Không có bản vá cho lỗ hổng Arista EOS đang bị khai thác
Hacker đang tích cực khai thác một lỗ hổng zero-day trong hệ điều hành mạng Arista EOS. Nhà sản xuất cho biết sẽ không phát hành bản vá do lo ngại làm hỏng cấu hình hệ thống, thay vào đó yêu cầu người dùng áp dụng ngay các biện pháp giảm thiểu rủi ro.
Hacker đang khai thác một lỗ hổng trong hệ điều hành mạng Arista Extensible Operating System (EOS) dưới dạng zero-day và sẽ không có bản vá được phát hành để khắc phục vấn đề này.
Arista EOS là hệ điều hành mạng mô-đun dựa trên Linux, được thiết kế cho các dòng switch hiệu suất cao của hãng phục vụ môi trường trung tâm dữ liệu (data center), điện toán đám mây và doanh nghiệp.
Lỗ hổng này được theo dõi dưới mã định danh CVE-2026-7473 (điểm CVSS là 6.9). Khiếm khuyết bảo mật xuất hiện do trong một số cấu hình cụ thể, loại giao thức tunnel không được xác thực, dẫn đến việc lưu lượng tunnel không được cấu hình có thể bị xử lý.
Hình ảnh minh họa bảo mật mạng
Lỗi này chỉ có thể được kích hoạt trên các thiết bị chạy Arista EOS đã được cấu hình làm điểm cuối tunnel (tunnel endpoint) với địa chỉ IP giải đóng gói (decapsulation IP), chẳng hạn như decap-groups, giao diện tunnel GRE (Generic Routing Encapsulation) hoặc VXLAN (Virtual Extensible LAN).
Arista giải thích: "Một thiết bị được cấu hình để giải đóng gói một loại tunnel sẽ cũng chấp nhận và giải đóng gói sai các giao thức tunnel khác có cùng địa chỉ IP đích, ngay cả khi các giao thức đó không được cấu hình rõ ràng".
Theo công ty, khiếm khuyết bảo mật này ảnh hưởng đến các dòng sản phẩm 7020R, 7280R/R2 và 7500R/R2. Một số tình huống cụ thể liên quan đến nhóm decap IP-in-IPv6 và GUE IPV6 áp dụng cho các thiết bị dòng 7280R3, 7500R3 và 7800R3.
"Vấn đề này đã được báo cáo là đang bị khai thác trong tự nhiên," Arista lưu ý trong một bản tư vấn vào tháng 5.
Công ty đã cung cấp hướng dẫn giảm thiểu chi tiết, nhưng lưu ý rằng sẽ không có bản vá hoặc hotfix nào được phát hành để giải quyết lỗ hổng này.
"Không có lộ trình nâng cấp phần mềm nào được lên kế hoạch để giải quyết vấn đề này do rủi ro làm hỏng cấu hình hiện có trong các triển khai. Giải pháp được khuyến nghị cho vấn đề này là tuân theo các hướng dẫn giảm thiểu phù hợp," Arista cho biết.
Vào thứ Ba, Cơ quan An ninh mạng và An ninh hạ tầng Hoa Kỳ (CISA) đã thêm CVE-2026-7473 vào Danh sách Lỗ hổng đã bị khai thác (Known Exploited Vulnerabilities - KEV), kêu gọi các cơ quan liên bang giải quyết vấn đề này trong vòng hai tuần.
CISA cũng đã mở rộng danh sách KEV để bao gồm hai lỗi mới được công bố gần đây, một trong Chrome (CVE-2026-11645) và một trong Cisco SD-WAN (CVE-2026-20245), cả hai đều đã bị khai thác trong tự nhiên dưới dạng zero-day.
"Các tổ chức được khuyên áp dụng các biện pháp giảm thiểu do nhà cung cấp cung cấp hoặc ngừng sử dụng các thiết bị dễ bị tổn thương."
