Cisco đã công bố một lỗ hổng CVE nghiêm trọng ảnh hưởng đến phần mềm IOS và IOS XE của họ. Lỗ hổng này tiềm ẩn khả năng cho phép kẻ tấn công thực thi mã từ xa (remote code execution) hoặc gây sập các thiết bị bị ảnh hưởng.

Cụ thể, đây là một lỗ hổng CVE được theo dõi với mã CVE-2025-20352. Nó nằm trong hệ thống con Giao thức Quản lý Mạng Đơn giản (SNMP) và được gán điểm CVSS 7.7, xếp vào loại mối đe dọa mức độ cao.

Phân tích Kỹ thuật Lỗ hổng Cisco SNMP

Căn nguyên của lỗ hổng Cisco SNMP này là một tình trạng tràn bộ đệm ngăn xếp (stack overflow). Sự cố này xảy ra trong hệ thống con SNMP khi nó xử lý các gói tin và lưu lượng quản lý mạng.

Tình trạng tràn bộ đệm ngăn xếp cho phép kẻ tấn công ghi đè lên các vùng bộ nhớ quan trọng. Điều này có thể dẫn đến việc thực thi mã độc hại hoặc gây ra sự cố hệ thống.

Điều làm cho lỗ hổng CVE này đặc biệt đáng lo ngại là bản chất đe dọa kép của nó. Các kẻ tấn công có đặc quyền thấp có thể khai thác nó.

Mục đích là để kích hoạt tình trạng từ chối dịch vụ (Denial of Service – DoS), buộc các thiết bị bị ảnh hưởng phải tải lại và làm gián đoạn nghiêm trọng hoạt động mạng.

Nguy cơ Remote Code Execution và Chiếm Quyền Root

Mặt khác, đối với các kẻ tấn công có quyền truy cập quản trị viên cấp cao, họ có thể tận dụng cùng lỗ hổng Cisco SNMP này. Mục tiêu cuối cùng là thực thi mã tùy ý với đặc quyền root, có khả năng giành quyền kiểm soát hoàn toàn hệ thống bị xâm nhập.

Việc chiếm quyền root thông qua remote code execution mang lại cho kẻ tấn công khả năng truy cập không giới hạn. Kẻ tấn công có thể thay đổi cấu hình, cài đặt phần mềm độc hại hoặc đánh cắp dữ liệu nhạy cảm.

Để khai thác lỗ hổng CVE-2025-20352, kẻ tấn công phải gửi một gói SNMP được chế tạo đặc biệt đến thiết bị mục tiêu. Cuộc tấn công này có thể được thực hiện qua mạng IPv4 hoặc IPv6.

Điều kiện tiên quyết để thực hiện cuộc tấn công là phải có chuỗi cộng đồng chỉ đọc SNMPv2c hoặc phiên bản cũ hơn. Ngoài ra, thông tin xác thực người dùng SNMPv3 hợp lệ cũng có thể được sử dụng.

Đối với các cuộc tấn công remote code execution, cần thêm thông tin xác thực quản trị viên hoặc đặc quyền 15 trên thiết bị mục tiêu.

Thiết bị và Phiên bản Cisco bị Ảnh hưởng

Lỗ hổng CVE này ảnh hưởng đến tất cả các phiên bản của SNMP khi được kích hoạt trên các thiết bị Cisco. Điều này biến nó thành một mối lo ngại rộng rãi cho các tổ chức sử dụng thiết bị mạng của Cisco.

Cụ thể, tất cả các thiết bị Cisco đang chạy các bản phát hành dễ bị tổn thương của Cisco IOS Software hoặc Cisco IOS XE Software, với SNMP được kích hoạt, đều nằm trong diện rủi ro.

Để xác định liệu thiết bị của mình có bị ảnh hưởng hay không, các tổ chức cần kiểm tra cấu hình SNMP hiện tại của chúng. Việc này được thực hiện thông qua các lệnh CLI cụ thể.

Các thiết bị có SNMPv1, v2c hoặc v3 được bật nên được coi là có nguy cơ cao. Trừ khi chúng đã loại trừ rõ ràng các định danh đối tượng (object identifier) bị ảnh hưởng bởi lỗ hổng.

Cisco đã xác nhận rằng các sản phẩm Cisco IOS XR Software và Cisco NX-OS Software không bị ảnh hưởng bởi lỗ hổng CVE nghiêm trọng này.

Kiểm tra Tình trạng SNMP và Cấu hình trên Thiết bị Cisco

Để kiểm tra trạng thái kích hoạt SNMP và xem xét các chuỗi cộng đồng đã cấu hình trên thiết bị Cisco, quản trị viên có thể sử dụng các lệnh CLI sau:

Router# show running-config | section snmp-server
snmp-server community public RO
snmp-server community private RW
snmp-server enable traps
snmp-server host 192.168.1.10 version 2c public

Lệnh trên sẽ hiển thị các dòng cấu hình liên quan đến SNMP. Nếu chuỗi cộng đồng như “public” (chỉ đọc) hoặc “private” (đọc-ghi) được sử dụng mà không có giới hạn truy cập, rủi ro sẽ tăng lên.

Router# show snmp community
Community name: public
Community string: public
Access list: 
Mode: RO
View: 
Trap Host: No

Lệnh show snmp community cung cấp thông tin chi tiết về từng chuỗi cộng đồng được cấu hình, bao gồm tên, chuỗi, danh sách kiểm soát truy cập (ACL) liên quan, và quyền (RO – Read Only, RW – Read Write).

Biện pháp Khắc phục và Cập nhật Bản vá Bảo mật

Cisco đã phát hành các bản cập nhật phần mềm để khắc phục hoàn toàn lỗ hổng Cisco SNMP này. Do tính chất nghiêm trọng của lỗ hổng CVE, các tổ chức được khuyến nghị nâng cấp ngay lập tức.

Thông tin chi tiết về các bản vá và phiên bản phần mềm đã sửa lỗi có thể tìm thấy trong thông báo bảo mật chính thức của Cisco tại Cisco Security Advisory: cisco-sa-snmp-x4LPhte.

Mặc dù việc áp dụng bản vá bảo mật là giải pháp tối ưu, không có giải pháp tạm thời (workaround) hoàn chỉnh nào tồn tại cho đến khi nâng cấp.

Tuy nhiên, quản trị viên có thể triển khai các biện pháp giảm thiểu tạm thời. Bao gồm việc hạn chế quyền truy cập SNMP chỉ cho các người dùng và địa chỉ IP đáng tin cậy.

Ngoài ra, có thể tắt các định danh đối tượng (OID) bị ảnh hưởng thông qua các lệnh cấu hình cụ thể. Mặc dù OID cụ thể không được cung cấp, nguyên tắc chung là sử dụng lệnh snmp-server view để giới hạn quyền truy cập.

Ví dụ, để tạo một view chỉ cho phép truy cập một phần MIB và áp dụng nó cho một cộng đồng:

snmp-server view restricted-view cisco.1.2.3.4.5 included
snmp-server community public view restricted-view RO

Các biện pháp giảm thiểu này có thể ảnh hưởng đến khả năng quản lý thiết bị qua SNMP. Điều này bao gồm các chức năng quan trọng như phát hiện thiết bị và kiểm kê phần cứng.

Lịch sử Công bố và Công cụ Hỗ trợ

Lỗ hổng CVE-2025-20352 này được công bố lần đầu vào ngày 24 tháng 9 năm 2025. Đây là một phần của bản phát hành thông báo bảo mật định kỳ nửa năm của Cisco.

Để hỗ trợ các tổ chức trong việc đánh giá và triển khai bản vá bảo mật, Cisco cung cấp công cụ Cisco Software Checker. Công cụ này giúp xác định các bản phát hành phần mềm bị ảnh hưởng và lựa chọn các phiên bản đã sửa lỗi phù hợp cho từng môi trường triển khai.

Việc chủ động tìm kiếm và áp dụng bản vá bảo mật là cực kỳ quan trọng. Điều này giúp bảo vệ cơ sở hạ tầng mạng khỏi các mối đe dọa khai thác lỗ hổng CVE tiềm tàng và các cuộc tấn công mạng.