-
09/04/2020
-
123
-
1.481 bài viết
Cisco vá loạt lỗ hổng trong Snort 3 và ISE, đe dọa an toàn hệ thống doanh nghiệp
Các thiết bị và giải pháp bảo mật của Cisco từ lâu được xem là “xương sống” trong hạ tầng mạng của nhiều doanh nghiệp, tổ chức và cơ quan trên toàn cầu. Tuy nhiên, mới đây Cisco đã liên tiếp công bố nhiều lỗ hổng bảo mật nghiêm trọng và trung bình trong các sản phẩm quan trọng như Snort 3 Detection Engine và Cisco Identity Services Engine (ISE). Dù chưa ghi nhận bị khai thác trên thực tế, các lỗ hổng này vẫn làm dấy lên lo ngại lớn về nguy cơ rò rỉ dữ liệu, gián đoạn dịch vụ và mất an toàn hệ thống nếu không được vá kịp thời.
Theo các khuyến cáo bảo mật chính thức từ Cisco, các lỗ hổng lần này ảnh hưởng đến hai nhóm sản phẩm cốt lõi trong hệ sinh thái bảo mật của hãng:
Thứ nhất là, Snort 3 Detection Engine, một công cụ phát hiện và ngăn chặn xâm nhập mạng (IDS/IPS) được tích hợp mặc định trong nhiều thiết bị Cisco Secure Firewall, Cisco IOS XE với Unified Threat Defense và cả các thiết bị biên Meraki. Snort 3 chịu trách nhiệm phân tích lưu lượng mạng để phát hiện tấn công, vì vậy bất kỳ vấn đề nào xảy ra ở đây đều có thể tác động trực tiếp đến khả năng phòng vệ của toàn hệ thống.
Thứ hai là, Cisco ISE và ISE Passive Identity Connector (ISE-PIC) - nền tảng quản lý truy cập mạng, xác thực người dùng và thiết bị trong môi trường doanh nghiệp. Đây là hệ thống thường được triển khai tại các tổ chức lớn, nơi việc kiểm soát danh tính và quyền truy cập đóng vai trò sống còn.
Các mã lỗ hổng cụ thể và mức độ nghiêm trọng
Trong nhóm Snort 3, Cisco xác nhận hai lỗ hổng chính:
- CVE-2026-20026 (CVSS 5,8): cho phép kẻ tấn công từ xa, không cần xác thực, gửi các gói DCE/RPC được tạo đặc biệt để khiến Snort 3 gặp lỗi xử lý bộ nhớ, dẫn đến từ chối dịch vụ hoặc buộc engine phải khởi động lại.
- CVE-2026-20027 (CVSS 5,3): cũng xuất phát từ cơ chế xử lý DCE/RPC, nhưng có thể khiến hệ thống đọc vượt vùng nhớ, từ đó rò rỉ thông tin nhạy cảm trong quá trình phân tích lưu lượng.
Ở nhóm Cisco ISE, lỗ hổng đáng chú ý là:
- CVE-2026-20029 (CVSS 4,9): tồn tại trong chức năng cấp phép, do xử lý XML không an toàn trong giao diện quản trị web. Lỗ hổng này cho phép kẻ tấn công đã đăng nhập với quyền quản trị tải lên tệp độc hại và đọc các tệp hệ thống vốn không được phép truy cập, ngay cả với quản trị viên.
Đáng chú ý, đối với CVE-2026-20029, Cisco xác nhận đã có mã khai thác thử nghiệm (PoC) công khai, dù chưa phát hiện dấu hiệu bị khai thác ngoài thực tế.
Cơ chế khai thác: Vì sao các lỗ hổng này nguy hiểm?
Với Snort 3, nguyên nhân gốc rễ nằm ở việc xử lý không an toàn các yêu cầu DCE/RPC. Khi một lượng lớn gói tin được thiết kế đặc biệt đi qua hệ thống, Snort 3 có thể gặp lỗi “use-after-free” hoặc “out-of-bounds read”. Điều này khiến engine phân tích gói tin hoạt động sai, bị treo hoặc khởi động lại, từ đó làm gián đoạn khả năng phát hiện tấn công của toàn bộ hệ thống firewall.
Trong khi đó, lỗ hổng của Cisco ISE xuất phát từ việc phân tích dữ liệu XML không được kiểm soát chặt chẽ. Kẻ tấn công có quyền quản trị có thể lợi dụng điểm yếu này để đọc các tệp hệ thống nhạy cảm, mở đường cho các kịch bản tấn công sâu hơn, bao gồm thu thập thông tin nội bộ hoặc chuẩn bị cho các cuộc xâm nhập tiếp theo.
Trong khi đó, lỗ hổng của Cisco ISE xuất phát từ việc phân tích dữ liệu XML không được kiểm soát chặt chẽ. Kẻ tấn công có quyền quản trị có thể lợi dụng điểm yếu này để đọc các tệp hệ thống nhạy cảm, mở đường cho các kịch bản tấn công sâu hơn, bao gồm thu thập thông tin nội bộ hoặc chuẩn bị cho các cuộc xâm nhập tiếp theo.
Rủi ro và hậu quả đối với người dùng
Nếu các lỗ hổng này bị khai thác thành công, hậu quả không chỉ dừng lại ở lỗi kỹ thuật.
Đối với Snort 3, việc engine bị dừng hoặc khởi động lại có thể khiến hệ thống “mù tạm thời” trước các cuộc tấn công mạng, tạo điều kiện cho mã độc, tấn công xâm nhập hoặc đánh cắp dữ liệu lọt qua mà không bị phát hiện.
Với Cisco ISE, khả năng đọc trái phép các tệp hệ thống có thể dẫn đến lộ thông tin nhạy cảm về cấu hình, tài khoản hoặc hạ tầng mạng, đặc biệt nguy hiểm trong môi trường doanh nghiệp lớn, nơi ISE thường là trung tâm kiểm soát truy cập.
Phạm vi ảnh hưởng của các lỗ hổng này được đánh giá là rộng, do các sản phẩm bị tác động đều được triển khai phổ biến trên toàn cầu, từ doanh nghiệp vừa và nhỏ đến các tổ chức quy mô lớn.
Đối với Snort 3, việc engine bị dừng hoặc khởi động lại có thể khiến hệ thống “mù tạm thời” trước các cuộc tấn công mạng, tạo điều kiện cho mã độc, tấn công xâm nhập hoặc đánh cắp dữ liệu lọt qua mà không bị phát hiện.
Với Cisco ISE, khả năng đọc trái phép các tệp hệ thống có thể dẫn đến lộ thông tin nhạy cảm về cấu hình, tài khoản hoặc hạ tầng mạng, đặc biệt nguy hiểm trong môi trường doanh nghiệp lớn, nơi ISE thường là trung tâm kiểm soát truy cập.
Phạm vi ảnh hưởng của các lỗ hổng này được đánh giá là rộng, do các sản phẩm bị tác động đều được triển khai phổ biến trên toàn cầu, từ doanh nghiệp vừa và nhỏ đến các tổ chức quy mô lớn.
Doanh nghiệp cần làm gì để phòng tránh?
Cisco cho biết không có biện pháp tạm thời để giảm thiểu rủi ro, đồng nghĩa với việc vá lỗi là lựa chọn duy nhất.
Đối với Snort 3, người dùng cần nâng cấp lên phiên bản 3.9.6.0 trở lên, đồng thời theo dõi lộ trình vá lỗi cho Cisco Secure Firewall FTD, IOS XE và Meraki, đặc biệt trong giai đoạn chờ bản vá hoàn chỉnh cho các thiết bị Meraki.
Với Cisco ISE và ISE-PIC, các tổ chức cần cập nhật lên các bản vá mới nhất tương ứng với từng nhánh phiên bản hoặc nâng cấp lên bản đã được Cisco xác nhận không còn bị ảnh hưởng.
Các chuyên gia an ninh mạng cũng khuyến cáo doanh nghiệp:
Đối với Snort 3, người dùng cần nâng cấp lên phiên bản 3.9.6.0 trở lên, đồng thời theo dõi lộ trình vá lỗi cho Cisco Secure Firewall FTD, IOS XE và Meraki, đặc biệt trong giai đoạn chờ bản vá hoàn chỉnh cho các thiết bị Meraki.
Với Cisco ISE và ISE-PIC, các tổ chức cần cập nhật lên các bản vá mới nhất tương ứng với từng nhánh phiên bản hoặc nâng cấp lên bản đã được Cisco xác nhận không còn bị ảnh hưởng.
Các chuyên gia an ninh mạng cũng khuyến cáo doanh nghiệp:
- Rà soát toàn bộ hệ thống đang sử dụng Snort 3 hoặc Cisco ISE.
- Hạn chế tối đa quyền quản trị và giám sát chặt chẽ các hoạt động bất thường.
- Sử dụng các công cụ kiểm tra phần mềm chính thức của Cisco để xác định mức độ phơi nhiễm.
Chuỗi lỗ hổng mới được Cisco công bố một lần nữa cho thấy ngay cả các hệ thống bảo mật hàng đầu cũng không tránh khỏi rủi ro. Dù mức độ nghiêm trọng được đánh giá ở mức trung bình và chưa ghi nhận khai thác thực tế, tác động tiềm ẩn đối với doanh nghiệp là không nhỏ nếu chậm trễ trong việc vá lỗi.
Bài học rút ra là các tổ chức không nên chủ quan với những lỗ hổng “chưa bị khai thác”, đặc biệt khi chúng nằm ở trung tâm hệ thống phòng thủ mạng. Chủ động cập nhật, rà soát và quản lý lỗ hổng vẫn là yếu tố then chốt để bảo vệ hạ tầng số trước các mối đe dọa ngày càng tinh vi.
Bài học rút ra là các tổ chức không nên chủ quan với những lỗ hổng “chưa bị khai thác”, đặc biệt khi chúng nằm ở trung tâm hệ thống phòng thủ mạng. Chủ động cập nhật, rà soát và quản lý lỗ hổng vẫn là yếu tố then chốt để bảo vệ hạ tầng số trước các mối đe dọa ngày càng tinh vi.
WhiteHat