Cisco vá lỗ hổng nghiêm trọng cho phép chiếm quyền root trên Unified CM

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
141
1.962 bài viết
Cisco vá lỗ hổng nghiêm trọng cho phép chiếm quyền root trên Unified CM
WhiteHat Team
Cisco vừa phát hành bản vá cho một lỗ hổng bảo mật nghiêm trọng trong hệ thống Unified Communications Manager (Unified CM). Đây là nền tảng quản lý liên lạc doanh nghiệp được sử dụng rộng rãi trong các hệ thống tổng đài IP, gọi thoại nội bộ và hội nghị truyền hình. Đáng chú ý, lỗ hổng này có thể cho phép tin tặc từ xa ghi file trái phép lên máy chủ và sau đó leo thang đặc quyền để chiếm quyền root hoàn toàn hệ thống mà không cần xác thực trước.
157cfbc2-cd60-4333-84ad-4e7266b5114f.png

Lỗ hổng được định danh là CVE-2026-20230. Theo Cisco, nguyên nhân xuất phát từ lỗi Server-Side Request Forgery (SSRF), tức hệ thống xử lý và xác thực các HTTP request không đúng cách. Điều này khiến kẻ tấn công có thể gửi các request được chế tạo đặc biệt để buộc máy chủ Unified CM ghi file tùy ý xuống hệ điều hành bên dưới.

Dù điểm CVSS của lỗ hổng được đánh giá ở mức 8,6/10, Cisco vẫn xếp lỗi này vào nhóm “Critical” do hậu quả cuối cùng có thể dẫn tới chiếm quyền root (cấp quyền cao nhất trên hệ thống Linux nền tảng của Unified CM).

Theo phân tích kỹ thuật, quá trình khai thác diễn ra theo hai giai đoạn. Ở bước đầu tiên, tin tặc lợi dụng lỗi SSRF để ghi file độc hại hoặc file cấu hình tùy chỉnh lên máy chủ. Các file này sau đó trở thành “bàn đạp” để tiếp tục leo thang đặc quyền và giành quyền điều khiển hoàn toàn hệ thống.

Điểm đáng lo ngại là mã khai thác Proof-of-Concept (PoC) cho lỗ hổng này đã được công khai. Điều đó đồng nghĩa các nhóm tấn công mạng có thể nhanh chóng nghiên cứu, chỉnh sửa và đưa vào các chiến dịch khai thác thực tế. Dù Cisco cho biết chưa ghi nhận dấu hiệu bị khai thác ngoài thực tế tính đến thời điểm công bố, việc PoC xuất hiện công khai thường làm rút ngắn đáng kể thời gian từ “có lỗ hổng” đến “bị tấn công hàng loạt”.

Cisco cho biết lỗ hổng chỉ ảnh hưởng khi dịch vụ WebDialer được bật. Đây là thành phần hỗ trợ người dùng thực hiện cuộc gọi trực tiếp từ giao diện web. Theo mặc định, WebDialer không được kích hoạt, tuy nhiên nhiều doanh nghiệp có thể đã bật tính năng này để phục vụ nhu cầu vận hành hoặc tích hợp hệ thống tổng đài nội bộ.

Quản trị viên có thể kiểm tra trạng thái WebDialer bằng cách truy cập giao diện Cisco Unified CM Administration, chuyển sang Cisco Unified Serviceability, sau đó vào mục:
Tools → Control Center – Feature Services​
Nhấn để mở rộng...

Tại đây, nếu mục “Cisco WebDialer Web Service” trong phần CTI Services hiển thị trạng thái “Started”, hệ thống có khả năng đang bị ảnh hưởng.

Cisco đã phát hành bản vá chính thức cho các phiên bản bị tác động. Với nhánh Unified CM 14, người dùng cần nâng cấp lên phiên bản 14SU6. Đối với nhánh 15, bản cập nhật đầy đủ dự kiến chỉ phát hành vào tháng 9/2026, do đó Cisco hiện cung cấp bản vá tạm thời dưới dạng COP patch để giảm thiểu nguy cơ khai thác.

Trong trường hợp chưa thể cập nhật ngay, Cisco khuyến nghị vô hiệu hóa dịch vụ WebDialer bằng cách:
Tools → Service Activation → bỏ chọn WebDialer → Save​
Nhấn để mở rộng...

Lỗ hổng lần này tiếp tục cho thấy Unified CM đang trở thành mục tiêu hấp dẫn đối với giới tấn công mạng. Trước đó, Cisco từng phải xử lý hàng loạt vấn đề nghiêm trọng liên quan tới nền tảng này. Tháng 7/2025, hãng vá một tài khoản SSH root hard-code tồn tại từ giai đoạn phát triển (CVE-2025-20309, CVSS 10/10). Đầu năm 2026, một lỗ hổng RCE khác trên các sản phẩm thoại Cisco cũng đã bị khai thác thực tế trước khi được vá.

Giới chuyên gia cảnh báo các hệ thống Unified CM thường nằm sâu trong hạ tầng liên lạc nội bộ doanh nghiệp, kết nối trực tiếp với hệ thống thoại, họp trực tuyến, tổng đài IP và nhiều thành phần xác thực nội bộ. Nếu bị chiếm quyền root, tin tặc có thể:​
  • Theo dõi hoặc can thiệp lưu lượng liên lạc nội bộ​
  • Cài mã độc hoặc backdoor duy trì truy cập lâu dài​
  • Đánh cắp dữ liệu xác thực và thông tin người dùng​
  • Mở rộng tấn công sang các hệ thống khác trong mạng doanh nghiệp​
  • Làm gián đoạn hoạt động liên lạc và vận hành nội bộ​
Các chuyên gia an ninh mạng khuyến nghị doanh nghiệp cần nhanh chóng rà soát các hệ thống Unified CM đang hoạt động, kiểm tra trạng thái WebDialer, cập nhật bản vá mới nhất và giám sát log hệ thống để phát hiện dấu hiệu truy cập bất thường.

Trong bối cảnh mã khai thác đã xuất hiện công khai, nguy cơ các nhóm tấn công nhanh chóng “vũ khí hóa” lỗ hổng này là hoàn toàn có thể xảy ra. Với những hệ thống chưa cập nhật hoặc vẫn bật WebDialer, khoảng thời gian từ lúc công bố lỗi tới khi bị quét và khai thác trên diện rộng có thể chỉ tính bằng ngày.​
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Lỗ hổng nghiêm trọng CVSS 10.0 đe dọa nền tảng bảo mật đám mây của Cisco
  • Lỗ hổng Cisco SD-WAN bị khai thác, nguy cơ chiếm quyền quản trị toàn hệ thống
  • Cisco vá 2 lỗ hổng nghiêm trọng cho phép chiếm quyền hệ thống từ xa
  • Cisco bị đánh cắp mã nguồn: Lỗ hổng chuỗi cung ứng từ Trivy cho phép tấn công nội bộ
  • Lỗ hổng nghiêm trọng trên Cisco Secure Firewall cho phép chiếm quyền root từ xa
  • Zero-day Cisco bị khai thác: Nguy cơ ransomware xâm nhập hạ tầng doanh nghiệp Việt Nam
    • Thẻ
    cisco critical cve-2025-20309 cve-2026-20230 unified cm
    Bên trên