PoC CVE-2026-20127 bị phát tán, Cisco SD-WAN đối mặt nguy cơ bị kiểm soát từ xa

[WhiteHat Team]

Cộng đồng an ninh mạng toàn cầu đang đặt trong tình trạng báo động cao nhất trước sự xuất hiện của lỗ hổng CVE-2026-20127 trên nền tảng Cisco Catalyst SD-WAN. Với mức điểm tuyệt đối 10.0 CVSS, đây không chỉ là một lỗ hổng thông thường mà còn là "chiếc chìa khóa vạn năng" cho phép kẻ tấn công từ xa vượt qua hoàn toàn cơ chế xác thực. Một khi xâm nhập thành công vào hệ thống quản trị, tin tặc có thể giành quyền kiểm soát toàn diện hạ tầng mạng của tổ chức, từ việc điều phối lưu lượng đến chiếm đoạt dữ liệu nhạy cảm.
​

Sức nóng của vụ việc vừa bị đẩy lên đỉnh điểm khi ZeroZenX Labs chính thức công bố mã khai thác (PoC) hoạt động hoàn chỉnh trên internet. Việc công khai mã nguồn này đã phá bỏ rào cản kỹ thuật cuối cùng, biến một cuộc tấn công tinh vi thành một công cụ mà ngay cả những nhóm tin tặc thiếu kỹ thuật cũng có thể sử dụng dễ dàng. Nguy cơ về một làn sóng tấn công "sao chép" quy mô lớn đang hiện hữu hơn bao giờ hết, trực tiếp đe dọa các doanh nghiệp chưa kịp thực hiện các bản vá khẩn cấp.

CVE-2026-20127 ảnh hưởng trực tiếp đến các thành phần điều khiển và quản trị cốt lõi của nền tảng Cisco Catalyst SD-WAN, bao gồm Controller (trước đây gọi là vSmart) và Manager (vManage). Lỗ hổng bắt nguồn từ cơ chế xác thực giữa các thành phần trong mạng SD-WAN hoạt động không đúng cách. Bằng cách gửi các yêu cầu được chế tạo đặc biệt, kẻ tấn công có thể vượt qua quá trình kiểm tra tin cậy và xuất hiện trong hệ thống như một thành phần hợp lệ.

Mặc dù chỉ mới được công bố gần đây, dữ liệu điều tra từ Cisco Talos cho thấy lỗ hổng CVE-2026-20127 đã bị khai thác trong thực tế từ ít nhất năm 2023. Chiến dịch này được cho là do một nhóm tấn công tinh vi được theo dõi với mã định danh UAT-8616 thực hiện, với mục tiêu duy trì quyền truy cập lâu dài vào hệ thống mà không bị phát hiện.

Trong kịch bản tấn công được ghi nhận, tin tặc trước tiên lợi dụng lỗ hổng bỏ qua xác thực để đăng nhập vào hệ thống với quyền của một người dùng nội bộ có đặc quyền cao. Sau khi có quyền truy cập ban đầu, chúng đưa một “rogue peer” vào fabric SD-WAN, khiến thành phần này xuất hiện như một thành phần hợp lệ trong hệ thống và được các thiết bị khác tin tưởng. Bước tiếp theo, kẻ tấn công hạ cấp phần mềm xuống phiên bản cũ chứa lỗ hổng leo thang đặc quyền CVE-2022-20775 nhằm giành quyền root trên hệ thống.

Sau khi giành quyền kiểm soát hoàn toàn và thiết lập cơ chế duy trì truy cập, kẻ tấn công khôi phục hệ thống về phiên bản phần mềm ban đầu, đồng thời xóa các nhật ký xác thực và nhật ký hệ thống để che giấu dấu vết. Cách thức này cho phép chúng duy trì sự hiện diện trong mạng mục tiêu suốt thời gian dài mà gần như không bị phát hiện.

Trước mức độ nghiêm trọng của lỗ hổng CVE-2026-20127, các cơ quan an ninh mạng đã ban hành cảnh báo khẩn, yêu cầu nhanh chóng kiểm kê các hệ thống Cisco Catalyst SD-WAN bị ảnh hưởng, tiến hành hoạt động săn tìm dấu hiệu xâm nhập và triển khai bản vá càng sớm càng tốt. Theo Cisco, hiện không có biện pháp giảm thiểu tạm thời cho lỗ hổng này. Cách duy nhất để khắc phục triệt để là nâng cấp hệ thống lên các phiên bản đã được vá gồm 20.9.8.2, 20.12.5.3, 20.12.6.1, 20.15.4.2 hoặc 20.18.2.1.

Bên cạnh việc vá lỗ hổng CVE-2026-20127, các chuyên gia cũng khuyến cáo các quản trị viên cần chuẩn bị dữ liệu phục vụ điều tra trước khi tiến hành cập nhật, nhằm tránh làm mất các dấu vết xâm nhập tiềm ẩn trong hệ thống. Cụ thể:​

• Tạo snapshot hoặc bản sao lưu trạng thái hệ thống trước khi nâng cấp.​
• Thu thập log và lưu trữ bên ngoài để tránh bị ghi đè trong quá trình cập nhật.​
• Đặc biệt lưu ý các tệp nhật ký quan trọng như /var/log/auth.log và /var/log/vmanage-admin.​

Theo các chuyên gia, bước chuẩn bị này đóng vai trò quan trọng trong quá trình điều tra pháp y số nếu hệ thống đã bị khai thác trước đó, bởi quá trình vá lỗi có thể vô tình xóa hoặc ghi đè những bằng chứng quan trọng.​

Theo Security Online​