kiện Khai thác
Kẻ tấn công không cần xác thực, nếu có vị trí liền kề với mạng (Layer 2-adjacent), có thể khai thác điểm yếu này. Họ thực hiện điều đó bằng cách gửi các gói IS-IS được chế tạo đặc biệt đến các thiết bị dễ bị tổn thương. Hành động này tiềm ẩn nguy cơ gây khởi động lại quy trình IS-IS một cách bất ngờ, dẫn đến việc thiết bị bị tải lại hoàn toàn.
Để khai thác thành công lỗ hổng CVE này, kẻ tấn công phải nằm trên cùng phân đoạn mạng với thiết bị mục tiêu. Điều này khiến nó trở thành mối lo ngại đáng kể đối với các mối đe dọa nội bộ hoặc kẻ tấn công đã có quyền truy cập mạng ban đầu.
Cơ chế tấn công khá đơn giản nhưng hiệu quả: các gói IS-IS bị lỗi bỏ qua quá trình xác thực đầu vào đúng cách, khiến quy trình định tuyến bị treo và buộc toàn bộ switch phải tải lại. Điều này tạo ra một tình trạng từ chối dịch vụ nghiêm trọng có thể làm gián đoạn hoạt động mạng và ảnh hưởng đến tính liên tục của hoạt động kinh doanh.
Cisco đã xác nhận rằng lỗ hổng CVE này chỉ có thể bị khai thác bởi một peer IS-IS liền kề đang ở trạng thái UP. Nếu tính năng xác thực IS-IS được bật trên mạng, kẻ tấn công sẽ cần có khóa xác thực hợp lệ để kích hoạt thành công khai thác, từ đó cung cấp một mức độ bảo vệ nhất định.
Sản phẩm Bị Ảnh hưởng và Phương pháp Phát hiện
Lỗ hổng này ảnh hưởng cụ thể đến các sản phẩm sau:
- Cisco Nexus 3000 Series Switches
- Cisco Nexus 9000 Series Switches (khi chạy ở chế độ NX-OS độc lập)
Các quản trị viên mạng có thể xác định xem hệ thống của họ có dễ bị tấn công hay không bằng cách kiểm tra xem giao thức IS-IS có được bật hay không. Sử dụng lệnh giao diện dòng lệnh (CLI) sau:
show running-config | include isisXác định cấu hình IS-IS dễ bị tổn thương
Các cấu hình dễ bị tổn thương sẽ hiển thị các tính năng bao gồm feature isis, router isis name, và ít nhất một thể hiện của ip router isis name.
Để xác định các peer IS-IS có khả năng khai thác lỗ hổng CVE này, quản trị viên nên sử dụng lệnh show isis adjacency để xem cơ sở dữ liệu liền kề hiện tại:
show isis adjacencyChiến lược Giảm thiểu và Bản vá Bảo mật
Cisco đã phát hành các bản cập nhật phần mềm để khắc phục hoàn toàn lỗ hổng CVE này. Công ty khuyến nghị mạnh mẽ việc vá lỗi ngay lập tức như biện pháp phòng thủ chính. Hiện không có giải pháp tạm thời nào có thể giảm thiểu hoàn toàn rủi ro.
Cisco gợi ý triển khai IS-IS area authentication như một chiến lược giảm thiểu theo phương pháp tốt nhất. Để biết thêm thông tin chi tiết và tải xuống các bản vá, vui lòng tham khảo bản tư vấn bảo mật của Cisco.
Tầm quan trọng của Cập nhật Hạ tầng Mạng và Giảm thiểu Rủi ro Bảo mật
Mức độ CVSS tương đối cao và tiềm năng gây ra lỗi hoàn toàn của thiết bị đối với lỗ hổng CVE này khiến nó trở thành một vấn đề ưu tiên đối với các tổ chức đang sử dụng thiết bị Cisco bị ảnh hưởng. Thời điểm công bố này, như một phần của gói tư vấn bảo mật bán niên tháng 8 năm 2025 của Cisco, thể hiện cam kết của nhà cung cấp đối với việc tiết lộ lỗ hổng có phối hợp, đồng thời nhấn mạnh tính chất quan trọng của việc duy trì cơ sở hạ tầng mạng được cập nhật trong bối cảnh mối đe dọa hiện nay.
Các tổ chức nên đánh giá ngay lập tức mức độ phơi nhiễm và phát triển kế hoạch khắc phục để xử lý lỗ hổng CVE này trước khi nó có thể bị khai thác bởi các tác nhân độc hại.
