Lỗ Hổng Nghiêm Trọng trong Cisco ISE Cho Phép Thực Thi Lệnh

Tháng 2/2025, Cisco đã phát hành cảnh báo bảo mật về hai lỗ hổng nghiêm trọng CVE-2025-20124 và CVE-2025-20125 trong Cisco Identity Services Engine (ISE). Hai lỗ hổng này có điểm CVSS lần lượt là 9.9 và 9.1, cho phép kẻ tấn công có quyền truy cập read-only admin thực thi lệnh từ xa với quyền root hoặc bypass cơ chế xác thực, gây rủi ro nghiêm trọng cho hệ thống.

  • CVE-2025-20124 (CVSS 9.9): Lỗ hổng do giải tuần tự (deserialization) Java không an toàn, cho phép kẻ tấn công chèn mã độc vào quá trình xử lý dữ liệu, dẫn đến thực thi lệnh tùy ý trên hệ thống.
  • CVE-2025-20125 (CVSS 9.1): Lỗ hổng do thiếu kiểm tra quyền truy cập trong API, cho phép kẻ tấn công gửi yêu cầu HTTP độc hại để bypass cơ chế xác thực và thực hiện các thao tác trái phép như truy xuất thông tin, thay đổi cấu hình hệ thống hoặc khởi động lại thiết bị.

Cách Thức Khai Thác

Kẻ tấn công sử dụng tài khoản admin read-only để gửi payload Java được tuần tự hóa tới API tồn tại lỗ hổng. Nếu khai thác thành công, hệ thống sẽ giải mã payload và thực thi mã độc với quyền root. Ngoài ra, kẻ tấn công có thể khai thác API có lỗ hổng để bypass cơ chế ủy quyền và thực hiện các thao tác trái phép.

Các Phiên Bản Bị Ảnh Hưởng

Cisco ISE 3.0 → Cần nâng cấp lên bản vá mới nhất Cisco ISE 3.1 → Đã được vá trong phiên bản 3.1P10 Cisco ISE 3.2 → Đã được vá trong phiên bản 3.2P7 Cisco ISE 3.3 → Đã được vá trong phiên bản 3.3P4 Cisco ISE 3.4 → Không bị ảnh hưởng

Tác Động

Thực thi mã từ xa với quyền root, cho phép kiểm soát toàn bộ hệ thống Cisco ISE. Thay đổi cấu hình hệ thống, xóa hoặc đánh cắp dữ liệu nhạy cảm. Làm gián đoạn dịch vụ mạng, đặc biệt trong môi trường single-node, gây mất khả năng xác thực thiết bị mới.

Khuyến Nghị

  1. Cập Nhật Ngay Lập Tức
  2. Hạn chế truy cập API quản trị: Chỉ cho phép các IP đáng tin cậy truy cập giao diện quản trị Cisco ISE.
  3. Bảo vệ tài khoản admin: Thay đổi mật khẩu admin read-only và sử dụng xác thực đa yếu tố (MFA).

Nguồn: VNCERT/CC

Công ty CP Dịch vụ an toàn thông tin TP.HCM (HISSC) chuyên cung cấp các dịch vụ về an ninh mạng gồm:

  • Điện toán đám mây.

  • Máy tính để bàn ảo VDI.

  • Lưu trữ dữ liệu Drive.

  • Quản lý dịch vụ công nghệ thông tin ITSM.

  • Mạng phân phối nội dung

  • Giám sát an toàn thông tin mạng.

  • Bảo vệ an toàn thông tin đầu cuối.

  • Sao lưu, phục hồi dữ liệu.

  • Diễn tập phòng chống tấn công mạng.

  • Kiểm tra, đánh giá an toàn thông tin mạng.

  • Đào tạo an toàn thông tin.

  • Dịch vụ khác:

    • Triển khai tích hợp giải pháp công nghệ an toàn thông tin theo yêu cầu.
    • Cho thuê thiết bị an toàn thông tin, công nghệ thông tin

Liên hệ dịch vụ: