Lỗ hổng zero-day nghiêm trọng ảnh hưởng đến hệ thống liên lạc doanh nghiệp của Cisco

[WhiteHat Team]

Các chuyên gia an ninh mạng vừa phát hiện và xác nhận một lỗ hổng trong nhiều hệ thống liên lạc doanh nghiệp của Cisco đã bị tin tặc khai thác từ trước khi có bản vá. Đáng chú ý, lỗ hổng này cho phép kẻ tấn công xâm nhập từ xa và từng bước chiếm toàn quyền kiểm soát máy chủ, đe dọa trực tiếp đến an toàn của các hệ thống tổng đài, gọi điện và hội nghị trực tuyến đang được sử dụng rộng rãi trên toàn cầu.
​

​

Lỗ hổng được định danh là CVE-2026-20045, ảnh hưởng đến nhiều sản phẩm cốt lõi trong hệ sinh thái liên lạc của Cisco, bao gồm Cisco Unified Communications Manager, Unified CM Session Management Edition, Unified CM IM & Presence, Cisco Unity Connection và Webex Calling Dedicated Instance. Đây đều là các nền tảng được doanh nghiệp, tổ chức và cơ quan lớn sử dụng để vận hành hệ thống tổng đài nội bộ, nhắn tin và gọi điện qua Internet.

Theo đánh giá kỹ thuật, lỗ hổng xuất phát từ việc xác thực và kiểm tra dữ liệu đầu vào trong các yêu cầu HTTP không chặt chẽ tại giao diện quản trị web của hệ thống. Điều này tạo điều kiện cho kẻ tấn công gửi các yêu cầu được thiết kế đặc biệt để can thiệp vào tiến trình xử lý của máy chủ.​

Cơ chế khai thác: Từ truy cập thấp đến chiếm quyền “root”​

Quá trình tấn công không đòi hỏi kỹ thuật quá phức tạp nhưng lại cực kỳ nguy hiểm. Tin tặc có thể gửi một chuỗi yêu cầu HTTP được tạo sẵn tới giao diện quản trị web của hệ thống Cisco bị ảnh hưởng. Nếu khai thác thành công, kẻ tấn công trước tiên sẽ đạt được quyền truy cập ở mức người dùng thông thường trên hệ điều hành.

Từ điểm bám ban đầu này, tin tặc có thể tiếp tục leo thang đặc quyền, cuối cùng chiếm được quyền quản trị cao nhất trên máy chủ. Khi đó, toàn bộ hệ thống liên lạc doanh nghiệp gần như nằm trong tay kẻ tấn công, từ cấu hình, dữ liệu cho tới khả năng cài mã độc hoặc mở cửa hậu lâu dài.

Mặc dù điểm CVSS của lỗ hổng được đánh giá là 8,2, Cisco vẫn xếp nó vào mức nghiêm trọng do hậu quả cuối cùng là mất hoàn toàn quyền kiểm soát máy chủ.​

Lỗ hổng đã bị khai thác thực tế, mức độ rủi ro ra sao?​

Đáng lo ngại hơn, đội phản ứng sự cố bảo mật của Cisco đã xác nhận lỗ hổng này đã bị khai thác ngoài thực tế như một zero-day, tức là bị tấn công trước khi có bản vá chính thức. Điều này cho thấy tin tặc đã phát hiện và tận dụng điểm yếu này từ sớm.

Việc các hệ thống tổng đài và liên lạc bị chiếm quyền có thể dẫn đến nhiều hậu quả nghiêm trọng như:​

• Nghe lén, ghi âm hoặc chuyển hướng cuộc gọi​
• Can thiệp vào hoạt động liên lạc nội bộ​
• Cài mã độc, backdoor để duy trì truy cập lâu dài​
• Làm gián đoạn dịch vụ, ảnh hưởng hoạt động kinh doanh​
• Tạo bàn đạp tấn công sang các hệ thống khác trong mạng nội bộ​

Giải pháp khắc phục và khuyến nghị bảo mật​

Cisco đã phát hành các bản cập nhật và tệp vá dành riêng cho từng phiên bản sản phẩm bị ảnh hưởng. Các bản vá này không thể dùng chung, vì vậy quản trị viên cần kiểm tra kỹ tài liệu hướng dẫn trước khi triển khai. Hãng cũng nhấn mạnh rằng không tồn tại biện pháp giảm thiểu tạm thời nào có thể vô hiệu hóa rủi ro nếu không cập nhật phần mềm. Đồng thời, cơ quan an ninh mạng Mỹ đã đưa lỗ hổng này vào danh sách các lỗ hổng đang bị khai thác, yêu cầu các đơn vị sử dụng hệ thống bị ảnh hưởng phải vá lỗi trong thời gian sớm nhất.

Các chuyên gia an ninh mạng khuyến cáo tổ chức, doanh nghiệp cần:​

• Khẩn trương rà soát hệ thống Cisco đang sử dụng​
• Xác định chính xác phiên bản và triển khai bản vá phù hợp​
• Hạn chế truy cập giao diện quản trị từ Internet​
• Tăng cường giám sát log và dấu hiệu xâm nhập bất thường​
• Lên kế hoạch cập nhật bảo mật định kỳ, không trì hoãn​

Trong bối cảnh các cuộc tấn công ngày càng tinh vi và nhắm thẳng vào hạ tầng cốt lõi của doanh nghiệp, việc coi nhẹ vá lỗi hay trì hoãn cập nhật có thể khiến tổ chức phải trả giá bằng sự gián đoạn hoạt động, rò rỉ thông tin và mất kiểm soát hệ thống.​

WhiteHat​