Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng (CISA) đã phát đi cảnh báo về các lỗ hổng nghiêm trọng trong phần mềm IOS và IOS XE SNMP subsystem của Cisco. Các lỗ hổng này đang bị các tác nhân đe dọa khai thác chủ động trên thực tế. Đặc biệt, khai thác CVE Cisco này cần được ưu tiên xử lý.

CVE-2025-20352, liên quan đến lỗi tràn bộ đệm dựa trên stack trong triển khai Giao thức Quản lý Mạng Đơn giản (SNMP), đã được chính thức bổ sung vào danh mục Known Exploited Vulnerabilities (KEV) của CISA. Các nhóm bảo mật và quản trị viên mạng được khuyến cáo coi đây là cảnh báo ưu tiên hàng đầu và thực hiện các hành động bảo vệ hạ tầng bị ảnh hưởng ngay lập tức.

Phân Tích Kỹ Thuật Lỗ Hổng CVE-20352

Bản Chất Lỗ Hổng và Ảnh Hưởng

Cisco lần đầu tiên công bố CVE-2025-20352 vào ngày 17 tháng 9 năm 2025. Lỗ hổng này mô tả cách một gói SNMP bị định dạng sai có thể kích hoạt lỗi tràn bộ đệm dựa trên stack trong các phiên bản IOS và IOS XE bị ảnh hưởng.

Việc khai thác thành công có thể dẫn đến hai kịch bản tấn công. Đối với kẻ tấn công có đặc quyền thấp, lỗi này có thể khiến thiết bị tải lại, dẫn đến tình trạng từ chối dịch vụ (DoS).

Trong khi đó, kẻ tấn công có đặc quyền cao có thể thực thi mã tùy ý với quyền truy cập root-level, tiềm ẩn khả năng chiếm toàn quyền kiểm soát hệ thống. Lỗ hổng này được theo dõi dưới mã CWE-121: Stack-based Buffer Overflow.

Bằng Chứng Khai Thác Thực Tế

Bằng chứng về việc khai thác CVE Cisco này đã xuất hiện từ dữ liệu từ xa và các nguồn tin tức tình báo về mối đe dọa. Các thông tin này cho thấy các tác nhân độc hại đang sử dụng các công cụ quét tự động để xác định các điểm cuối SNMP bị lộ trên Internet.

Mặc dù chưa rõ liệu một nhóm đe dọa cụ thể hay chiến dịch ransomware nào chịu trách nhiệm, hồ sơ rủi ro là đáng kể. Điều này do sự phổ biến của các router và switch của Cisco trong các mạng doanh nghiệp và nhà cung cấp dịch vụ. Đây là một cảnh báo CVE đáng lưu ý.

Tầm Quan Trọng của Danh Mục KEV của CISA

Việc CISA đưa CVE-2025-20352 vào danh mục KEV nhấn mạnh cam kết của cơ quan này trong việc cung cấp cho các tổ chức thông tin tình báo có thể hành động. Đặc biệt là về các lỗ hổng đang bị đối thủ lợi dụng.

Danh mục KEV đóng vai trò là kho lưu trữ đáng tin cậy cho các lỗ hổng đã được xác nhận khai thác trong các cuộc tấn công thực tế. Các nhóm bảo mật được khuyến nghị tích hợp danh mục KEV vào quy trình quản lý lỗ hổng của họ. Từ đó, sử dụng nó để thúc đẩy việc ưu tiên và thực hiện các hoạt động vá lỗi.

Hướng Dẫn Khắc Phục và Giảm Thiểu Rủi Ro

Cập Nhật Bản Vá Bảo Mật

Cisco đã phát hành các bản cập nhật phần mềm để khắc phục các vấn đề tràn bộ đệm SNMP trong IOS và IOS XE. Quản trị viên nên áp dụng các bước sau đây mà không chậm trễ để ngăn chặn việc khai thác CVE Cisco này:

(Tham khảo tài liệu hướng dẫn vá lỗi chính thức từ Cisco cho phiên bản cụ thể của bạn)

Các Biện Pháp Giảm Thiểu Thay Thế

Trong trường hợp việc khắc phục không khả thi, ví dụ như với phần cứng cũ không được hỗ trợ, các tổ chức phải cân nhắc ngừng sử dụng các sản phẩm bị ảnh hưởng. Hoặc thực hiện các biện pháp kiểm soát bù đắp mạnh mẽ.

• Phân đoạn mạng (Network Segmentation): Cách ly các thiết bị dễ bị tổn thương khỏi các phần còn lại của mạng.
• Thiết lập ACL (Access Control List) nghiêm ngặt: Giới hạn truy cập vào các cổng SNMP chỉ từ các địa chỉ IP đáng tin cậy.
• Quản lý ngoài băng tần (Out-of-band Management): Đảm bảo rằng việc quản lý thiết bị không đi qua cùng một giao diện mạng với lưu lượng sản xuất.

Tích Hợp KEV vào Quy Trình Quản Lý Lỗ Hổng

Tích hợp danh mục KEV vào một khuôn khổ quản lý lỗ hổng giúp tăng cường khả năng hiển thị các mối đe dọa nghiêm trọng nhất mà hạ tầng phải đối mặt. Bằng cách điều chỉnh chu kỳ vá lỗi và đánh giá rủi ro với các mục KEV, các nhóm có thể đảm bảo các lỗ hổng tác động cao như CVE-2025-20352 nhận được sự chú ý ngay lập tức.

Điều này rất quan trọng để đối phó với các trường hợp khai thác CVE Cisco đã biết.

Thực Hành Bảo Mật Tốt Nhất

Thường xuyên kiểm toán cấu hình mạng, áp dụng nguyên tắc đặc quyền tối thiểu (least privilege), và duy trì firmware cập nhật là những thực hành tốt nhất cần thiết. Các kế hoạch ứng phó sự cố hiệu quả nên bao gồm các playbook cho các kịch bản DoS và RCE, với các đường dẫn leo thang rõ ràng đến bộ phận hỗ trợ của Cisco và tài nguyên của CISA.

Sự hợp tác giữa các hoạt động bảo mật, kỹ thuật mạng và lãnh đạo cấp cao là rất quan trọng để phân bổ nguồn lực cho việc khắc phục nhanh chóng. Đặc biệt khi đối mặt với khai thác CVE Cisco.

Giảm Thiểu Tiếp Xúc với Các Cuộc Tấn Công Nghiêm Trọng

Việc bổ sung CVE-2025-20352 vào danh mục KEV của CISA cho thấy bức tranh mối đe dọa đang ngày càng phát triển nhằm vào hạ tầng mạng. Các tổ chức chủ động cập nhật thiết bị, thực thi các kiểm soát SNMP nghiêm ngặt, và tận dụng thông tin tình báo lỗ hổng đáng tin cậy sẽ giảm đáng kể nguy cơ tiếp xúc với các cuộc tấn công có mức độ nghiêm trọng cao này.

Tham khảo thêm thông tin chi tiết về KEV của CISA tại CISA KEV Catalog.