Các chuyên gia nghiên cứu về bảo mật vừa công bố chi tiết kỹ thuật tấn công chiếm quyền điều khiển hệ thống Cisco ISE thông qua lỗ hổng bảo mật CVE-2025-20281, một lỗi nghiêm trọng cho phép kẻ tấn công từ xa thực thi lệnh với quyền root.
Lỗ hổng CVE-2025-20281 nằm trong hệ thống Cisco Identity Services Engine (ISE), một nền tảng quản lý truy cập mạng được sử dụng rộng rãi trong doanh nghiệp. Mặc dù lỗ hổng này đã được Cisco cảnh báo từ cuối tháng 6 và bản vá cũng đã được phát hành, nhưng chi tiết cách khai thác lại chính là "hồi chuông cảnh báo" cho những hệ thống chưa kịp cập nhật.
Phát hiện tồn tại hai lỗ hổng bảo mật liên quan đến nhau:
Trong bài công bố quy trình tấn công, các chuyên gia đã mô tả một chuỗi tấn công hoàn chỉnh:
Cisco đã xác nhận cả hai lỗ hổng đang bị khai thác ngoài thực tế. Chúng ảnh hưởng đến các phiên bản ISE 3.3 và 3.4 (cả ISE-PIC). Từ hệ thống mạng doanh nghiệp, tổ chức chính phủ cho đến nhà cung cấp dịch vụ, tất cả đều có nguy cơ nếu chưa cập nhật.
Với lỗ hổng CVE-2025-20281 trong Cisco ISE, hacker không cần phải gửi email lừa đảo, không cần tài khoản đăng nhập, không cần tương tác người dùng. Đây là một lỗ hổng trên dịch vụ mạng (network service) mà hacker có thể gửi dữ liệu trực tiếp từ xa đến hệ thống đang mở cổng dịch vụ ISE.
Khi một hệ thống Cisco ISE dính lỗ hổng và chưa được cập nhật bản vá, hacker có thể thực hiện cuộc tấn công theo trình tự như sau:
Bước 1: Gửi dữ liệu “bẫy” vào hệ thống
Bước 2: Thực thi lệnh độc hại với quyền cao nhất (root)
Bước 3: Thoát khỏi Docker, xâm nhập sâu hơn
Cisco ISE thường chạy bên trong một môi trường bảo vệ gọi là Docker container. Nhưng hacker không dừng lại ở đó. Họ sử dụng một kỹ thuật nâng cao để thoát khỏi Docker và chạm tới hệ thống chính (host machine) đang điều khiển toàn bộ máy chủ.
Bước 4: Chiếm quyền và kiểm soát cả mạng nội bộ
Hiện không có cách khắc phục tạm thời (workaround). Giải pháp duy nhất là cập nhật lên các bản vá mới nhất:
Đừng đợi đến khi sự cố xảy ra. Hãy kiểm tra hệ thống Cisco ISE của bạn ngay và áp dụng bản vá càng sớm càng tốt. Trong thế giới mạng, chậm một nhịp là sec phải trả giá bằng toàn bộ hệ thống.
Lỗ hổng CVE-2025-20281 nằm trong hệ thống Cisco Identity Services Engine (ISE), một nền tảng quản lý truy cập mạng được sử dụng rộng rãi trong doanh nghiệp. Mặc dù lỗ hổng này đã được Cisco cảnh báo từ cuối tháng 6 và bản vá cũng đã được phát hành, nhưng chi tiết cách khai thác lại chính là "hồi chuông cảnh báo" cho những hệ thống chưa kịp cập nhật.
Phát hiện tồn tại hai lỗ hổng bảo mật liên quan đến nhau:
- CVE-2025-20281: Lỗi command injection cho phép kẻ tấn công gửi dữ liệu đặc biệt, từ đó thực thi lệnh hệ thống.
- CVE-2025-20337: Lỗi unsafe deserialization, khiến phần mềm xử lý dữ liệu không an toàn, mở đường cho mã độc xâm nhập.
Trong bài công bố quy trình tấn công, các chuyên gia đã mô tả một chuỗi tấn công hoàn chỉnh:
- Gửi một payload Java đã serialize để lợi dụng lỗi deserialization.
- Kích hoạt lệnh thông qua hàm Runtime.exec() của Java.
- Dùng ${IFS} (ký tự đặc biệt thay cho khoảng trắng) để vượt qua lỗi định dạng đối số khi chạy lệnh.
- Từ đó chiếm được quyền root trong container Docker đang chạy Cisco ISE.
- Sau đó sử dụng một kỹ thuật trốn thoát phổ biến dựa trên cgroups và release_agent để thoát khỏi Docker và chiếm quyền root trên hệ thống máy chủ vật lý.
Cisco đã xác nhận cả hai lỗ hổng đang bị khai thác ngoài thực tế. Chúng ảnh hưởng đến các phiên bản ISE 3.3 và 3.4 (cả ISE-PIC). Từ hệ thống mạng doanh nghiệp, tổ chức chính phủ cho đến nhà cung cấp dịch vụ, tất cả đều có nguy cơ nếu chưa cập nhật.
Với lỗ hổng CVE-2025-20281 trong Cisco ISE, hacker không cần phải gửi email lừa đảo, không cần tài khoản đăng nhập, không cần tương tác người dùng. Đây là một lỗ hổng trên dịch vụ mạng (network service) mà hacker có thể gửi dữ liệu trực tiếp từ xa đến hệ thống đang mở cổng dịch vụ ISE.
Khi một hệ thống Cisco ISE dính lỗ hổng và chưa được cập nhật bản vá, hacker có thể thực hiện cuộc tấn công theo trình tự như sau:
Bước 1: Gửi dữ liệu “bẫy” vào hệ thống
- Kẻ tấn công gửi một đoạn dữ liệu đặc biệt (gọi là payload) đến hệ thống Cisco ISE. Dữ liệu này được “đóng gói” theo cách mà hệ thống sẽ xử lý nhầm là hợp lệ.
- Tưởng là dữ liệu hợp pháp, hệ thống lại tự mở ra và thực thi (đây chính là lỗi deserialization và injection).
- Thông qua đoạn dữ liệu đó, hacker chèn được các lệnh hệ thống vào máy chủ chạy ISE và các lệnh này được chạy với quyền root (tức là quyền cao nhất trong hệ thống)).
- Với quyền root, hacker có thể làm mọi thứ, như: Cài phần mềm, chỉnh file hệ thống, thêm tài khoản ngầm...
Bước 3: Thoát khỏi Docker, xâm nhập sâu hơn
Cisco ISE thường chạy bên trong một môi trường bảo vệ gọi là Docker container. Nhưng hacker không dừng lại ở đó. Họ sử dụng một kỹ thuật nâng cao để thoát khỏi Docker và chạm tới hệ thống chính (host machine) đang điều khiển toàn bộ máy chủ.
Bước 4: Chiếm quyền và kiểm soát cả mạng nội bộ
- Sau khi thoát ra khỏi lớp bảo vệ, hacker có thể:
- Cài các phần mềm gián điệp hoặc mã độc theo ý muốn.
- Lấy thông tin đăng nhập của nhân viên, hệ thống và thiết bị.
- Theo dõi hoặc ghi lại hoạt động mạng, giả mạo người dùng.
- Mở rộng tấn công sang các hệ thống khác trong cùng mạng nội bộ (lateral movement).
Hiện không có cách khắc phục tạm thời (workaround). Giải pháp duy nhất là cập nhật lên các bản vá mới nhất:
- ISE 3.3 → Cập nhật lên Patch 7
- ISE 3.4 → Cập nhật lên Patch 2
- Kiểm tra các truy cập bất thường trong nhật ký hệ thống.
- Giám sát hoạt động của container Docker và tiến trình có quyền cao.
- Hạn chế truy cập đến ISE từ bên ngoài nếu không thực sự cần thiết.
Đừng đợi đến khi sự cố xảy ra. Hãy kiểm tra hệ thống Cisco ISE của bạn ngay và áp dụng bản vá càng sớm càng tốt. Trong thế giới mạng, chậm một nhịp là sec phải trả giá bằng toàn bộ hệ thống.
Theo WhiteHat.vn
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
