Cisco đã phát hành cảnh báo bảo mật khẩn cấp về một lỗ hổng CVE nghiêm trọng ảnh hưởng đến phần mềm Cisco Secure Firewall Management Center (FMC) của họ. Lỗ hổng này được đánh giá với điểm CVSS tối đa là 10.0, cho phép kẻ tấn công từ xa, không cần xác thực, thực thi mã tùy ý và giành toàn quyền kiểm soát cấp độ root trên hệ thống bị ảnh hưởng. Điều này đại diện cho một mối đe dọa mạng nghiêm trọng đối với các hệ thống quản lý an ninh mạng.

Lỗ hổng tồn tại trong giao diện quản lý dựa trên web của Cisco Secure FMC, là một điểm truy cập quan trọng mà các tổ chức sử dụng để quản lý các chính sách bảo mật tường lửa. Việc khai thác thành công có thể dẫn đến việc kiểm soát hoàn toàn thiết bị quản lý, từ đó cho phép kẻ tấn công thay đổi chính sách bảo mật và vô hiệu hóa các biện pháp phòng thủ mạng.

Phân Tích Kỹ Thuật Lỗ Hổng CVE-2024-20353

Lỗ hổng CVE này, được gán mã CVE-2024-20353, xuất phát từ việc deserialization không an toàn của một luồng byte Java do người dùng cung cấp. Kẻ tấn công có thể gửi một đối tượng Java được serialize được chế tạo đặc biệt đến giao diện web. Điều này cho phép chúng thực thi mã Java tùy ý trên hệ điều hành nền tảng.

Do mã thực thi với đặc quyền cấp độ root, kẻ tấn công có thể giành quyền kiểm soát hoàn toàn thiết bị quản lý. Điểm CVSS 10.0 khẳng định mức độ nghiêm trọng cao nhất, đồng nghĩa với việc cuộc tấn công không yêu cầu tương tác của người dùng và không cần xác thực trước đó. Nó có thể được khởi động từ xa qua mạng, làm tăng đáng kể rủi ro bảo mật.

Thông tin chi tiết về CVE-2024-20353 có thể được tìm thấy tại National Vulnerability Database (NVD).

Cơ Chế Khai Thác Remote Code Execution (RCE)

Kẻ tấn công lợi dụng lỗ hổng deserialization để chèn mã độc vào quá trình xử lý dữ liệu của ứng dụng. Khi ứng dụng cố gắng giải mã (deserialize) đối tượng Java độc hại, mã của kẻ tấn công sẽ được thực thi. Vì quá trình này diễn ra với đặc quyền root, kẻ tấn công có thể:

• Cài đặt backdoor hoặc phần mềm độc hại khác.
• Truy cập và thao tác với cấu hình hệ thống.
• Chạy bất kỳ lệnh hệ điều hành nào.

Khả năng remote code execution (RCE) với đặc quyền root trên một thiết bị quản lý tường lửa là cực kỳ nguy hiểm, mở ra cánh cửa cho các cuộc tấn công mạng phức tạp hơn.

Tác Động Nghiêm Trọng Đến Hệ Thống Mạng

Việc chiếm quyền kiểm soát một hệ thống quản lý tường lửa (FMC) mang lại những hậu quả nghiêm trọng. Kẻ tấn công có thể sửa đổi các chính sách bảo mật, vô hiệu hóa các quy tắc tường lửa, hoặc chuyển hướng lưu lượng mạng. Điều này có thể dẫn đến một hệ thống bị xâm nhập toàn diện, với khả năng:

• Vượt qua xác thực và các biện pháp bảo mật hiện có.
• Sử dụng thiết bị FMC làm điểm pivot để tiến hành các cuộc tấn công sâu hơn vào mạng nội bộ.
• Đánh cắp dữ liệu nhạy cảm hoặc cài đặt ransomware.

Khai thác thành công lỗ hổng CVE này có thể gây ra một chuỗi các sự kiện tiêu cực, ảnh hưởng đến toàn bộ hạ tầng mạng của tổ chức và có khả năng dẫn đến rò rỉ dữ liệu nghiêm trọng.

Các Hệ Thống Bị Ảnh Hưởng và Không Bị Ảnh Hưởng

Cisco đã xác nhận rằng lỗ hổng CVE-2024-20353 ảnh hưởng đến cả phần mềm Cisco Secure FMC Software và hệ thống quản lý Cisco Security Cloud Control (SCC) Firewall Management, bất kể cách cấu hình thiết bị. Điều này nhấn mạnh phạm vi tác động rộng của lỗ hổng.

Các phiên bản phần mềm Cisco Secure FMC bị ảnh hưởng bao gồm:

• 7.2.0, 7.2.1, 7.2.2, 7.2.3, 7.2.4
• 7.4.0, 7.4.1, 7.4.2, 7.4.3, 7.4.4, 7.4.5
• 7.5.0, 7.5.1, 7.5.2

Tuy nhiên, các sản phẩm Cisco Secure Firewall Adaptive Security Appliance (ASA) và Threat Defense (FTD) đã được xác nhận là không bị ảnh hưởng bởi vấn đề cụ thể này. Các tổ chức cần kiểm tra kỹ lưỡng phiên bản phần mềm FMC của mình để xác định mức độ rủi ro.

Biện Pháp Khắc Phục và Cập Nhật Bản Vá Bảo Mật

Cisco đã tuyên bố rằng không có biện pháp khắc phục tạm thời (workaround) nào khả dụng để giảm thiểu mối đe dọa này. Các tổ chức buộc phải áp dụng các bản cập nhật phần mềm chính thức được cung cấp bởi Cisco để bảo vệ môi trường của họ. Đây là hành động duy nhất để loại bỏ lỗ hổng CVE này.

Các phiên bản đã khắc phục lỗ hổng CVE-2024-20353 bao gồm:

• 7.2.5
• 7.4.6
• 7.5.3

Quy Trình Cập Nhật Bản Vá Bảo Mật

Các nhóm bảo mật được khuyến nghị mạnh mẽ nên xem xét gói tư vấn Cisco Secure Firewall tháng 3 năm 2026 để giải quyết lỗ hổng CVE này và các vấn đề tiềm ẩn khác. Việc cập nhật phần mềm cần được thực hiện theo hướng dẫn của Cisco. Tham khảo Cisco Security Advisory để biết chi tiết các phiên bản vá lỗi và hướng dẫn cài đặt.

Mặc dù hiện tại chưa có thông tin về việc khai thác tích cực lỗ hổng CVE này trong thực tế, nhưng một lỗ hổng CVSS 10.0 luôn là mục tiêu hấp dẫn cho các cuộc tấn công mạng, bao gồm ransomware và các nhóm tấn công có tổ chức. Do đó, việc khắc phục kịp thời là cực kỳ quan trọng để đảm bảo an toàn thông tin cho hệ thống. Kế hoạch update vá lỗi phải được ưu tiên hàng đầu.