Cisco đã phát hành cảnh báo bảo mật nghiêm trọng liên quan đến hai lỗ hổng CVE nguy hiểm trong nền tảng Unified Contact Center Express (CCX). Các lỗ hổng này có thể cho phép kẻ tấn công từ xa thực thi các lệnh tùy ý và giành quyền truy cập hệ thống trái phép.

Các lỗ hổng, được công bố vào ngày 5 tháng 11 năm 2025, yêu cầu sự chú ý ngay lập tức từ các tổ chức đang vận hành hệ thống Cisco Unified CCX.

Phân Tích Chi Tiết Lỗ Hổng CVE Nghiêm Trọng

Hai lỗ hổng được định danh là CVE-2025-20354 và CVE-2025-20358, nhắm vào các cơ chế bảo mật cơ bản trong giải pháp trung tâm liên lạc của Cisco. Cả hai đều mang điểm CVSS trên 9.0, xếp chúng vào danh mục nghiêm trọng (critical severity).

Một kẻ tấn công không xác thực có thể khai thác những điểm yếu này để thỏa hiệp toàn bộ triển khai Unified CCX mà không yêu cầu thông tin đăng nhập hợp lệ hoặc tương tác của người dùng.

Nguồn gốc của các lỗ hổng nằm ở cơ chế xác thực không đúng trong quy trình Java Remote Method Invocation (RMI), một thành phần cốt lõi xử lý các giao tiếp hệ thống.

CVE-2025-20354: Khai Thác Remote Code Execution Qua RMI

Lỗ hổng CVE-2025-20354 cho phép kẻ tấn công tải lên các tệp tùy ý thông qua quy trình RMI.

Sau đó, kẻ tấn công có thể thực thi các lệnh với quyền root trên hệ thống.

Đây là kịch bản nguy hiểm nhất, vì quyền truy cập root cấp quyền kiểm soát hoàn toàn đối với hệ điều hành cơ bản, dẫn đến khả năng remote code execution toàn diện.

CVE-2025-20358: Bỏ Qua Xác Thực Trong CCX Editor

CVE-2025-20358 là một lỗ hổng bỏ qua xác thực trong ứng dụng CCX Editor.

Lỗ hổng này cho phép kẻ tấn công tạo và thực thi các script độc hại với quyền quản trị cho việc quản lý script.

Mặc dù không trực tiếp cung cấp quyền root như CVE-2025-20354, việc có quyền quản trị script vẫn tiềm ẩn rủi ro đáng kể về việc thao túng và kiểm soát hệ thống.

Mức Độ Ảnh Hưởng và Rủi Ro Đối Với Hệ Thống

Sự kết hợp giữa khả năng truy cập từ xa không xác thực, kết quả tác động cao và độ phức tạp khai thác thấp khiến các lỗ hổng CVE này trở nên đặc biệt hấp dẫn đối với các tác nhân đe dọa.

Việc chiếm quyền kiểm soát một nền tảng trung tâm liên lạc có thể dẫn đến việc rò rỉ dữ liệu nhạy cảm, gián đoạn dịch vụ nghiêm trọng, hoặc sử dụng hệ thống bị xâm nhập làm bàn đạp cho các cuộc tấn công tiếp theo vào mạng nội bộ của tổ chức.

Các tổ chức đang sử dụng Cisco Unified CCX cần đánh giá lại tình trạng an ninh mạng của mình một cách khẩn cấp.

Các Phiên Bản Bị Ảnh Hưởng và Cập Nhật Bản Vá

Phiên Bản Cisco Unified CCX Bị Ảnh Hưởng

• Cisco Unified CCX phiên bản 12.5 SU3 và các phiên bản cũ hơn.
• Cisco Unified CCX phiên bản 15.0 và các phiên bản cũ hơn.

Các tổ chức đang sử dụng những phiên bản này đối mặt với rủi ro tức thời và cần ưu tiên cập nhật hệ thống.

Các sản phẩm trung tâm liên lạc khác của Cisco, bao gồm Unified Contact Center Enterprise (CCE) và Packaged CCE, không bị ảnh hưởng bởi những lỗ hổng CVE này.

Hướng Dẫn Cập Nhật Bản Vá Bảo Mật Khẩn Cấp

Cisco đã phát hành các bản vá bảo mật để giải quyết cả hai vấn đề. Khách hàng đang chạy Cisco Unified CCX phiên bản 12.5 nên nâng cấp lên 12.5 SU3 ES07.

Những người dùng đang ở phiên bản 15.0 nên cập nhật lên 15.0 ES01.

Việc áp dụng các bản vá này là hành động duy nhất và bắt buộc để loại bỏ nguy cơ bị khai thác. Các quản trị viên hệ thống cần tham khảo Cisco Security Advisory để biết thông số kỹ thuật chi tiết và quy trình khắc phục.

Không Có Biện Pháp Khắc Phục Tạm Thời

Một điểm đáng chú ý là Cisco đã tiết lộ rằng không có giải pháp tạm thời (workarounds) nào tồn tại để giảm thiểu những lỗ hổng này.

Điều này có nghĩa là các tổ chức không thể triển khai các biện pháp phòng thủ tạm thời và phải áp dụng các bản vá bảo mật phần mềm ngay lập tức để loại bỏ hoàn toàn rủi ro bị lộ.

Sự vắng mặt của các giải pháp tạm thời càng nhấn mạnh tính cấp bách của việc cập nhật hệ thống để bảo vệ khỏi các cuộc tấn công.

Nguồn Gốc Phát Hiện và Tình Hình Khai Thác

Các lỗ hổng này được nhà nghiên cứu bảo mật Jahmel Harris xác định và báo cáo cho Đội Ứng phó Sự cố Bảo mật Sản phẩm (PSIRT) của Cisco.

Hiện tại, chưa có mã khai thác công khai (public exploits) hoặc triển khai độc hại nào được biết đến.

Tuy nhiên, việc không có public exploits không làm giảm mức độ khẩn cấp của việc vá lỗi. Kẻ tấn công có thể nhanh chóng phát triển mã khai thác một khi thông tin chi tiết về các lỗ hổng CVE này được công bố rộng rãi hơn.

Các tổ chức nên xác minh phiên bản phần mềm Cisco Unified CCX hiện tại của mình và áp dụng các bản vá bảo mật thích hợp mà không chậm trễ. Điều này là tối quan trọng để duy trì một môi trường an ninh mạng vững chắc và ngăn chặn việc chiếm quyền điều khiển hệ thống.