Cisco đã phát hành các bản cập nhật bảo mật khẩn cấp để khắc phục hai lỗ hổng tiêm lệnh (command injection) mức độ trung bình trong phần mềm UCS Manager của họ. Những lỗ hổng CVE Cisco UCS này có thể cho phép quản trị viên được xác thực thực thi các lệnh tùy ý, dẫn đến việc xâm phạm tính toàn vẹn của hệ thống.

Cảnh báo được công bố vào ngày 27 tháng 8 năm 2025 (cisco-sa-ucs-multi-cmdinj-E4Ukjyrz) ảnh hưởng đến nhiều nền tảng kết nối vải UCS (UCS fabric interconnect). Sự kiện này nhấn mạnh tầm quan trọng của việc vá lỗi kịp thời để ngăn chặn khả năng leo thang đặc quyền lên cấp độ root.

Phân tích Chi tiết Lỗ hổng CVE Cisco UCS-2025-20294 và CVE-2025-20295

Cảnh báo bảo mật của Cisco trình bày chi tiết hai lỗ hổng riêng biệt: CVE-2025-20294 và CVE-2025-20295. Cả hai đều bắt nguồn từ việc thiếu xác thực đầu vào (insufficient input validation) của các đối số lệnh do người dùng cung cấp.

CVE-2025-20294: Khai thác qua CLI và Web GUI

Lỗ hổng CVE-2025-20294 ảnh hưởng đến cả giao diện dòng lệnh (CLI) và cổng quản lý dựa trên web (web-based management portal). Kẻ tấn công từ xa có thông tin xác thực quản trị viên có thể tiêm các lệnh độc hại.

Khai thác thành công có thể cấp quyền root trên hệ điều hành cơ bản. Điều này đặt ra rủi ro nghiêm trọng về bảo mật thông tin (confidentiality) và tính toàn vẹn (integrity) của hệ thống.

Trong các môi trường này, các kịch bản sau đây minh họa bề mặt rủi ro:

• Tiêm lệnh qua trường nhập liệu trong giao diện web.
• Thực thi mã từ xa (remote code execution) thông qua các tham số CLI không được kiểm soát.
• Leo thang đặc quyền lên cấp độ hệ điều hành gốc (root).

CVE-2025-20295: Giới hạn trong môi trường CLI

Ngược lại, CVE-2025-20295 chỉ giới hạn trong môi trường CLI. Một quản trị viên cục bộ được xác thực có thể tạo đầu vào để đọc, tạo hoặc ghi đè các tệp tùy ý.

Các tệp này bao gồm các tệp nhị phân hệ thống quan trọng (critical system binaries) và tệp cấu hình. Mặc dù yêu cầu mức đặc quyền cao, lỗ hổng này vẫn là một mối đe dọa đáng kể.

Điều này xuất phát từ quyền truy cập nâng cao mà nó cung cấp và việc không có các biện pháp khắc phục tạm thời (workarounds).

Điểm chung và Nguyên nhân gốc rễ

Cả hai vấn đề đều có một nguyên nhân gốc rễ chung: lỗi không làm sạch các tham số lệnh trước khi thực thi. Việc Cisco tự mình kiểm tra bảo mật đã phát hiện ra những khoảng trống này.

Cho đến nay, chưa có hoạt động khai thác công khai nào được báo cáo. Tuy nhiên, sự hiện diện của các vector tiêm lệnh có thể khai thác được trong các công cụ quản lý trung tâm dữ liệu được triển khai rộng rãi cho thấy mức độ rủi ro cao trong môi trường sản xuất.

Các Nền tảng Bị Ảnh hưởng và Phiên bản Phần mềm của Lỗ hổng CVE Cisco UCS

Những lỗ hổng này ảnh hưởng đến một số thiết bị và phiên bản phần mềm Cisco UCS Manager. Việc xác định các hệ thống bị ảnh hưởng là bước đầu tiên để giảm thiểu rủi ro.

Thiết bị bị ảnh hưởng

Các lỗ hổng ảnh hưởng đến các thiết bị Cisco UCS sau:

• Cisco UCS 6300 Series Fabric Interconnects
• Cisco UCS 6400 Series Fabric Interconnects
• Cisco UCS 6500 Series Fabric Interconnects
• UCS X-Series Direct Fabric Interconnect 9108 100G

Các thiết bị này chạy các phiên bản phần mềm UCS Manager 4.1 trở về trước và 6.0 trong một số cấu hình nhất định.

Chi tiết phiên bản dễ bị tổn thương và đã sửa lỗi

Quản trị viên được khuyến nghị tham khảo ghi chú phát hành (release notes) cho nền tảng của họ để xác định đường dẫn nâng cấp chính xác. Cisco nhấn mạnh rằng khách hàng nên xác nhận khả năng tương thích phần cứng, bộ nhớ đủ và tính liên tục của hỗ trợ trước khi áp dụng các bản vá.

Trong trường hợp thông tin phát hành không rõ ràng, nên liên hệ với Trung tâm hỗ trợ kỹ thuật (Cisco Technical Assistance Center – TAC) hoặc các nhà cung cấp dịch vụ bảo trì để được hướng dẫn.

Hướng dẫn Khắc phục và Cập nhật Bản vá

Theo báo cáo của Cisco PSIRT, không có biện pháp khắc phục tạm thời (workarounds) nào tồn tại để giảm thiểu những lỗ hổng này. Biện pháp duy nhất là nâng cấp lên phiên bản phần mềm UCS Manager đã được vá lỗi.

Không có biện pháp khắc phục tạm thời

Cisco PSIRT đã tuyên bố rõ ràng rằng không có bất kỳ giải pháp thay thế hoặc cấu hình nào có thể giảm thiểu những lỗ hổng CVE Cisco UCS này mà không cần cập nhật. Điều này có nghĩa là việc nâng cấp phần mềm là bắt buộc để đảm bảo an toàn thông tin cho hệ thống.

Xem thêm chi tiết tại cảnh báo bảo mật chính thức của Cisco: Cisco Security Advisory: cisco-sa-ucs-cmdinj-E4Ukjyrz.

Quy trình Nâng cấp và Lưu ý quan trọng

Khách hàng nên ưu tiên các bản nâng cấp này như một phần của cửa sổ bảo trì định kỳ. Điều này đặc biệt quan trọng trong các môi trường nơi giao diện quản trị được tiếp xúc với các phân đoạn mạng rộng hơn hoặc tích hợp với các công cụ điều phối (orchestration tools) có thể vô tình khuếch đại rủi ro.

Để hợp lý hóa quy trình khắc phục, Cisco cung cấp các hướng dẫn chi tiết và tài liệu phát hành được khuyến nghị thông qua cổng thông tin Security Advisories của họ. Gói này, được phát hành hai lần mỗi năm, bao gồm nhiều vấn đề phần mềm FXOS và NX-OS, cung cấp một cái nhìn tổng hợp về các bản vá có sẵn cho tất cả các dòng sản phẩm bị ảnh hưởng.

Đối với cảnh báo này, toàn bộ tài liệu kỹ thuật và các liên kết tải xuống cho báo cáo CSAF định dạng JSON có sẵn trên trang web trung tâm bảo mật chính thức của Cisco.

Tầm quan trọng của Việc Cập nhật Định kỳ

Bằng cách chủ động áp dụng các bản cập nhật này, các tổ chức có thể đóng các vector tiêm lệnh quan trọng và bảo vệ cơ sở hạ tầng UCS của họ khỏi việc truy cập cấp độ root trái phép. Duy trì phần mềm cập nhật là biện pháp phòng thủ hiệu quả nhất chống lại các mối đe dọa đang phát triển nhắm vào các nền tảng quản lý trung tâm dữ liệu.

Chính sách cập nhật và vá lỗi thường xuyên là yếu tố then chốt để duy trì một môi trường an ninh mạng mạnh mẽ. Đừng bỏ qua các cảnh báo về lỗ hổng CVE, đặc biệt là những lỗ hổng có khả năng leo thang đặc quyền nghiêm trọng như những gì đã được phát hiện trong Cisco UCS Manager.