CISA Cảnh Báo Các Lỗ Hổng Cisco, Kentico, Zimbra Đang Bị Tấn Công

Cơ quan An ninh mạng và An ninh cơ sở hạ tầng Hoa Kỳ (CISA) vào thứ Hai vừa qua đã mở rộng danh sách các lỗ hổng đã bị khai thác (Known Exploited Vulnerabilities - KEV) với thêm 8 lỗi mới. Trong số đó, có 3 lỗ hổng được đánh dấu là đang bị khai thác tích cực lần đầu tiên.

CISA KEV

Lỗ hổng Cisco SD-WAN Manager

Một trong những lỗ hổng mới nhất được thêm vào là CVE-2026-20133, một lỗi có mức độ nghiêm trọng cao về lộ thông tin trong Cisco Catalyst SD-WAN Manager. Lỗi này đã được Cisco khắc phục vào tháng 2 năm nay.

Do hạn chế quyền truy cập hệ thống tệp không đủ, kẻ tấn công có thể tận dụng lỗi này để truy cập API của hệ thống bị ảnh hưởng và đọc thông tin trên hệ điều hành cơ bản. Lỗi CVE này được công bố vào tháng 2 cùng với hai lỗi khác trong SD-WAN là CVE-2026-20122 và CVE-2026-20128. Cisco trước đó đã xác nhận hai lỗi sau đang bị khai thác vào tháng 3, và hiện tại CISA đã chính thức đưa cả ba vào danh sách KEV.

Nguy cơ từ Kentico và Zimbra

CISA cũng đưa ra cảnh báo về hai lỗi bảo mật được công bố vào năm ngoái trong Kentico Xperience và Zimbra Collaboration Suite (ZCS). Cả hai lỗi này đều dẫn đến khả năng thực thi mã từ xa (Remote Code Execution - RCE) và đã bị khai thác trong các cuộc tấn công thực tế.

• Kentico Xperience (CVE-2025-2749): Lỗi này được mô tả là vấn đề duyệt đường dẫn (path traversal) và tải lên tệp tùy ý, cho phép kẻ tấn công thực thi nội dung trên máy chủ từ xa. Lỗi tồn tại do Staging Sync Server trong các phiên bản Kentico Xperience 13.0.178 và cũ hơn cho phép tải lên các tệp tùy ý vào các vị trí đường dẫn tương đối. Tuy nhiên, việc khai thác thành công yêu cầu xác thực người dùng.

• Zimbra Collaboration (CVE-2025-48700): Đây là một lỗ hổng XSS (Cross-Site Scripting) trong giao diện người dùng Zimbra Classic. Kẻ tấn công có thể khai thác để thực thi mã JavaScript trong phiên làm việc của người dùng. Lỗi này bắt nguồn từ việc khử độc nội dung HTML không đủ và có thể được kích hoạt khi người dùng mở một tin nhắn được thiết kế đặc biệt trong giao diện Classic.

Các lỗ hổng khác và hạn chót vá lỗi

Ngoài ra, CISA còn bổ sung thêm ba lỗ hổng khác vào danh sách KEV vào thứ Hai:

• CVE-2025-32975: Một lỗi nghiêm trọng trong Quest KACE, được đánh dấu là có khả năng bị khai thác vào tháng trước.
• CVE-2024-27199: Lỗi trong JetBrains TeamCity đã bị khai thác trong hơn hai năm qua.
• CVE-2023-27351: Lỗi trong PaperCut đã bị khai thác kể từ tháng 4 năm 2023.

CISA kêu gọi các cơ quan liên bang áp dụng bản vá cho các lỗ hổng của Cisco và Zimbra trước ngày 23 tháng 4. Các vấn đề còn lại cần được khắc phục trước ngày 4 tháng 5.