Nhiều dòng điện thoại bàn, IP và video của Cisco đang đối mặt với nguy cơ bị tấn công từ chối dịch vụ (DoS) từ xa và tấn công cross-site scripting (XSS) do các lỗ hổng CVE trong phần mềm Giao thức Khởi tạo Phiên (SIP) của chúng. Những điểm yếu này có thể gây ra gián đoạn nghiêm trọng cho hệ thống truyền thông của doanh nghiệp.

Tổng quan về các Lỗ hổng Cisco Phone

Cisco đã phát hành Thông báo An ninh với ID cisco-sa-phone-dos-FPyjLV7A vào ngày 15 tháng 10 năm 2025, công bố hai lỗ hổng riêng biệt ảnh hưởng đến các sản phẩm điện thoại của hãng. Các lỗ hổng này có thể bị khai thác từ xa, gây ra các tác động tiêu cực đến tính khả dụng và toàn vẹn của hệ thống.

Chi tiết CVE và Mức độ Nghiêm trọng

Thông báo của Cisco chỉ ra hai mã lỗ hổng CVE chính, cùng với đánh giá mức độ nghiêm trọng theo chuẩn CVSSv3.1:

• CVE-2023-20230: Lỗ hổng từ chối dịch vụ từ xa (Remote Denial-of-Service) trong phần mềm SIP của điện thoại Cisco. Lỗ hổng này xuất phát từ lỗi tràn bộ đệm (buffer overflow) và được đánh giá với điểm CVSSv3.1 là 7.5 (Cao).
• CVE-2023-20236: Lỗ hổng Cross-Site Scripting (XSS) trong giao diện web của điện thoại Cisco. Lỗ hổng này cho phép chèn mã độc vào dữ liệu đầu vào và được đánh giá với điểm CVSSv3.1 là 6.1 (Trung bình).

Cả hai lỗ hổng đều yêu cầu tính năng Web Access (Truy cập Web) phải được kích hoạt trên thiết bị. Mặc dù tính năng này bị tắt theo mặc định, nguy cơ khai thác là rất cao nếu Web Access đã được bật.

Các thiết bị và điều kiện bị ảnh hưởng

Các điểm yếu này ảnh hưởng đến một số dòng điện thoại Cisco khi chúng được đăng ký với Cisco Unified Communications Manager (CUCM) và có tính năng Web Access được kích hoạt:

• Điện thoại bàn Cisco Desk Phone 9800 Series
• Điện thoại IP Cisco IP Phone 7800 Series
• Điện thoại IP Cisco IP Phone 8800 Series
• Điện thoại video Cisco Video Phone 8875

Cisco đã xác nhận rằng các thiết bị đang chạy Firmware đa nền tảng (Multiplatform Firmware) không bị ảnh hưởng bởi những lỗ hổng CVE này. Điều này giúp khoanh vùng rõ ràng phạm vi tác động của vấn đề.

Cơ chế Khai thác các Lỗ hổng

Việc hiểu rõ cơ chế khai thác là rất quan trọng để đánh giá đúng mối đe dọa mạng và xây dựng các biện pháp phòng thủ hiệu quả. Kẻ tấn công có thể lợi dụng những điểm yếu này để gây ra gián đoạn hoặc xâm phạm thông tin.

Tấn công từ chối dịch vụ (DoS) qua tràn bộ đệm

Lỗ hổng từ chối dịch vụ (DoS) cho phép một kẻ tấn công không xác thực gửi các gói tin HTTP được chế tạo đặc biệt đến thiết bị mục tiêu. Các gói tin này được thiết kế để gây ra lỗi tràn bộ đệm (buffer overflow) trong quá trình xử lý của phần mềm SIP.

Khi lỗi tràn bộ đệm xảy ra, thiết bị sẽ tự động khởi động lại, dẫn đến tình trạng gián đoạn dịch vụ. Điều này làm cho thiết bị không thể thực hiện hoặc nhận cuộc gọi, gây ảnh hưởng nghiêm trọng đến tính khả dụng của hệ thống truyền thông. Kẻ tấn công có thể thực hiện tấn công mạng này từ xa, không cần bất kỳ quyền xác thực nào.

Tấn công Cross-Site Scripting (XSS) qua dữ liệu đầu vào

Lỗ hổng Cross-Site Scripting (XSS) xảy ra do việc xử lý không đúng đắn dữ liệu đầu vào của người dùng trên giao diện web của điện thoại. Kẻ tấn công có thể chèn các script độc hại thông qua dữ liệu không được làm sạch (unsanitized user input) vào giao diện này.

Khi một người dùng hợp lệ, đặc biệt là quản trị viên, truy cập vào giao diện web bị nhiễm, script độc hại sẽ được thực thi trong trình duyệt của họ. Điều này có thể dẫn đến việc đánh cắp dữ liệu phiên nhạy cảm, thực hiện các hành động trái phép thay mặt người dùng hoặc chuyển hướng người dùng đến các trang lừa đảo. Mức độ nghiêm trọng của lỗ hổng CVE này phụ thuộc vào quyền hạn của tài khoản bị ảnh hưởng và thông tin có thể bị rò rỉ.

Tác động và Rủi ro bảo mật đối với Doanh nghiệp

Các doanh nghiệp phụ thuộc vào hệ thống điện thoại Cisco để liên lạc hàng ngày có thể phải đối mặt với những tác động đáng kể từ các lỗ hổng CVE này, gây ra rủi ro bảo mật cao cho hoạt động kinh doanh và dữ liệu.

Gián đoạn Dịch vụ và Thiệt hại Vận hành

Một cuộc tấn công DoS thành công có thể làm cho hàng chục thiết bị ngoại tuyến cùng lúc. Điều này sẽ làm gián đoạn các dịch vụ thoại quan trọng, ảnh hưởng trực tiếp đến khả năng giao tiếp nội bộ và bên ngoài của tổ chức.

Các doanh nghiệp có thể phải chịu thiệt hại về uy tín và tài chính do mất kết nối, đặc biệt đối với các trung tâm liên lạc (call center) hoặc các bộ phận kinh doanh phụ thuộc vào điện thoại.

Nguy cơ Thỏa hiệp Thông tin và Hệ thống

Tấn công XSS có khả năng làm lộ dữ liệu phiên nhạy cảm, bao gồm thông tin đăng nhập hoặc token xác thực của quản trị viên. Việc chiếm quyền điều khiển các phiên này có thể cho phép kẻ tấn công thực thi các script tùy ý, truy cập trái phép vào các cài đặt cấu hình hoặc thay đổi chúng, thậm chí cài đặt firmware độc hại.

Với khả năng kích hoạt các lỗ hổng này từ xa một cách dễ dàng, việc trì hoãn các bản cập nhật sẽ làm tăng đáng kể rủi ro bảo mật và rủi ro vận hành cho các tổ chức. Điều này đòi hỏi phản ứng nhanh chóng và hiệu quả.

Biện pháp Giảm thiểu và Cập nhật Bản vá

Hiện tại, không có giải pháp tạm thời (workaround) nào ngoài việc cập nhật bản vá phần mềm SIP lên các phiên bản đã được sửa lỗi. Tuy nhiên, việc vô hiệu hóa Web Access có thể giảm thiểu rủi ro, nhưng đồng thời cũng có thể cản trở các chức năng quản lý thiết bị cần thiết cho hoạt động bình thường.

Kiểm tra trạng thái Web Access

Quản trị viên nên xác minh ngay lập tức trạng thái Web Access trên tất cả các điện thoại đã đăng ký. Để kiểm tra, thực hiện các bước sau:

1. Tìm địa chỉ IP của điện thoại thông qua menu Settings trên thiết bị.
2. Sử dụng trình duyệt web để truy cập địa chỉ IP đó.

Nếu trang thông tin thiết bị xuất hiện, Web Access đang được bật. Dưới đây là một ví dụ lệnh CLI đơn giản để kiểm tra khả năng truy cập web cơ bản từ một máy chủ trong cùng mạng:

curl -I http://[IP_điện_thoại]

Lệnh curl -I sẽ cố gắng lấy các header HTTP từ địa chỉ IP của điện thoại. Nếu thành công và trả về mã trạng thái 200 OK, điều đó cho thấy dịch vụ web đang hoạt động. Đối với việc kiểm tra trạng thái Web Access cụ thể, việc truy cập bằng trình duyệt vẫn là phương pháp chính xác nhất để xem giao diện web có hoạt động hay không.

Lộ trình cập nhật phần mềm SIP

Cisco đã cung cấp lộ trình rõ ràng cho các bản phát hành phần mềm đã được sửa lỗi. Việc cập nhật bản vá là bắt buộc để khắc phục các lỗ hổng CVE này và bảo vệ hệ thống:

• Cisco Desk Phone 9800 Series: An toàn khi sử dụng Phần mềm SIP 3.3(1) trở lên.
• Cisco IP Phone 7800 và 8800 Series: Yêu cầu Phần mềm SIP 14.3(1)SR2 trở lên.
• Cisco Video Phone 8875: Được bảo vệ trong Phần mềm SIP 3.3(1) trở lên.

Đối với các môi trường có nhiều thiết bị, công cụ Bulk Administration Tool (BAT) của Cisco cung cấp một quy trình cập nhật hợp lý. Quản trị viên có thể thay đổi cài đặt Web Access thông qua Communications Manager hoặc sử dụng BAT cho các thay đổi quy mô lớn, giúp giảm thiểu thời gian quản lý.

Khuyến nghị Bảo mật Liên tục

Bằng cách ưu tiên các bản cập nhật bản vá này, các tổ chức sẽ bảo vệ cơ sở hạ tầng truyền thông của mình khỏi những lỗ hổng CVE nghiêm trọng này. Việc theo dõi liên tục các thông báo bảo mật của Cisco và áp dụng kịp thời các bản vá lỗi vẫn là biện pháp phòng thủ tốt nhất chống lại các mối đe dọa mạng mới nổi. Sự chủ động này giúp duy trì một môi trường an ninh mạng mạnh mẽ.

Tham khảo thêm thông tin chi tiết về các lỗ hổng tại Cisco Security Advisory: cisco-sa-phone-dos-FPyjLV7A.