Cisco cho biết tin tặc đã lợi dụng một lỗ hổng nghiêm trọng để xâm nhập vào mạng lưới của các khách hàng lớn kể từ năm 2023.

Cisco Systems mới đây xác nhận một lỗ hổng bảo mật nghiêm trọng (zero-day) trong sản phẩm Cisco Catalyst SD-WAN đã bị tin tặc lợi dụng trong gần ba năm, cho phép kẻ xấu xâm nhập và truy cập vào mạng của các tổ chức lớn nếu chưa được vá. Vụ việc khiến các cơ quan an ninh mạng ở Mỹ, Anh, Australia và nhiều quốc gia khác khuyến cáo doanh nghiệp cập nhật bản vá ngay lập tức.

Lỗ hổng SD-WAN nghiêm trọng và cách bị khai thác

Lỗ hổng được theo dõi với mã CVE-2026-20127 có mức điểm CVSS 10/10 – mức nghiêm trọng nhất – ảnh hưởng tới hai thành phần chính của Cisco Catalyst SD-WAN gồm SD-WAN Controller và SD-WAN Manager. Nếu bị khai thác, kẻ tấn công có thể bypass (vượt qua) cơ chế xác thực và chiếm quyền truy cập vào hệ thống với quyền quản trị cao, tiếp đó có thể thao túng cấu hình mạng nội bộ và duy trì truy cập lâu dài.

Cisco và các cơ quan an ninh quốc tế cho rằng hoạt động khai thác lỗ hổng này đã diễn ra từ năm 2023, giúp tin tặc có “chân trong” trong các hệ thống mạng doanh nghiệp quy mô lớn, tiềm ẩn nguy cơ gián điệp, đánh cắp dữ liệu hoặc phá hoại hệ thống.

Khuyến cáo của cơ quan an ninh

Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) đã đưa CVE-2026-20127 vào danh mục “lỗ hổng bị khai thác thực tế” và yêu cầu các tổ chức liên bang vá xong ngay trong vài ngày, kèm hướng dẫn kiểm tra dấu hiệu xâm nhập và cập nhật phần mềm. Các chuyên gia bảo mật cũng khuyến nghị doanh nghiệp:

• Cài đặt bản vá khẩn cấp do Cisco phát hành

• Kiểm tra nhật ký và kết nối lạ trong SD-WAN

• Giới hạn truy cập từ Internet đối với giao diện quản lý

• Thực hiện kiểm tra an ninh thường xuyên để phát hiện truy cập trái phép.

Nhóm nghiên cứu bảo mật Cisco Talos xác định một tác nhân đe dọa tiềm năng gọi là UAT-8616 đã sử dụng lỗ hổng này trong các chiến dịch kéo dài.

Tác động rộng và mức độ rủi ro

SD-WAN là một thành phần quan trọng với nhiều doanh nghiệp lớn dùng để kết nối các mạng nội bộ trên quy mô rộng. Việc lỗ hổng bị khai thác trong thời gian dài làm tăng rủi ro cho các tổ chức thuộc các lĩnh vực chính phủ, viễn thông, tài chính hay cơ sở hạ tầng trọng yếu, nếu truy cập trái phép không bị phát hiện sớm.

Các chuyên gia cảnh báo rằng nếu không vá sớm, hệ thống SD-WAN có thể bị “xâm nhập sâu trước khi phát hiện”, khiến việc khôi phục an ninh trở nên phức tạp và tốn kém hơn.

Kết luận

Cisco vừa phát hành cảnh báo về một lỗ hổng zero-day cực kỳ nghiêm trọng trong các sản phẩm SD-WAN của mình, đã bị tin tặc lợi dụng từ 2023 để đột nhập mạng doanh nghiệp. Việc cập nhật bản vá và theo dõi hoạt động bất thường ngay lập tức là điều cấp thiết để giảm thiểu rủi ro an ninh mạng đối với các tổ chức sử dụng hệ thống SD-WAN này.