Lỗ hổng nghiêm trọng trên Cisco Secure Firewall cho phép chiếm quyền root từ xa

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
128
1.735 bài viết
Lỗ hổng nghiêm trọng trên Cisco Secure Firewall cho phép chiếm quyền root từ xa
WhiteHat Team
Cisco vừa phát hành cảnh báo khẩn cấp về một lỗ hổng nghiêm trọng trong phần mềm quản lý Cisco Secure Firewall Management Center (FMC). Lỗ hổng này cho phép tin tặc thực thi mã từ xa với quyền root mà không cần xác thực, đe dọa trực tiếp toàn bộ hệ thống mạng nếu bị khai thác.
Cisco Secure Firewall.png

Lỗ hổng có mã định danh là CVE‑2026‑20131, đạt CVSS 10.0, xuất phát từ vấn đề phục hồi đối tượng không an toàn (insecure deserialization, CWE‑502) trong giao diện quản lý web của FMC. Đây là một trong những lỗ hổng nghiêm trọng hiếm gặp, đặc biệt nguy hiểm với các triển khai có giao diện quản lý mở ra Internet.

Lỗ hổng nằm ở cách FMC xử lý các đối tượng Java được gửi từ người dùng. Một tin tặc chỉ cần gửi Java object được chế tạo đặc biệt là có thể thực thi mã tùy ý trên thiết bị. Khi khai thác thành công, quyền hệ thống sẽ được nâng lên root, cho phép tin tặc thay đổi toàn bộ cấu hình bảo mật, vô hiệu hóa cảnh báo và duy trì quyền truy cập lâu dài. Từ đó, họ có thể triển khai các cuộc tấn công sâu hơn vào mạng nội bộ mà gần như không bị phát hiện.

CVE‑2026‑20131 được phát hiện trong quá trình kiểm thử nội bộ bởi Keane O’Kelley từ nhóm Cisco Advanced Security Initiatives. Tuy nhiên, tình hình trở nên cấp bách khi PSIRT của Cisco xác nhận đã ghi nhận các nỗ lực khai thác thực tế trong tháng 3/2026, cho thấy những hệ thống FMC có giao diện quản lý mở ra Internet đang đối mặt với nguy cơ cực kỳ nghiêm trọng. Vì khai thác không yêu cầu tương tác người dùng và không cần xác thực, mọi triển khai có thể truy cập trực tiếp từ Internet đều có thể trở thành mục tiêu của tin tặc.

Để giảm rủi ro, Cisco khuyến nghị hạn chế truy cập công khai vào giao diện quản lý FMC. Tuy nhiên, biện pháp này chỉ giảm nguy cơ tạm thời. Việc cập nhật bản vá chính thức vẫn là cách duy nhất để bảo vệ hệ thống trước các nỗ lực khai thác từ tin tặc.

CVE‑2026‑20131 ảnh hưởng đến Cisco Secure FMC và SCC Firewall Management, bất kể cấu hình thiết bị. Các dòng Secure Firewall ASA và Secure Firewall Threat Defense (FTD) được xác nhận không bị ảnh hưởng. Đối với những khách hàng sử dụng dịch vụ đám mây (SaaS), Cisco đã chủ động triển khai bản vá tự động trong các đợt bảo trì định kỳ. Ngược lại, với các hệ thống triển khai on-premises, hiện tại không có biện pháp khắc phục tạm thời. Cách duy nhất để đảm bảo an toàn là cài đặt ngay bản cập nhật phần mềm chính thức từ hãng.

Nếu chưa thể nâng cấp được, các tổ chức cần siết chặt quyền truy cập và đảm bảo giao diện quản lý FMC không kết nối trực tiếp Internet. Để đảm bảo chính xác, người dùng nên sử dụng công cụ Cisco Software Checker để kiểm tra phiên bản đang chạy và tiến hành nâng cấp lên bản an toàn nhất nhằm ngăn chặn mọi rủi ro bị chiếm quyền điều khiển.​

Theo Cyber Security News
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Loạt lỗ hổng nghiêm trọng trên NVIDIA cho phép tấn công RCE và DoS vào hạ tầng AI
  • Lỗ hổng mới của Claude: Chỉ cần vào web độc hại là dính tấn công
  • ClawHub trở thành mục tiêu tấn công nhờ lỗ hổng xếp hạng tải xuống
  • Lỗ hổng nghiêm trọng Spring Cloud Config làm rò rỉ dữ liệu và gây ra SSRF
  • Google phát hành bản cập nhật Chrome khẩn cấp nhằm khắc phục 8 lỗ hổng nguy hiểm
  • Cảnh báo khẩn: Lỗ hổng Craft CMS bị khai thác, nguy cơ chiếm quyền website hàng loạt
    • Thẻ
    cisco secure firewall cve‑2026‑20131
    Bên trên