Cisco vừa phát đi một cảnh báo bảo mật ở mức độ nghiêm trọng liên quan đến một lỗ hổng trong IOS Software và IOS XE Software. Lỗ hổng này, được định danh là CVE-2025-20352 với điểm CVSS là 7.7, có thể cho phép kẻ tấn công Remote Code Execution hoặc gây ra tình trạng Denial-of-Service.
Điều đáng báo động là Cisco đã xác nhận lỗ hổng này đang bị khai thác tích cực trong thực tế. Theo hãng, họ phát hiện ra các cuộc tấn công sau khi thông tin đăng nhập của Administrator credentials bị xâm phạm. Bài viết này sẽ phân tích chi tiết về lỗ hổng và các bước cần thiết để bảo vệ hệ thống của bạn.
Phân tích kỹ thuật lỗ hổng
Nguyên nhân gốc rễ của CVE-2025-20352 xuất phát từ một lỗi stack overflow trong phân hệ xử lý Simple Network Management Protocol (SNMP).
Một kẻ tấn công từ xa, đã được xác thực, có thể khai thác lỗ hổng này bằng cách gửi một gói tin SNMP được chế tạo đặc biệt đến thiết bị bị ảnh hưởng qua mạng IPv4 hoặc IPv6. Hậu quả của cuộc tấn công phụ thuộc vào quyền hạn của kẻ tấn công trên thiết bị:
- Gây ra DoS: Kẻ tấn công có đặc quyền thấp có thể làm sập thiết bị, gây gián đoạn dịch vụ.
- Remote Code Execution: Nếu có đặc quyền cao, kẻ tấn công có thể thực thi mã với quyền
root, qua đó chiếm toàn quyền kiểm soát hệ thống.
Cisco lưu ý rằng để một cuộc tấn công thành công, các điều kiện sau phải được thỏa mãn:
- Để gây ra DoS: Kẻ tấn công cần có chuỗi
community stringread-only của SNMPv2c hoặc phiên bản cũ hơn, hoặc thông tin đăng nhập hợp lệ của người dùng SNMPv3. - Để thực thi mã với quyền root: Kẻ tấn công cần có chuỗi
community stringchỉ đọc của SNMPv1/v2c hoặc thông tin đăng nhập SNMPv3, đồng thời phải có thông tin đăng nhập của tài khoản quản trị (privilege 15) trên thiết bị.
Phạm vi ảnh hưởng
Lỗ hổng này ảnh hưởng đến tất cả các phiên bản của SNMP (v1, v2c, v3) trên các sản phẩm sau:
- Phần mềm Cisco IOS Software và IOS XE Software.
- Thiết bị chuyển mạch Meraki MS390.
- Thiết bị chuyển mạch Cisco Catalyst 9300 Series đang chạy Meraki CS 17 trở về trước.
Các thiết bị chạy phần mềm Cisco IOS XR và NX-OS không bị ảnh hưởng bởi lỗ hổng này.
Giải pháp khắc phục và giảm thiểu rủi ro
1. Sử dụng bản vá chính thức
Cisco đã phát hành bản vá cho lỗ hổng này trong phiên bản Cisco IOS XE Software Release 17.15.4a. Đây là giải pháp triệt để và được khuyến nghị hàng đầu. Các quản trị viên hệ thống nên lên kế hoạch nâng cấp thiết bị của mình càng sớm càng tốt.
2. Các biện pháp giảm thiểu tạm thời
Trong trường hợp chưa thể nâng cấp ngay lập tức, Cisco đề xuất một số biện pháp giảm thiểu rủi ro, dù không thể khắc phục hoàn toàn:
-
Giới hạn quyền truy cập SNMP: Chỉ cho phép các người dùng hoặc hệ thống đáng tin cậy được phép truy cập SNMP vào thiết bị. Điều này có thể được thực hiện thông qua Access Control Lists (ACLs) hoặc tường lửa. Đồng thời, cần thường xuyên giám sát các kết nối SNMP bằng lệnh
show snmp host.Đây là một ví dụ về kết quả của lệnh giám sát:
Switch# show snmp host Notification host: 192.168.10.5, Port: 162, User: netadmin, Security model: v3 priv, Type: trap, State: active Notification host: 10.100.1.25, Port: 162, User: monitoring, Security model: v2c, Type: inform, State: activeQuản trị viên cần rà soát danh sách này để đảm bảo tất cả các host đều là hợp lệ và được tin tưởng.
-
Vô hiệu hóa Object ID (OID) bị ảnh hưởng: Quản trị viên có thể cấu hình để vô hiệu hóa các OID cụ thể liên quan đến lỗ hổng. Tuy nhiên, Cisco cảnh báo rằng hành động này có thể ảnh hưởng đến các công cụ quản lý mạng sử dụng SNMP để khám phá hoặc kiểm kê phần cứng, vì chúng có thể phụ thuộc vào các OID này.
CVE-2025-20352 là một lỗ hổng bảo mật nghiêm trọng do nó đang bị khai thác trong môi trường thực tế. Việc kẻ tấn công cần có thông tin xác thực trước khi khai thác cho thấy tầm quan trọng của việc bảo vệ chặt chẽ tài khoản quản trị.
Các quản trị viên hệ thống mạng Cisco cần khẩn trương kiểm tra các thiết bị của mình. Ưu tiên hàng đầu là nâng cấp lên phiên bản phần mềm đã được vá. Nếu không, hãy áp dụng ngay các biện pháp giảm thiểu rủi ro, đặc biệt là việc giới hạn và giám sát chặt chẽ truy cập SNMP để bảo vệ hệ thống khỏi các cuộc tấn công tiềm tàng.
