Cisco Systems đã công bố một cảnh báo bảo mật với mức độ ưu tiên cao, tập trung vào nhiều lỗ hổng CVE nghiêm trọng trong tính năng Internet Key Exchange Version 2 (IKEv2) của các sản phẩm mạng và bảo mật của hãng. Cảnh báo này, được phát hành vào ngày 14 tháng 8 năm 2025, chi tiết sáu lỗ hổng CVE riêng biệt có thể cho phép kẻ tấn công từ xa không cần xác thực thực hiện các cuộc tấn công từ chối dịch vụ (DoS) chống lại các thiết bị bị ảnh hưởng, có khả năng gây ra sự cố hệ thống và gián đoạn dịch vụ nghiêm trọng.

Tổng Quan Về Các Lỗ Hổng CVE Nghiêm Trọng

Các lỗ hổng được theo dõi dưới các mã định danh CVE-2025-20224, CVE-2025-20225, CVE-2025-20239, CVE-2025-20252, CVE-2025-20253, và CVE-2025-20254. Nguồn gốc của các lỗ hổng CVE này là do việc xử lý không đúng cách các gói IKEv2 trong các triển khai phần mềm của Cisco. Kẻ tấn công có thể khai thác điểm yếu này bằng cách gửi các gói IKEv2 được chế tạo đặc biệt, buộc hệ thống phải tiêu thụ tài nguyên quá mức hoặc gặp lỗi xử lý, dẫn đến tình trạng từ chối dịch vụ.

Lỗ hổng CVE nghiêm trọng nhất trong số này là CVE-2025-20253, với điểm CVSS cơ bản là 8.6. Điểm số này nhấn mạnh mức độ nghiêm trọng cao của lỗ hổng, cho thấy tiềm năng gây ra tác động đáng kể đến các hệ thống bị ảnh hưởng. Mức độ điểm CVSS 8.6 cho thấy lỗ hổng này rất dễ bị khai thác và có thể gây hậu quả nghiêm trọng về tính khả dụng của dịch vụ.

Cơ Chế Khai Thác và Tác Động Tiềm Tàng

Điểm đáng lo ngại của các lỗ hổng CVE này là chúng không yêu cầu bất kỳ hình thức xác thực nào và có thể bị khai thác từ xa qua các kết nối mạng. Điều này làm tăng đáng kể rủi ro đối với các hệ thống dễ bị tấn công, vì kẻ tấn công có thể nhắm mục tiêu vào các thiết bị từ bất kỳ đâu trên internet mà không cần thông tin đăng nhập hợp lệ. Việc thiếu yêu cầu xác thực hạ thấp rào cản xâm nhập, khiến các cuộc tấn công trở nên dễ dàng và nhanh chóng hơn.

Cisco Product Security Incident Response Team (PSIRT) đã xác nhận rằng, mặc dù chưa có ghi nhận về việc khai thác công khai các lỗ hổng CVE này, các chi tiết kỹ thuật được cung cấp trong cảnh báo có thể bị các tác nhân độc hại lợi dụng. Điều này nhấn mạnh tầm quan trọng của việc cập nhật khẩn cấp để giảm thiểu mối đe dọa mạng tiềm tàng này.

Phạm Vi Sản Phẩm Bị Ảnh Hưởng và Không Ảnh Hưởng

Các lỗ hổng CVE này ảnh hưởng đến nhiều dòng sản phẩm của Cisco. Các sản phẩm chịu tác động bao gồm:

• IOS Software
• IOS XE Software
• Secure Firewall Adaptive Security Appliance (ASA) Software
• Secure Firewall Threat Defense (FTD) Software

Tuy nhiên, phạm vi ảnh hưởng cụ thể thay đổi tùy theo từng lỗ hổng CVE. Một số lỗ hổng có thể tác động đến cả bốn dòng sản phẩm kể trên, trong khi những lỗ hổng khác chỉ giới hạn ở các hệ thống ASA và FTD. Điều này đòi hỏi các quản trị viên phải kiểm tra kỹ lưỡng phiên bản phần mềm và cấu hình của từng thiết bị để xác định mức độ phơi nhiễm.

Đáng chú ý, các lỗ hổng CVE này không ảnh hưởng đến các sản phẩm sau của Cisco:

• Cisco IOS XR Software
• Sản phẩm Meraki
• NX-OS Software
• Secure Firewall Management Center (FMC) Software

Việc này giúp giới hạn phạm vi tác động tiềm tàng trên toàn bộ hệ sinh thái sản phẩm rộng lớn của Cisco, tuy nhiên, các tổ chức vẫn cần ưu tiên kiểm tra các thiết bị nằm trong danh sách bị ảnh hưởng.

Phương Pháp Phát Hiện Lỗ Hổng

Để giúp các tổ chức xác định mức độ phơi nhiễm, Cisco đã cung cấp các phương pháp phát hiện chi tiết. Việc kiểm tra tình trạng IKEv2 đang hoạt động là bước đầu tiên quan trọng để đánh giá rủi ro.

Kiểm Tra Trên IOS và IOS XE Software

Người dùng IOS và IOS XE có thể kiểm tra xem tính năng IKE có đang hoạt động hay không bằng cách sử dụng lệnh CLI sau để xác định các cổng UDP 500 (thường được IKE sử dụng):

show udp | include 500

Nếu kết quả cho thấy IKE đang hoạt động, bước tiếp theo là xác nhận việc sử dụng IKEv2 bằng lệnh:

show crypto map

Lệnh này sẽ hiển thị các cấu hình crypto map hiện tại, từ đó giúp xác định các policy IKEv2 đang được sử dụng trên thiết bị. Việc này giúp quản trị viên nhanh chóng nhận diện liệu thiết bị của họ có đang cấu hình và sử dụng IKEv2 hay không, từ đó đánh giá khả năng bị ảnh hưởng bởi các lỗ hổng CVE được công bố.

Kiểm Tra Trên ASA và FTD Software

Đối với các triển khai ASA và FTD, quản trị viên nên sử dụng lệnh sau để xác định xem IKEv2 có được kích hoạt trên bất kỳ giao diện nào hay không:

show running-config crypto ikev2 | include enable

Lệnh này sẽ hiển thị các dòng cấu hình liên quan đến IKEv2 trong cấu hình đang chạy của thiết bị. Nếu IKEv2 được bật trên bất kỳ giao diện nào, thiết bị đó có nguy cơ bị ảnh hưởng bởi các lỗ hổng CVE IKEv2.

Biện Pháp Khắc Phục và Khuyến Nghị Cập Nhật

Cisco đã phát hành các bản cập nhật bản vá phần mềm toàn diện để khắc phục tất cả các lỗ hổng CVE đã được xác định. Các bản vá này hiện đã có sẵn thông qua các kênh hỗ trợ tiêu chuẩn dành cho khách hàng có hợp đồng dịch vụ đang hoạt động. Cisco nhấn mạnh rằng không có biện pháp khắc phục tạm thời (workaround) nào cho các lỗ hổng CVE này, khiến việc cập nhật bản vá phần mềm là chiến lược giảm thiểu hiệu quả duy nhất.

Các tổ chức được khuyến nghị mạnh mẽ ưu tiên các bản cập nhật này do mức độ nghiêm trọng cao của các lỗ hổng và việc thiếu các biện pháp bảo vệ thay thế. Cisco đã triển khai công cụ Software Checker để hỗ trợ khách hàng xác định các bản phát hành dễ bị tấn công và xác định các đường dẫn nâng cấp phù hợp. Việc sử dụng công cụ này giúp đơn giản hóa quá trình xác định và lập kế hoạch cập nhật.

Để truy cập thông tin chi tiết và tải xuống các bản vá, khách hàng nên tham khảo trực tiếp cảnh báo bảo mật chính thức của Cisco: Cisco Security Advisory: Cisco IKEv2 Vulnerabilities.

Đối với khách hàng không có hợp đồng dịch vụ đang hoạt động, Cisco vẫn cung cấp các bản vá bảo mật cần thiết. Họ có thể liên hệ với Trung tâm Hỗ trợ Kỹ thuật (TAC) của Cisco và cung cấp bằng chứng về cảnh báo bảo mật như một xác nhận quyền được nhận các bản cập nhật bản vá miễn phí liên quan đến bảo mật.

Việc thực hiện các bản cập nhật bản vá kịp thời là tối quan trọng để bảo vệ hạ tầng mạng khỏi các cuộc tấn công từ chối dịch vụ tiềm tàng, đảm bảo tính liên tục và ổn định của dịch vụ.