-
09/04/2020
-
141
-
2.000 bài viết
Lỗ hổng mới trên Cisco SD-WAN Manager cho phép chiếm quyền root hệ thống
Các hệ thống SD-WAN tiếp tục trở thành điểm nóng trong các chiến dịch tấn công mạng nhắm vào hạ tầng doanh nghiệp. Mới đây, giới nghiên cứu an ninh mạng ghi nhận hoạt động khai thác zero-day trong Cisco Catalyst SD-WAN Manager, cho phép tin tặc leo thang đặc quyền lên root thông qua tài khoản quản trị đã bị chiếm quyền. Lỗ hổng được định danh CVE-2026-20245 (CVSS 7.8) hiện đang được theo dõi sát sao do mức độ ảnh hưởng nghiêm trọng.
Theo phân tích, CVE-2026-20245 tồn tại trong giao diện dòng lệnh của Cisco Catalyst SD-WAN Controllers và được phân loại thuộc CWE-116, liên quan đến việc xử lý hoặc mã hóa dữ liệu đầu ra không đúng cách. Lỗ hổng xuất phát từ cơ chế tải tệp khi hệ thống không kiểm tra đầy đủ dữ liệu đầu vào trước khi chuyển cho các tiến trình shell có đặc quyền cao. Điều này tạo ra kịch bản chèn lệnh, cho phép kẻ tấn công đã có quyền netadmin tải lên một tệp CSV được thiết kế đặc biệt và thực thi lệnh tùy ý với quyền root hệ thống.
CVE-2026-20245 này ảnh hưởng đến toàn bộ các mô hình triển khai, bao gồm on-premises, Cisco SD-WAN Cloud, Cloud-Pro và cả các môi trường đạt chuẩn FedRAMP dành cho chính phủ, qua đó mở rộng đáng kể phạm vi tấn công và mức độ rủi ro đối với các tổ chức sử dụng nền tảng này.
Chuỗi tấn công nhiều giai đoạn
Chiến dịch tấn công được ghi nhận diễn ra theo hai giai đoạn chính. Trong giai đoạn đầu, từ cuối năm 2025 đến tháng 1/2026, các nhà nghiên cứu của Mandiant phát hiện nhiều kết nối peering bất thường vào hệ thống SD-WAN Manager của nạn nhân. Các dấu hiệu này được cho là có liên quan đến việc khai thác các lỗ hổng bypass xác thực, bao gồm CVE-2026-20127 và CVE-2026-20182 (đều CVSS 10.0), cho phép kẻ tấn công chưa xác thực có thể giành quyền quản trị hệ thống từ xa. Đây được xác định là điểm xâm nhập ban đầu, tạo tiền đề cho toàn bộ chuỗi tấn công sau đó.
Đến tháng 3/2026, nhóm tin tặc quay trở lại với các kết nối peer giả mạo mới nhằm duy trì hiện diện trong hệ thống và tiếp tục mở rộng quyền truy cập. Lần này, chúng đăng nhập vào SD-WAN Manager thông qua SSH bằng tài khoản mặc định vmanage-admin - một điểm yếu vốn dễ bị khai thác nếu không được thay đổi kịp thời. Sau khi xâm nhập thành công, tin tặc nhanh chóng thay đổi mật khẩu tài khoản quản trị mặc định để giành quyền kiểm soát độc quyền, đồng thời chuyển sang giao diện web quản lý để thao tác trực tiếp trên hệ thống. Chuỗi hành động này cho thấy mức độ chuẩn bị có chủ đích, không chỉ dừng ở việc truy cập ban đầu mà còn nhằm thiết lập quyền kiểm soát lâu dài đối với hạ tầng SD-WAN.
Trong quá trình này, tin tặc tiến hành trích xuất dữ liệu cấu hình thiết bị, bao gồm các template cấu hình cho thiết bị biên và toàn bộ cấu hình đang chạy (running configurations). Đáng chú ý, sau khi hoàn tất việc thu thập dữ liệu, chúng đã khôi phục mật khẩu về trạng thái ban đầu nhằm giảm nguy cơ bị phát hiện trong quá trình giám sát vận hành, cho thấy nỗ lực che giấu dấu vết xâm nhập khá có chủ đích.
Tận dụng quyền truy cập SSH đã chiếm được từ tài khoản quản trị, tin tặc sau đó tiếp tục triển khai bước leo thang tiếp theo bằng cách tải lên một tệp có tên evil_tenant.csv. Đây chính là điểm kích hoạt trực tiếp cho việc khai thác lỗ hổng CVE-2026-20245, mở đường cho hành vi thực thi lệnh với quyền hệ thống.
Payload bên trong tệp được thiết kế để can thiệp trực tiếp vào các tệp hệ thống /etc/passwd và /etc/shadow, từ đó chèn thêm một tài khoản mới có tên troot với quyền UID 0 tương đương root hệ thống. Khi tài khoản này được tạo thành công, tin tặc sử dụng lệnh su để chuyển sang quyền người dùng vừa tạo và nhanh chóng giành toàn bộ quyền kiểm soát máy chủ quản lý, qua đó chiếm trọn quyền điều hành hệ thống.
Để che giấu dấu vết xâm nhập, nhóm tin tặc triển khai một quy trình dọn dẹp có chủ đích nhằm xóa bỏ toàn bộ dấu vết hoạt động trên hệ thống. Chúng tiến hành xóa tệp evil_tenant.csv, đồng thời khôi phục cấu hình vbond_vsmart_tenant_list về trạng thái ban đầu. Bên cạnh đó, các tệp hệ thống quan trọng như /etc/passwd và /etc/shadow cũng được hoàn nguyên từ bản sao lưu, nhằm loại bỏ các dấu hiệu can thiệp trước đó và giảm nguy cơ bị phát hiện trong quá trình giám sát hoặc điều tra. Ngoài ra, tài khoản troot cũng được kiểm tra và loại bỏ nhằm giảm khả năng bị phát hiện trong quá trình giám sát hệ thống. Toàn bộ chuỗi hành động cho thấy mức độ kiểm soát và kỷ luật vận hành cao của nhóm tin tặc, với mục tiêu xóa sạch mọi dấu vết xâm nhập và giữ cho hệ thống ở trạng thái “sạch” sau khi hoàn tất chiến dịch.
Đến tháng 3/2026, nhóm tin tặc quay trở lại với các kết nối peer giả mạo mới nhằm duy trì hiện diện trong hệ thống và tiếp tục mở rộng quyền truy cập. Lần này, chúng đăng nhập vào SD-WAN Manager thông qua SSH bằng tài khoản mặc định vmanage-admin - một điểm yếu vốn dễ bị khai thác nếu không được thay đổi kịp thời. Sau khi xâm nhập thành công, tin tặc nhanh chóng thay đổi mật khẩu tài khoản quản trị mặc định để giành quyền kiểm soát độc quyền, đồng thời chuyển sang giao diện web quản lý để thao tác trực tiếp trên hệ thống. Chuỗi hành động này cho thấy mức độ chuẩn bị có chủ đích, không chỉ dừng ở việc truy cập ban đầu mà còn nhằm thiết lập quyền kiểm soát lâu dài đối với hạ tầng SD-WAN.
Trong quá trình này, tin tặc tiến hành trích xuất dữ liệu cấu hình thiết bị, bao gồm các template cấu hình cho thiết bị biên và toàn bộ cấu hình đang chạy (running configurations). Đáng chú ý, sau khi hoàn tất việc thu thập dữ liệu, chúng đã khôi phục mật khẩu về trạng thái ban đầu nhằm giảm nguy cơ bị phát hiện trong quá trình giám sát vận hành, cho thấy nỗ lực che giấu dấu vết xâm nhập khá có chủ đích.
Tận dụng quyền truy cập SSH đã chiếm được từ tài khoản quản trị, tin tặc sau đó tiếp tục triển khai bước leo thang tiếp theo bằng cách tải lên một tệp có tên evil_tenant.csv. Đây chính là điểm kích hoạt trực tiếp cho việc khai thác lỗ hổng CVE-2026-20245, mở đường cho hành vi thực thi lệnh với quyền hệ thống.
Payload bên trong tệp được thiết kế để can thiệp trực tiếp vào các tệp hệ thống /etc/passwd và /etc/shadow, từ đó chèn thêm một tài khoản mới có tên troot với quyền UID 0 tương đương root hệ thống. Khi tài khoản này được tạo thành công, tin tặc sử dụng lệnh su để chuyển sang quyền người dùng vừa tạo và nhanh chóng giành toàn bộ quyền kiểm soát máy chủ quản lý, qua đó chiếm trọn quyền điều hành hệ thống.
Để che giấu dấu vết xâm nhập, nhóm tin tặc triển khai một quy trình dọn dẹp có chủ đích nhằm xóa bỏ toàn bộ dấu vết hoạt động trên hệ thống. Chúng tiến hành xóa tệp evil_tenant.csv, đồng thời khôi phục cấu hình vbond_vsmart_tenant_list về trạng thái ban đầu. Bên cạnh đó, các tệp hệ thống quan trọng như /etc/passwd và /etc/shadow cũng được hoàn nguyên từ bản sao lưu, nhằm loại bỏ các dấu hiệu can thiệp trước đó và giảm nguy cơ bị phát hiện trong quá trình giám sát hoặc điều tra. Ngoài ra, tài khoản troot cũng được kiểm tra và loại bỏ nhằm giảm khả năng bị phát hiện trong quá trình giám sát hệ thống. Toàn bộ chuỗi hành động cho thấy mức độ kiểm soát và kỷ luật vận hành cao của nhóm tin tặc, với mục tiêu xóa sạch mọi dấu vết xâm nhập và giữ cho hệ thống ở trạng thái “sạch” sau khi hoàn tất chiến dịch.
Khuyến nghị và biện pháp giảm thiểu
Để giảm thiểu các rủi ro và hạn chế khả năng bị khai thác, các tổ chức đang vận hành Cisco Catalyst SD-WAN Manager được khuyến cáo cần cập nhật lên các phiên bản đã vá lỗi: 20.9.9.2, 20.12.7.2, 20.15.4.5, 20.15.5.3, 20.18.3.1, 26.1.1.2 hoặc mới hơn.
Trong trường hợp chưa thể triển khai bản vá ngay lập tức, các tổ chức được khuyến cáo áp dụng đồng thời các biện pháp giảm thiểu rủi ro và kiểm tra dấu hiệu xâm nhập, bao gồm:
Trong trường hợp chưa thể triển khai bản vá ngay lập tức, các tổ chức được khuyến cáo áp dụng đồng thời các biện pháp giảm thiểu rủi ro và kiểm tra dấu hiệu xâm nhập, bao gồm:
- Chạy lệnh request admin-tech trên toàn bộ các thành phần control-plane để thu thập log và rà soát dấu hiệu tấn công (IOC).
- Kiểm tra file /var/log/scripts.log nhằm phát hiện các hành vi upload bất thường hoặc thay đổi cấu hình không được ủy quyền.
- Liên hệ ngay với Cisco TAC nếu phát hiện bất kỳ dấu hiệu xâm nhập nào.
- Áp dụng Cisco Catalyst SD-WAN Hardening Guide để tăng cường bảo mật theo mô hình phòng thủ nhiều lớp cho cả management, control và data plane.
Chiến dịch này phản ánh rõ xu hướng “living off the edge” khi tin tặc ngày càng tập trung vào các thiết bị biên mạng vốn giữ vai trò trung tâm trong kết nối doanh nghiệp nhưng lại thường có mức độ giám sát hạn chế. Google Threat Intelligence Group (GTIG) cũng ghi nhận sự gia tăng đều đặn qua từng năm trong hoạt động khai thác zero-day nhắm vào thiết bị edge và chuỗi ba lỗ hổng liên quan đến Cisco SD-WAN lần này không còn là một sự cố đơn lẻ mà cho thấy vấn đề mang tính hệ thống trong cách bảo vệ lớp quản trị của hạ tầng mạng hiện đại. Management plane vì thế đang dần trở thành mục tiêu ưu tiên của tin tặc bởi chỉ cần kiểm soát được lớp này toàn bộ hạ tầng phía sau có thể bị chi phối, điều này cũng cho thấy các tổ chức không thể chỉ dựa vào vá lỗi định kỳ mà cần đồng thời siết chặt kiểm soát truy cập tăng cường giám sát liên tục và triển khai chiến lược phòng thủ chủ động thay vì chỉ phản ứng sau khi sự cố xảy ra.