Cisco đã phát hành các bản cập nhật bảo mật khẩn cấp nhằm khắc phục một lỗ hổng CVE nghiêm trọng trong mô-đun bàn phím video màn hình ảo (vKVM) của Bộ điều khiển Quản lý Tích hợp (IMC). Lỗ hổng này có thể cho phép kẻ tấn công từ xa, không cần xác thực, chiếm quyền điều khiển phiên và chuyển hướng người dùng tới các trang web độc hại.

Lỗ hổng được theo dõi với mã CVE-2025-20317, có điểm CVSS cơ bản là 7.1. Nó ảnh hưởng đến nhiều loại máy chủ Cisco UCS, thiết bị và nền tảng Catalyst uCPE.

Hiện tại không có giải pháp tạm thời nào tồn tại, do đó việc vá lỗi kịp thời là cực kỳ quan trọng để ngăn chặn đánh cắp dữ liệu thông tin đăng nhập và các chiến dịch lừa đảo (phishing) có chủ đích.

Phân Tích Lỗ Hổng CVE Cisco IMC

Chi Tiết Kỹ Thuật về CVE-2025-20317

Lỗ hổng này xuất phát từ việc xác thực không đủ các điểm cuối vKVM trong giao diện Cisco IMC. Khi người dùng truy cập bảng điều khiển từ xa thông qua ứng dụng khách vKVM, các liên kết được tạo đặc biệt có thể khai thác điểm yếu này.

Kẻ tấn công có thể chuyển hướng người dùng đến một trang web do chúng kiểm soát. Vì quá trình chuyển hướng xảy ra trong phiên quản lý IMC đáng tin cậy, nạn nhân có thể không nhận ra mình đã rời khỏi giao diện hợp pháp.

Khi đã bị chuyển hướng, kẻ tấn công có thể triển khai các trang lừa đảo mạo danh lời nhắc đăng nhập của Cisco. Mục tiêu là thu thập thông tin đăng nhập của quản trị viên hoặc mã thông báo phiên.

Việc khai thác không yêu cầu xác thực trước và có thể được thực hiện qua email hoặc trò chuyện với một URL độc hại. Điều này biến nó thành một vector hấp dẫn cho các cuộc tấn công lừa đảo diện rộng nhắm vào quản trị viên trung tâm dữ liệu.

Đặc Điểm Chính của Cuộc Tấn Công

• Khai thác không yêu cầu xác thực.
• Có thể chuyển hướng nạn nhân sang các trang web độc hại.
• Có thể dẫn đến việc chiếm đoạt thông tin đăng nhập hoặc mã thông báo phiên.
• Được thực hiện trong phiên quản lý vKVM đáng tin cậy.

Các Nền Tảng và Thiết Bị Ảnh Hưởng bởi CVE Cisco IMC

Tất cả các sản phẩm của Cisco đang chạy phiên bản IMC dễ bị tấn công đều có nguy cơ, bất kể cấu hình thiết bị cụ thể. Các nền tảng bị ảnh hưởng chính bao gồm:

• Cisco UCS B-Series Blade Servers
• Cisco UCS C-Series Rack Servers
• Cisco UCS X-Series Modular Systems
• Cisco UCS S-Series Storage Servers
• Cisco Catalyst 8300 Series Edge Platforms (uCPE)

Ngoài ra, nhiều thiết bị của Cisco được xây dựng trên phần cứng UCS C-Series cũng kế thừa lỗ hổng này nếu chúng để lộ giao diện người dùng IMC. Các thiết bị bị ảnh hưởng bao gồm:

• Máy chủ Application Policy Infrastructure Controller (APIC)
• Cisco DNA Center
• Các nút HyperFlex
• Thiết bị Nexus Dashboard Appliances
• Thiết bị Secure Malware Analytics Appliances
• Và các nền tảng khác sử dụng giao diện Cisco IMC

Biện Pháp Khắc Phục và Cập Nhật Bản Vá Bảo Mật

Hiện không có thay đổi cấu hình hoặc giải pháp tạm thời nào có thể giảm thiểu CVE Cisco IMC này. Cisco khuyến nghị tất cả khách hàng có hợp đồng dịch vụ hợp lệ tải xuống và cài đặt các bản cập nhật bảo mật miễn phí được cung cấp qua các kênh thông thường của họ.

Đối với các thiết bị thiếu đường dẫn nâng cấp trực tiếp — như các nền tảng Telemetry Broker, IEC6400 Edge Compute, Secure Endpoint và Secure Firewall Management Center cụ thể — Cisco đã phát hành các ảnh firmware chuyên biệt và hướng dẫn hotfix.

Những hướng dẫn này giúp áp dụng các bản vá IMC một cách an toàn mà không yêu cầu thay thế toàn bộ hệ thống. Các tổ chức không có thỏa thuận dịch vụ hiện tại nên liên hệ với Cisco TAC để nhận các bản nâng cấp cần thiết.

Khách hàng phải cung cấp số sê-ri sản phẩm và tham chiếu mã tư vấn cisco-sa-ucs-vkvmorv-CnKrV7HK để nhận xác minh quyền sở hữu.

Trước khi nâng cấp, hãy xác minh khả năng tương thích phần cứng, yêu cầu bộ nhớ và quyền cấp phép để đảm bảo triển khai liền mạch bản vá.

Tình Trạng Khai Thác và Khuyến Nghị An Toàn

Đội ngũ Phản ứng Sự cố Bảo mật Sản phẩm (PSIRT) của Cisco đã báo cáo không có hoạt động khai thác hoặc thông báo công khai nào liên quan đến lỗ hổng CVE-2025-20317 tính đến thời điểm công bố tư vấn vào ngày 27 tháng 8 năm 2025.

Tuy nhiên, với sự dễ dàng trong việc khai thác và việc không có bất kỳ biện pháp giảm thiểu tạm thời nào, việc vá lỗi kịp thời là rất quan trọng. Điều này giúp bảo vệ chống lại các hoạt động Red Team tiềm tàng và các chiến dịch lừa đảo thông tin đăng nhập.

Duy trì firmware IMC hiện tại và theo dõi các tư vấn của Cisco sẽ giúp bảo vệ cơ sở hạ tầng tính toán và ảo hóa quan trọng. Điều này chống lại các mối đe dọa đánh cắp thông tin đăng nhập và thực thi mã từ xa đang gia tăng, đặc biệt là liên quan đến các lỗ hổng CVE mới.