Cisco phát bản vá khẩn cấp cho lỗ hổng zero-day nghiêm trọng trên SD-WAN

Các quản trị viên hệ thống Cisco đang đối mặt với nhiệm vụ vá lỗi khẩn cấp sau khi "gã khổng lồ" mạng công bố một lỗ hổng mức độ nghiêm trọng tối đa ảnh hưởng đến Catalyst SD-WAN Controller và Manager.

Cisco đã đưa ra cảnh báo về CVE-2026-20182 (được đánh giá 10.0/10) vào thứ Năm, xác nhận rằng cả hai thành phần này (trước đây là vSmart và vManage) đều bị ảnh hưởng trên mọi loại hình triển khai. Bản vá đã được phát hành để khắc phục sự cố này.

Lỗ hổng này cho phép kẻ tấn công từ xa chưa được xác thực có thể vượt qua cơ chế bảo mật và giành quyền quản trị viên trên hệ thống bị ảnh hưởng.

Tác động và cách thức tấn công

Theo Rapid7, nơi các nhà nghiên cứu Stephen Fewer và Jonah Burgess đã phát hiện ra lỗ hổng này, những kẻ tấn công khai thác CVE-2026-20182 có thể gửi các lệnh NETCONF tùy ý.

Điều này có nghĩa là chúng có thể đánh cắp dữ liệu, chặn lưu lượng truy cập, thao túng các quy tắc tường lửa của tổ chức, hoặc đơn giản là làm tê liệt toàn bộ mạng. Cơ hội này mở ra cho mọi loại tội phạm mạng: từ các nhóm được nhà nước bảo trợ, tội phạm tài chính, cho đến các hacker hoạt động vì mục đích chính trị.

Cisco giải thích ở cấp độ cao về lỗ hổng này: "Lỗ hổng này tồn tại do cơ chế xác thực ngang hàng (peering authentication) trong hệ thống bị ảnh hưởng không hoạt động đúng cách. Kẻ tấn công có thể khai thác lỗ hổng này bằng cách gửi các yêu cầu được tạo đặc biệt đến hệ thống bị ảnh hưởng."

Một cuộc tấn công thành công có thể cho phép kẻ tấn công đăng nhập vào Cisco Catalyst SD-WAN Controller dưới dạng tài khoản người dùng nội bộ có quyền cao nhưng không phải là root. Sử dụng tài khoản này, kẻ tấn công có thể truy cập NETCONF, từ đó cho phép thao túng cấu hình mạng cho SD-WAN fabric.

CISA đưa ra hạn chót siết chặt

Cisco xác nhận rằng vào tháng 5 năm 2026, họ nhận thấy CVE-2026-20182 đã bị khai thác dưới dạng zero-day, mặc dù không xác định được nhóm đứng sau. Cơ quan An ninh mạng và An ninh cơ sở hạ tầng Hoa Kỳ (CISA) cũng đã thêm CVE-2026-20182 vào danh mục Các Lỗ hổng Được biết là Đang bị Khai thác (KEV), danh mục này dành riêng cho các lỗi bảo mật vừa đang bị khai thác tích cực vừa đe dọa các cơ quan liên bang.

Cơ quan mạng của Mỹ đã cấp cho các cơ quan hành pháp dân sự liên bang chỉ ba ngày để áp dụng các bản vá của Cisco. Mặc dù CISA đã từng đặt ra các thời hạn tương tự ngắn như vậy trước đây, nhưng chúng rất hiếm và thường chỉ dành cho các lỗ hổng được coi là đặc biệt khẩn cấp. Hiện chưa có thông tin về việc lỗ hổng này bị khai thác trong các cuộc tấn công mã độc tống tiền.

Khuyến nghị cho quản trị viên

Trong bản tư vấn, Cisco cho biết hiện không có giải pháp thay thế (workaround) nào và công ty "khuyến nghị mạnh mẽ" việc áp dụng các bản vá sửa lỗi có sẵn.

Bất kỳ quản trị viên nào chịu trách nhiệm cho hệ thống Cisco SD-WAN của tổ chức đều nên kiểm tra kỹ nhật ký hệ thống, theo Cisco, và lưu ý rằng các dấu hiệu bị xâm nhập có thể xuất hiện lẫn lộn trong các nhật ký vận hành trông bình thường.

Cụ thể, họ nên kiểm tra tệp auth.log tại /var/log/auth.log để tìm các mục nhập liên quan đến "Accepted publickey for vmanage-admin" từ các địa chỉ IP không xác định hoặc không được ủy quyền. Sau đó, hãy kiểm tra các địa chỉ IP đó dựa trên các địa chỉ IP Hệ thống được cấu hình được liệt kê trong giao diện web Cisco Catalyst SD-WAN Manager.

Cisco đã cảm ơn các nhà nghiên cứu của Rapid7, những người đã báo cáo lỗ hổng này vào đầu tháng 3 sau khi điều tra một lỗ hổng zero-day bỏ qua xác thực riêng biệt trong Cisco Catalyst SD-WAN Controller (CVE-2026-20127, 10.0) từ tháng 2.