Lỗ hổng bảo mật nghiêm trọng trong nền tảng SD-WAN của Cisco đã bị khai thác âm thầm suốt nhiều năm trước khi được công bố, đặt ra lo ngại lớn đối với an toàn của các hệ thống mạng doanh nghiệp và hạ tầng quan trọng. Theo cảnh báo chính thức từ Cisco và phân tích của Cisco Talos, lỗ hổng mang mã định danh CVE-2026-20127 có điểm CVSS 10.0 đã bị khai thác từ ít nhất năm 2023 để giành quyền quản trị trái phép trên các hệ thống Cisco Catalyst SD-WAN.
Cisco cho biết lỗ hổng tồn tại do cơ chế xác thực peering trong hệ thống bị lỗi, cho phép kẻ tấn công từ xa gửi yêu cầu được tạo đặc biệt để vượt qua quá trình xác thực. Khi khai thác thành công, đối tượng có thể đăng nhập vào Cisco Catalyst SD-WAN Controller với tư cách tài khoản nội bộ có đặc quyền cao, dù không phải root. Tuy nhiên, từ điểm truy cập này, kẻ tấn công có thể sử dụng giao thức NETCONF để thao túng cấu hình toàn bộ hệ thống SD-WAN, bao gồm thay đổi chính sách định tuyến, điều chỉnh thiết bị thành viên trong fabric và kiểm soát luồng lưu lượng giữa các chi nhánh.
Theo thông tin công bố, lỗ hổng ảnh hưởng đến tất cả các mô hình triển khai Cisco Catalyst SD-WAN, không phụ thuộc cấu hình cụ thể. Các môi trường bị tác động bao gồm triển khai tại chỗ (on-prem), Cisco Hosted SD-WAN Cloud, Cisco Hosted SD-WAN Cloud – Cisco Managed và cả môi trường Cisco Hosted SD-WAN Cloud – FedRAMP. Điều này đồng nghĩa các tổ chức chính phủ và đơn vị vận hành hạ tầng quan trọng sử dụng mô hình đạt chuẩn FedRAMP cũng có nguy cơ nếu chưa cập nhật bản vá.
Cisco ghi nhận việc phát hiện và báo cáo lỗ hổng có sự tham gia của Trung tâm An ninh mạng Úc thuộc Cục Tín hiệu Úc (ASD-ACSC). Sau khi điều tra hoạt động khai thác ngoài thực tế, Cisco Talos phân cụm chiến dịch này dưới tên UAT-8616 và đánh giá đây là một tác nhân đe dọa có trình độ cao, hoạt động ít nhất từ năm 2023. Theo báo cáo, sau khi khai thác thành công lỗ hổng zero-day, nhóm tấn công có khả năng tiếp tục leo thang đặc quyền lên root bằng cách hạ cấp phần mềm xuống phiên bản cũ, khai thác thêm lỗ hổng CVE-2022-20775, sau đó khôi phục lại phiên bản ban đầu để duy trì quyền truy cập mà giảm nguy cơ bị phát hiện.
Chiến thuật hạ cấp – khai thác – khôi phục cho thấy mức độ tinh vi và hiểu biết sâu về kiến trúc sản phẩm của Cisco. Việc chủ động hạ cấp phiên bản phần mềm nhằm kích hoạt lỗ hổng cũ cho thấy đối tượng tấn công không chỉ tìm kiếm cơ hội nhất thời mà có chiến lược duy trì truy cập lâu dài vào hạ tầng mạng mục tiêu. Cisco Talos nhận định với độ tin cậy cao rằng đây là tác nhân đe dọa có tổ chức và năng lực kỹ thuật đáng kể.
Trong cảnh báo gửi khách hàng, Cisco nhấn mạnh nguy cơ đặc biệt đối với các Catalyst SD-WAN Controller khi chúng bị công khai trên Internet. Công ty khuyến nghị quản trị viên chủ động kiểm tra file nhật ký /var/log/auth.log để phát hiện các dòng “Accepted publickey for vmanage-admin” từ địa chỉ IP không xác định, đồng thời đối chiếu với danh sách System IP hợp lệ trong giao diện quản trị web.
Bên cạnh đó, Cisco cũng lưu ý rằng mọi sự kiện control peering, đặc biệt là những sự kiện liên quan đến vManage, cần được xác minh thủ công nếu xuất hiện vào thời điểm bất thường hoặc từ các nguồn IP lạ, nhằm kịp thời phát hiện dấu hiệu tấn công hoặc truy cập trái phép.
Cisco xác nhận đã phát hành các bản cập nhật khắc phục lỗ hổng trong những phiên bản Cisco Catalyst SD-WAN 20.9.8.2, 20.12.5.3, 20.12.6.1, 20.15.4.2 và 20.18.2.1. Các hệ thống đang chạy phiên bản trước 20.9.1 được yêu cầu nâng cấp lên bản đã vá lỗi. Hãng cho biết không có biện pháp khắc phục hoàn chỉnh ngoài việc cập nhật phần mềm. Việc tạm thời hạn chế truy cập cổng 22 (SSH) và 830 (NETCONF) có thể giảm bớt nguy cơ, song không thay thế cho việc vá lỗi.
Theo Cisco PSIRT, số trường hợp khai thác ngoài thực tế được xác nhận là có giới hạn, song công ty không công bố chi tiết về số lượng tổ chức bị ảnh hưởng. Dù vậy, thực tế lỗ hổng bị khai thác từ năm 2023 trước khi được công bố cho thấy khả năng tồn tại các trường hợp xâm nhập kéo dài mà chưa bị phát hiện.
Giới chuyên gia an ninh mạng từ lâu cảnh báo thiết bị mạng biên như router, firewall hay SD-WAN controller đang trở thành mục tiêu ưu tiên của các nhóm tấn công có chủ đích. Không giống máy chủ ứng dụng hay máy trạm, nhiều thiết bị mạng không được triển khai giải pháp giám sát đầu cuối hoặc cơ chế phát hiện hành vi bất thường ở mức độ tương đương. Khi chiếm được quyền điều khiển thiết bị điều phối mạng, kẻ tấn công có thể quan sát và điều hướng lưu lượng nội bộ mà không cần cài mã độc trực tiếp lên từng máy chủ.
Trong bối cảnh nhiều doanh nghiệp và tổ chức công sử dụng SD-WAN để kết nối chi nhánh, trung tâm dữ liệu và môi trường đám mây, quyền kiểm soát controller đồng nghĩa với khả năng thao túng hạ tầng kết nối trên diện rộng. Việc thay đổi cấu hình định tuyến có thể được sử dụng để chuyển hướng lưu lượng qua hệ thống trung gian nhằm thu thập dữ liệu, hoặc làm bàn đạp xâm nhập sâu hơn vào mạng nội bộ.
Cisco khuyến nghị khách hàng tham khảo tài liệu hardening dành cho Cisco Catalyst SD-WAN và thực hiện các bước tăng cường bảo mật, bao gồm hạn chế truy cập quản trị từ Internet, áp dụng nguyên tắc phân tách mặt phẳng điều khiển và dữ liệu, cũng như giám sát chặt chẽ các thay đổi cấu hình. Trong trường hợp nghi ngờ bị xâm nhập, quản trị viên được yêu cầu mở yêu cầu hỗ trợ với Cisco TAC và thu thập file admin-tech để phục vụ điều tra.
Vụ việc lần này tiếp tục cho thấy thách thức trong việc bảo vệ thiết bị mạng lõi trước các chiến dịch tấn công kéo dài. Khi lỗ hổng nghiêm trọng tồn tại trong thành phần điều phối mạng mà không bị phát hiện trong thời gian dài, nguy cơ đối với tổ chức sử dụng là đáng kể, đặc biệt trong các lĩnh vực tài chính, năng lượng, viễn thông và cơ quan nhà nước. Việc cập nhật bản vá kịp thời và duy trì giám sát liên tục đối với hệ thống mạng không còn là lựa chọn, mà là yêu cầu bắt buộc trong bối cảnh các mối đe dọa ngày càng tinh vi và nhắm trực tiếp vào hạ tầng trọng yếu.