Cisco đã công bố Cảnh báo Bảo mật cisco-sa-http-code-exec-WmfP3h3O, tiết lộ một lỗ hổng CVE nghiêm trọng trong nhiều nền tảng Cisco xử lý quản lý dựa trên HTTP. Lỗ hổng này, được theo dõi với mã CVE-2025-20363, xuất phát từ việc xác thực đầu vào do người dùng cung cấp trong các yêu cầu HTTP không đúng cách.

Kẻ tấn công có thể tạo ra lưu lượng HTTP độc hại để kích hoạt thực thi mã tùy ý (remote code execution) với quyền root, dẫn đến việc thiết bị bị xâm nhập hoàn toàn. Đây là một lỗ hổng CVE đáng báo động cần được khắc phục ngay lập tức để duy trì an ninh mạng.

Phân Tích Lỗ Hổng CVE Nghiêm Trọng: CVE-2025-20363

CVE-2025-20363 được NVD NIST đánh giá là nghiêm trọng với điểm CVSS 3.1 cơ bản là 9.0. Điều này phản ánh khả năng mất hoàn toàn tính bảo mật, toàn vẹn và khả dụng thông qua một cuộc tấn công dựa trên mạng mà không yêu cầu tương tác của người dùng.

Điểm số cao này nhấn mạnh nguy cơ đáng kể mà lỗ hổng CVE này gây ra cho các hệ thống mạng. Việc hiểu rõ cơ chế và tác động là tối quan trọng để ứng phó hiệu quả.

Các Nền Tảng và Cấu Hình Bị Ảnh Hưởng

Lỗ hổng này ảnh hưởng đến một loạt các dòng sản phẩm của Cisco:

• Cisco ASA Software
• Cisco Firepower Threat Defense (FTD) Software
• Cisco IOS Software
• Cisco IOS XE Software
• Cisco IOS XR Software

Các cấu hình bị ảnh hưởng trải rộng trên nhiều dòng sản phẩm và tính năng, bao gồm các dịch vụ HTTP/HTTPS liên quan đến quản lý, VPN và dịch vụ web khác. Sự hiện diện của các cài đặt như webvpn hoặc crypto ssl policy trên ASA/FTD và IOS/XE, hoặc http server trên IOS XR, có thể cho thấy thiết bị dễ bị tấn công.

Chi Tiết Khai Thác và Điều Kiện Tấn Công

Phương thức khai thác lỗ hổng CVE này khác nhau tùy thuộc vào nền tảng thiết bị Cisco:

Thiết Bị ASA và FTD

Đối với các thiết bị ASA và FTD, không yêu cầu xác thực. Một kẻ tấn công không được xác thực có thể gửi các yêu cầu được tạo đặc biệt trực tiếp đến các dịch vụ web được kích hoạt SSL đã chặn. Điều này cho phép bỏ qua các biện pháp giảm thiểu khai thác sau khi thu thập thông tin hệ thống. Đây là một kịch bản CVE nghiêm trọng vì không đòi hỏi quyền truy cập ban đầu và có thể dẫn đến chiếm quyền điều khiển thiết bị.

Nền Tảng IOS, IOS XE và IOS XR

Trên các nền tảng IOS, IOS XE và IOS XR, một người dùng đã xác thực nhưng có đặc quyền thấp có thể khai thác cùng một điểm yếu trong các dịch vụ HTTP để giành quyền truy cập root. Mặc dù yêu cầu xác thực, việc chiếm đoạt tài khoản có đặc quyền thấp vẫn có thể dẫn đến việc chiếm quyền kiểm soát hệ thống hoàn toàn thông qua remote code execution.

Không Có Giải Pháp Tạm Thời, Chỉ Có Bản Vá Bảo Mật

Cisco đã khẳng định rằng không có giải pháp tạm thời nào để khắc phục lỗ hổng CVE này. Chỉ có các bản cập nhật phần mềm mới có thể giải quyết triệt để vấn đề và là cách duy nhất để bảo vệ hệ thống.

Khách hàng phải xác minh cấu hình thiết bị của mình, chẳng hạn như sự hiện diện của các cài đặt webvpn hoặc crypto ssl policy trên ASA/FTD và IOS/XE, hoặc http server trên IOS XR. Sau đó, cần cập nhật bản vá bằng cách nâng cấp lên các bản phát hành được vá lỗi đầu tiên được cung cấp trong cảnh báo.

Cisco cung cấp công cụ Software Checker để giúp xác định các phiên bản dễ bị tấn công và các bản vá sớm nhất. Người dùng có thể chọn cảnh báo này trong công cụ để xác định các phiên bản phần mềm dễ bị tổn thương và các bản vá lỗi sớm nhất.

Quy Trình Cập Nhật và ID Lỗi

• Đối với ASA và FTD: Các bản phát hành đã sửa lỗi xuất hiện trong phần “Fixed Software” của cảnh báo bảo mật.
• Đối với IOS và IOS XE: Thông tin tương tự có sẵn qua công cụ Software Checker.
• Đối với người dùng IOS XR trên nền tảng 32-bit ASR 9001: Phải liên hệ với Cisco TAC để được hỗ trợ về SMU (Software Maintenance Upgrade).

Các ID lỗi mà Cisco sử dụng để theo dõi các báo cáo cụ thể theo nền tảng bao gồm CSCwo18850, CSCwo35704 và CSCwo35779, cùng một số ID khác. Việc tham khảo các ID này giúp xác định chính xác các bản vá cần thiết.

Phát Hiện Lỗ Hổng và Tình Hình Hiện Tại

Lỗ hổng CVE-2025-20363 này được phát hiện bởi Keane O’Kelley từ Nhóm Sáng kiến An ninh Nâng cao (Advanced Security Initiatives Group) của Cisco trong quá trình xử lý một trường hợp hỗ trợ của TAC. Cisco PSIRT cũng ghi nhận sự hỗ trợ của một số trung tâm an ninh mạng quốc gia trong quá trình điều tra.

Hiện tại, chưa có khai thác công khai hoặc cuộc tấn công nào được quan sát để lợi dụng CVE-2025-20363. Tuy nhiên, điều này không làm giảm mức độ nghiêm trọng của lỗ hổng CVE và nhu cầu cập nhật bản vá kịp thời.

Khuyến Nghị Bảo Mật Mạng Quan Trọng

Cisco khuyến nghị mạnh mẽ các hành động sau để bảo vệ hệ thống của bạn khỏi lỗ hổng CVE này:

• Kiểm tra các sản phẩm và cấu hình được liệt kê trong cảnh báo để xác định xem chúng có bị ảnh hưởng hay không.
• Nâng cấp lên các bản phát hành phần mềm được vá lỗi càng sớm càng tốt để khắc phục lỗ hổng CVE nghiêm trọng này.
• Sử dụng công cụ Software Checker của Cisco để hỗ trợ việc xác định các phiên bản dễ bị tấn công và các bản vá thích hợp.

Việc không khắc phục kịp thời sẽ khiến cơ sở hạ tầng mạng quan trọng dễ bị xâm nhập hoàn toàn bởi các đối thủ từ xa. Đảm bảo triển khai nhanh chóng các bản vá để duy trì bảo mật mạng cho các nền tảng tường lửa và định tuyến của Cisco.