Lỗ hổng Cisco SD-WAN bị khai thác, nguy cơ chiếm quyền quản trị toàn hệ thống

[WhiteHat Team]

Lỗ hổng nghiêm trọng có mã CVE-2026-20182, điểm CVSS 10/10 trong Cisco Catalyst SD-WAN Controller đang bị khai thác, cho phép tin tặc bỏ qua xác thực và chiếm quyền quản trị từ xa. Theo phân tích, đây là lỗi ở cơ chế xác thực peering - thành phần quan trọng trong việc thiết lập kết nối giữa các thiết bị SD-WAN.
​

​

Kẻ tấn công không cần tài khoản vẫn có thể gửi các gói tin được tạo để giả mạo thành thiết bị hợp lệ, từ đó được hệ thống chấp nhận như một peer đã xác thực. Sau khi vượt qua lớp bảo vệ này, chúng có thể truy cập với quyền cao, thao tác qua giao thức NETCONF và thay đổi cấu hình mạng, cho phép kiểm soát, gián đoạn hoặc nghe lén lưu lượng.

Đáng chú ý, lỗ hổng này có nhiều điểm tương đồng với CVE-2026-20127, cũng là một lỗi bypass xác thực trên cùng dịch vụ “vdaemon” sử dụng DTLS. Điều này cho thấy bề mặt tấn công của thành phần này đang là mục tiêu ưu tiên của các nhóm APT. Dù Cisco khẳng định đây là lỗi khác, nhưng kết quả cuối cùng vẫn giống nhau: Chiếm quyền trái phép ở mức hệ thống.

Các môi trường bị ảnh hưởng gồm cả triển khai on-prem, cloud-managed và các hệ thống SD-WAN dành cho chính phủ. Đặc biệt, những hệ thống phơi nhiễm Internet như UDP 12346 có nguy cơ bị tấn công cao hơn rõ rệt.

Cisco đã ghi nhận dấu hiệu khai thác hạn chế từ tháng 5/2026. Tuy nhiên, với mức độ nghiêm trọng và tính chất dễ khai thác, nguy cơ lan rộng là hoàn toàn có cơ sở. Đây không phải kiểu lỗ hổng “lý thuyết” mà đã bước vào giai đoạn bị vũ khí hóa.

Các tổ chức cần khẩn trương cập nhật bản vá. Đồng thời rà soát log hệ thống, đặc biệt là file /var/log/auth.log, để phát hiện các phiên đăng nhập đáng ngờ như “Accepted publickey for vmanage-admin” từ IP lạ. Ngoài ra, các kết nối peering bất thường, xảy ra ngoài khung giờ hoạt động hoặc từ thiết bị không phù hợp kiến trúc, cũng là dấu hiệu cần chú ý.​