-
09/04/2020
-
107
-
918 bài viết
Lỗi nghiêm trọng trong Cisco: Chiếm quyền root chỉ bằng tài khoản hardcoded
Cisco vừa phát hành bản vá khẩn cấp cho một lỗ hổng bảo mật nghiêm trọng với điểm CVSS 10,0 trong hệ thống Unified Communications Manager (Unified CM) và Unified CM Session Management Edition (SME). Lỗi này cho phép kẻ tấn công đăng nhập với quyền root - quyền truy cập cao nhất trên hệ thống thông qua một tài khoản mặc định (hardcoded credential) còn sót lại từ giai đoạn phát triển phần mềm.
Lỗ hổng được gán mã CVE-2025-20309. Nguyên nhân xuất phát từ việc tồn tại sẵn một tài khoản người dùng root được sử dụng trong quá trình phát triển nhưng lại không bị xóa bỏ trước khi phần mềm được triển khai ra môi trường thực tế.
Nếu bị khai thác, hacker có thể chiếm toàn quyền kiểm soát hệ thống, thực thi lệnh tùy ý, thay đổi cấu hình và thậm chí nghe lén các cuộc gọi nội bộ hay can thiệp vào quá trình xác thực người dùng trong hệ thống liên lạc của doanh nghiệp.
Theo Cisco, lỗ hổng ảnh hưởng đến Unified CM và Unified CM SME trong dải phiên bản từ 15.0.1.13010-1 đến 15.0.1.13017-1, bất kể cấu hình thiết bị. Đây là những hệ thống thường được triển khai để điều phối các cuộc gọi thoại và video trong môi trường doanh nghiệp, do đó quyền truy cập root có thể gây rủi ro nghiêm trọng đến bảo mật nội bộ.
Hiện tại, Cisco chưa ghi nhận trường hợp khai thác nào ngoài thực tế. Lỗi được phát hiện trong quá trình kiểm thử bảo mật nội bộ. Hãng cũng đã công bố chỉ số nhận diện tấn công (IoC) nhằm hỗ trợ người dùng kiểm tra xem hệ thống có bị truy cập trái phép hay không. Người quản trị có thể thực hiện lệnh sau để truy xuất log hệ thống:
Đáng chú ý, lỗ hổng CVE-2025-20309 được công bố chỉ vài ngày sau khi Cisco vá hai lỗi nghiêm trọng khác trong hệ thống Identity Services Engine (ISE) là CVE-2025-20281 và CVE-2025-20282 cũng liên quan đến khả năng thực thi lệnh với quyền root mà không cần xác thực.
Người dùng và quản trị hệ thống đang sử dụng Unified CM hoặc SME thuộc các phiên bản bị ảnh hưởng cần nhanh chóng cập nhật bản vá chính thức từ Cisco. Đồng thời, cần kiểm tra log truy cập và đảm bảo hệ thống không còn sử dụng bất kỳ tài khoản mặc định nào. Việc loại bỏ các hardcoded credentials là bước quan trọng để ngăn ngừa các rủi ro bảo mật trong tương lai.
Lỗ hổng được gán mã CVE-2025-20309. Nguyên nhân xuất phát từ việc tồn tại sẵn một tài khoản người dùng root được sử dụng trong quá trình phát triển nhưng lại không bị xóa bỏ trước khi phần mềm được triển khai ra môi trường thực tế.
Nếu bị khai thác, hacker có thể chiếm toàn quyền kiểm soát hệ thống, thực thi lệnh tùy ý, thay đổi cấu hình và thậm chí nghe lén các cuộc gọi nội bộ hay can thiệp vào quá trình xác thực người dùng trong hệ thống liên lạc của doanh nghiệp.
Theo Cisco, lỗ hổng ảnh hưởng đến Unified CM và Unified CM SME trong dải phiên bản từ 15.0.1.13010-1 đến 15.0.1.13017-1, bất kể cấu hình thiết bị. Đây là những hệ thống thường được triển khai để điều phối các cuộc gọi thoại và video trong môi trường doanh nghiệp, do đó quyền truy cập root có thể gây rủi ro nghiêm trọng đến bảo mật nội bộ.
Hiện tại, Cisco chưa ghi nhận trường hợp khai thác nào ngoài thực tế. Lỗi được phát hiện trong quá trình kiểm thử bảo mật nội bộ. Hãng cũng đã công bố chỉ số nhận diện tấn công (IoC) nhằm hỗ trợ người dùng kiểm tra xem hệ thống có bị truy cập trái phép hay không. Người quản trị có thể thực hiện lệnh sau để truy xuất log hệ thống:
Nếu trong log xuất hiện bản ghi liên quan đến tài khoản root tại đường dẫn /var/log/active/syslog/secure, có thể hệ thống đã bị xâm nhập.cucm1# file get activelog syslog/secure
Đáng chú ý, lỗ hổng CVE-2025-20309 được công bố chỉ vài ngày sau khi Cisco vá hai lỗi nghiêm trọng khác trong hệ thống Identity Services Engine (ISE) là CVE-2025-20281 và CVE-2025-20282 cũng liên quan đến khả năng thực thi lệnh với quyền root mà không cần xác thực.
Người dùng và quản trị hệ thống đang sử dụng Unified CM hoặc SME thuộc các phiên bản bị ảnh hưởng cần nhanh chóng cập nhật bản vá chính thức từ Cisco. Đồng thời, cần kiểm tra log truy cập và đảm bảo hệ thống không còn sử dụng bất kỳ tài khoản mặc định nào. Việc loại bỏ các hardcoded credentials là bước quan trọng để ngăn ngừa các rủi ro bảo mật trong tương lai.
Theo The Hacker News
Chỉnh sửa lần cuối: