Cisco SD-WAN dính lỗ hổng cực nguy hiểm, hacker âm thầm khai thác từ 2023

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
128
1.638 bài viết
Cisco SD-WAN dính lỗ hổng cực nguy hiểm, hacker âm thầm khai thác từ 2023
WhiteHat Team
Cisco vừa phát đi cảnh báo khẩn về một lỗ hổng bảo mật nghiêm trọng trong nền tảng Cisco Catalyst SD-WAN, cho phép kẻ tấn công vượt qua lớp xác thực để chiếm quyền điều khiển hệ thống quản trị mạng. Đáng lo ngại, điểm yếu này đã bị khai thác dưới dạng zero-day từ ít nhất năm 2023, mở đường cho việc cài cắm thiết bị giả mạo và duy trì quyền kiểm soát sâu bên trong hạ tầng mục tiêu.

Cisco SD-WAN.png

Lỗ hổng được định danh CVE-2026-20127, đạt điểm CVSS tuyệt đối 10.0, ảnh hưởng tới Cisco Catalyst SD-WAN Controller (trước đây là vSmart) và Cisco Catalyst SD-WAN Manager (trước đây là vManage) trong cả môi trường triển khai on-prem và bản SD-WAN Cloud. Cisco cho biết cơ chế xác thực peering trên các hệ thống bị ảnh hưởng hoạt động không đúng cách, tạo điều kiện để kẻ tấn công gửi các yêu cầu được chế tạo đặc biệt nhằm đăng nhập vào controller với quyền cao.

Theo mô tả, sau khi khai thác thành công, kẻ tấn công có thể đăng nhập vào Cisco Catalyst SD-WAN Controller với tài khoản nội bộ có đặc quyền cao (không phải root), từ đó truy cập giao thức NETCONF và thao túng cấu hình của toàn bộ SD-WAN fabric. Trong bối cảnh SD-WAN đóng vai trò kết nối chi nhánh, trung tâm dữ liệu và môi trường đám mây qua các kết nối mã hóa, việc kiểm soát controller đồng nghĩa với việc kiểm soát luồng định tuyến và chính sách mạng ở quy mô toàn hệ thống.

Theo Cisco Talos, hoạt động khai thác lỗ hổng này đang diễn ra trên thực tế và được theo dõi dưới mã UAT-8616. Dữ liệu giám sát cho thấy các cuộc tấn công đã xuất hiện từ ít nhất năm 2023 và có dấu hiệu được tổ chức bài bản. Sau khi vượt qua cơ chế xác thực để xâm nhập hệ thống, kẻ tấn công tiếp tục hạ cấp phần mềm xuống phiên bản cũ nhằm khai thác thêm một lỗ hổng khác để chiếm quyền root, rồi nâng cấp lại bản gốc để che giấu dấu vết và duy trì quyền kiểm soát lâu dài.

Chuỗi tấn công này cho thấy sự chuẩn bị kỹ lưỡng khi kẻ xấu không chỉ vượt qua lớp xác thực ban đầu mà còn tìm cách bám trụ lâu dài và che giấu hoạt động. Bằng cách chèn một “rogue peer” vào môi trường SD-WAN, thiết bị độc hại có thể giả mạo thành phần hợp lệ, thiết lập kết nối mã hóa và âm thầm điều hướng lưu lượng theo ý đồ của mình. Từ đó, chúng mở rộng phạm vi kiểm soát, di chuyển sang các phân đoạn mạng khác và tiến sâu hơn vào hạ tầng doanh nghiệp mà không dễ bị phát hiện.

Sự việc đã khiến Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ ban hành Chỉ thị Khẩn cấp 26-03 trong ngày 25/2/2026, yêu cầu các cơ quan thuộc nhánh hành pháp dân sự liên bang khẩn trương kiểm kê hệ thống Cisco SD-WAN, thu thập bằng chứng pháp y, đảm bảo lưu trữ log bên ngoài, áp dụng bản vá và điều tra dấu hiệu xâm nhập liên quan tới CVE-2026-20127 và CVE-2022-20775. Các thiết bị phải được vá trước 17h ngày 27/2/2026 theo giờ ET.

Song song đó, CISA và Trung tâm An ninh mạng Quốc gia Vương quốc Anh cảnh báo các hệ thống Cisco Catalyst SD-WAN đang bị nhắm mục tiêu trên phạm vi toàn cầu. Hai cơ quan khuyến nghị không bao giờ để lộ giao diện quản trị SD-WAN ra Internet, đồng thời triển khai ngay các biện pháp tăng cường bảo mật theo hướng dẫn của nhà cung cấp.

Về dấu hiệu xâm nhập, Cisco và Cisco Talos khuyến nghị rà soát kỹ các controller đang truy cập trực tiếp từ Internet để phát hiện các sự kiện peering trái phép và hoạt động xác thực bất thường. Quản trị viên cần kiểm tra file /var/log/auth.log để tìm các bản ghi “Accepted publickey for vmanage-admin” xuất phát từ địa chỉ IP không xác định, sau đó đối chiếu với danh sách System IP đã cấu hình trong SD-WAN Manager. Nếu xuất hiện IP lạ đăng nhập thành công, hệ thống nên được coi là có khả năng đã bị xâm phạm và cần xử lý ngay.

Ngoài ra, cần chú ý đến việc tạo và xóa tài khoản bất thường, đăng nhập root trái phép, khóa SSH lạ trong tài khoản vmanage-admin hoặc root, thay đổi cấu hình cho phép PermitRootLogin, file log bị thiếu hoặc dung lượng bất thường, cũng như các dấu hiệu hạ cấp phần mềm và khởi động lại hệ thống. Để kiểm tra khả năng khai thác CVE-2022-20775, CISA khuyến nghị phân tích các log vdebug và sw_script_synccdb.log trong thư mục /var/volatile/log và /var/log/tmplog.

Trong trường hợp tài khoản root bị xâm phạm, cơ quan chức năng khuyến nghị triển khai lại hệ thống từ bản cài đặt sạch thay vì cố gắng làm sạch hạ tầng hiện tại. Đồng thời, toàn bộ log cần được chuyển tiếp ra hệ thống lưu trữ bên ngoài để tránh bị chỉnh sửa.

Cisco khẳng định không có biện pháp giảm nhẹ tạm thời nào có thể khắc phục hoàn toàn lỗ hổng và việc nâng cấp lên phiên bản phần mềm đã được vá là giải pháp duy nhất để xử lý triệt để CVE-2026-20127.
Theo Bleeping Computer
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Cisco và F5 vá loạt lỗ hổng nghiêm trọng: Nguy cơ sập hệ thống, mất quyền kiểm soát
  • Lỗ hổng zero-day nghiêm trọng ảnh hưởng đến hệ thống liên lạc doanh nghiệp của Cisco
  • Cisco vá khẩn cấp lỗ hổng zero-day 10 điểm đang bị nhóm tin tặc khai thác
  • Cisco vá loạt lỗ hổng trong Snort 3 và ISE, đe dọa an toàn hệ thống doanh nghiệp
  • Cisco cảnh báo làn sóng tấn công khai thác lỗ hổng zero-day trong AsyncOS
  • Hai lỗ hổng zero-day mới trong Cisco và Citrix đe dọa hàng loạt doanh nghiệp
    • Thẻ
    authentication bypass cisco cisco catalyst sd-wan cve-2022-20775 cve-2026-20127 sd-wan zero-day
    Bên trên