Cisco đã công bố một lỗ hổng CVE bảo mật nghiêm trọng trong phần mềm Secure Firewall Management Center. Lỗ hổng này cho phép kẻ tấn công chưa xác thực thực thi các lệnh shell từ xa với đặc quyền cao. Sự cố này đặt ra một nguy cơ đáng kể cho các tổ chức sử dụng sản phẩm này.

Chi tiết Lỗ hổng CVE-2025-20265: Remote Code Execution

Mô tả và Cơ chế Khai thác Lỗ hổng

Lỗ hổng được theo dõi dưới mã định danh CVE-2025-20265, đạt điểm CVSS tối đa là 10.0. Điểm số này phản ánh mức độ nghiêm trọng cực kỳ cao của nó. Lỗ hổng ảnh hưởng đến các tổ chức đang sử dụng xác thực RADIUS cho giao diện quản lý tường lửa.

Vấn đề nằm ở việc triển khai hệ thống con RADIUS của phần mềm Cisco Secure Firewall Management Center (FMC). Cụ thể, nó liên quan đến cách phần mềm xử lý không đúng đầu vào của người dùng trong giai đoạn xác thực. Điều này tạo ra một cơ hội cho các cuộc tấn công tiêm lệnh (command injection).

Kẻ tấn công có thể khai thác điểm yếu này bằng cách gửi các thông tin xác thực được tạo đặc biệt. Việc này diễn ra trong quá trình xác thực RADIUS. Khi thành công, nó cho phép kẻ tấn công giành được quyền truy cập cấp cao vào hệ thống mà không cần xác thực trước. Đây là một dạng tấn công remote code execution (RCE) nghiêm trọng.

Đánh giá CVSS 10.0 và Mức độ Nghiêm trọng

Điểm CVSS 10.0 cho CVE-2025-20265 biểu thị một lỗ hổng ở mức độ nguy hiểm tối đa. Phân tích chi tiết của điểm số này chỉ ra các đặc điểm sau:

• Attack Vector (AV): Network (N) – Khai thác có thể thực hiện từ xa qua mạng mà không cần truy cập vật lý.
• Attack Complexity (AC): Low (L) – Việc khai thác không đòi hỏi các điều kiện phức tạp.
• Privileges Required (PR): None (N) – Kẻ tấn công không cần bất kỳ đặc quyền nào để thực hiện cuộc tấn công.
• User Interaction (UI): None (N) – Không yêu cầu người dùng tương tác để cuộc tấn công thành công.
• Scope (S): Changed (C) – Kẻ tấn công có thể ảnh hưởng đến các tài nguyên ngoài phạm vi bảo mật của thành phần bị ảnh hưởng trực tiếp.
• Confidentiality (C): High (H) – Hoàn toàn mất tính bảo mật của tất cả dữ liệu.
• Integrity (I): High (H) – Hoàn toàn mất tính toàn vẹn, cho phép sửa đổi dữ liệu tùy ý.
• Availability (A): High (H) – Hoàn toàn mất khả năng truy cập tài nguyên.

Tóm lại, sự kết hợp của khả năng khai thác từ xa, độ phức tạp thấp, không yêu cầu xác thực hoặc tương tác người dùng, cùng với tác động toàn diện đến tính bảo mật, toàn vẹn và khả dụng, khiến lỗ hổng CVE này trở thành mối đe dọa cực kỳ nghiêm trọng.

Các Phiên bản Bị Ảnh hưởng và Không Ảnh hưởng

Sản phẩm Cisco Secure Firewall FMC Bị Ảnh hưởng

Cisco đã xác nhận rằng chỉ các phiên bản phần mềm FMC 7.0.7 và 7.7.0 mới dễ bị tấn công. Điều kiện cần để lỗ hổng này có thể bị khai thác là tính năng xác thực RADIUS phải được kích hoạt trên các phiên bản này.

Đây là một cảnh báo CVE quan trọng đối với những quản trị viên hệ thống đang vận hành các phiên bản này. Việc không thực hiện các biện pháp khắc phục kịp thời có thể dẫn đến hậu quả nghiêm trọng.

Các Sản phẩm Không Bị Ảnh hưởng

Cisco đã tuyên bố rõ ràng rằng phần mềm Cisco Secure Firewall Adaptive Security Appliance (ASA) và phần mềm Cisco Secure Firewall Threat Defense (FTD) không bị ảnh hưởng bởi lỗ hổng CVE-2025-20265 này. Thông tin này giúp các tổ chức xác định đúng phạm vi rủi ro và ưu tiên khắc phục.

Tác động Tiềm tàng của Cuộc Tấn công Remote Code Execution

Việc khai thác thành công lỗ hổng CVE này có thể mang lại cho kẻ tấn công quyền kiểm soát hoàn toàn hệ thống quản lý tường lửa. Từ đó, chúng có thể thực hiện nhiều hành vi độc hại. Khả năng kiểm soát đầy đủ hệ thống quản lý có nghĩa là kẻ tấn công có thể:

• Thay đổi các chính sách bảo mật hiện hành.
• Truy cập vào các cấu hình mạng nhạy cảm.
• Sử dụng hệ thống bị xâm nhập làm điểm khởi đầu cho các cuộc tấn công mạng sâu hơn vào cơ sở hạ tầng.

Mối đe dọa này không chỉ dừng lại ở việc kiểm soát tường lửa. Kẻ tấn công có thể tái cấu hình tường lửa để cho phép truy cập không giới hạn vào mạng nội bộ. Điều này có thể dẫn đến việc rò rỉ dữ liệu nhạy cảm hoặc cài đặt mã độc tống tiền (ransomware) trên các hệ thống khác.

Tác động của một cuộc tấn công remote code execution như thế này là rất lớn. Nó có thể làm tê liệt hoạt động kinh doanh, gây thiệt hại tài chính đáng kể và làm tổn hại danh tiếng của tổ chức. Đây là một nguy cơ bảo mật cần được xử lý ngay lập bộ.

Chiến lược Khắc phục và Biện pháp Giảm thiểu

Khuyến nghị Tạm thời và Phương pháp Xác thực Thay thế

Hiện tại, không có giải pháp tạm thời (workaround) trực tiếp nào để khắc phục hoàn toàn lỗ hổng CVE này. Tuy nhiên, Cisco khuyến nghị các tổ chức nên tạm thời vô hiệu hóa xác thực RADIUS. Thay vào đó, họ nên chuyển sang các phương pháp xác thực thay thế cho đến khi các bản vá có thể được áp dụng.

Các phương pháp xác thực được đề xuất bao gồm:

• Tài khoản người dùng cục bộ (local user accounts).
• Xác thực LDAP bên ngoài (external LDAP authentication).
• Đăng nhập một lần (Single Sign-On – SSO) thông qua SAML.

Việc chuyển đổi sang các phương pháp này giúp giảm thiểu rủi ro trong khi chờ đợi bản vá chính thức.

Cập nhật Bản vá Bảo mật Khẩn cấp

Cisco đã phát hành các bản cập nhật phần mềm miễn phí để khắc phục hoàn toàn lỗ hổng CVE-2025-20265. Do tính chất nghiêm trọng của lỗ hổng và việc thiếu các giải pháp tạm thời hiệu quả, các tổ chức sử dụng các phiên bản bị ảnh hưởng cần ưu tiên cập nhật phần mềm FMC của họ ngay lập tức. Đây là một hành động cấp bách để bảo vệ hệ thống khỏi các cuộc tấn công tiềm tàng.

Chi tiết về bản vá và thông tin liên quan có thể được tìm thấy trong Thông báo Bảo mật Cisco.

Kiểm tra Mức độ Phơi nhiễm với Cisco Software Checker

Cisco khuyến nghị khách hàng sử dụng công cụ Cisco Software Checker. Công cụ này giúp xác định mức độ phơi nhiễm cụ thể của họ. Nó cũng chỉ ra các phiên bản phần mềm đã được vá phù hợp cho việc triển khai của từng tổ chức. Việc chủ động kiểm tra và áp dụng bản vá là chìa khóa để duy trì an toàn thông tin cho hệ thống của bạn.

Tóm lại, lỗ hổng CVE-2025-20265 yêu cầu các tổ chức coi đây là một sự cố bảo mật ưu tiên cao. Các nỗ lực khắc phục cần được thực hiện ngay lập tức để bảo vệ hạ tầng mạng và dữ liệu quan trọng.