07/02/2025
CVE-2025-20124 (CVSS 9.9) và CVE-2025-20125 (CVSS 9.1): Lỗ Hổng Nghiêm Trọng trong Cisco ISE Cho Phép Thực Thi Lệnh và Leo Thang Đặc Quyền
Ngày 05/02/2025, Cisco đã phát hành cảnh
báo bảo mật về hai lỗ hổng nghiêm trọng CVE-2025-20124 và CVE-2025-20125 trong Cisco
Identity Services Engine (ISE) . Hai lỗ hổng này có điểm CVSS lần lượt
là 9.9 và 9.1 , cho phép kẻ tấn công có quyền truy cập
read-only admin thực thi lệnh từ xa với quyền root hoặc bypass cơ chế
xác thực, gây rủi ro nghiêm trọng cho hệ thống.
CVE-2025-20124 (CVSS 9.9): Lỗ
hổng do giải tuần tự (deserialization) Java không an toàn , cho phép
kẻ tấn công chèn mã độc vào quá trình xử lý dữ liệu, dẫn đến thực thi lệnh tùy
ý trên hệ thống.
CVE-2025-20125 (CVSS 9.1): Lỗ
hổng do thiếu kiểm tra quyền truy cập trong API , cho phép kẻ tấn
công gửi yêu cầu HTTP độc hại để bypass cơ chế xác thực và thực hiện các thao
tác trái phép như truy xuất thông tin, thay đổi cấu hình hệ thống hoặc
khởi động lại thiết bị .
I. Cách Thức Khai Thác:
1. Kẻ tấn công sử dụng tài khoản admin
read-only để gửi payload Java được tuần tự hóa tới API tồn tại lỗ hổng.
2. Nếu khai thác thành công, hệ thống sẽ
giải mã payload và thực thi mã độc với quyền root.
3. Ngoài ra, kẻ tấn công có thể khai
thác API có lỗ hổng để bypass cơ chế ủy quyền và thực hiện các thao tác trái
phép.
II. Tác Động
-
Các Phiên Bản Bị Ảnh Hưởng:
+
Cisco ISE 3.0 → Cần nâng cấp lên bản vá mới nhất
+
Cisco ISE 3.1 → Đã được vá trong phiên bản 3.1P10
+
Cisco ISE 3.2 → Đã được vá trong phiên bản 3.2P7
+
Cisco ISE 3.3 → Đã được vá trong phiên bản 3.3P4
+
Cisco ISE 3.4 → Không bị ảnh hưởng
-
Nguy Cơ Đối Với Hệ Thống:
+ Thực thi mã từ xa với quyền
root, cho phép kiểm soát toàn bộ hệ thống Cisco ISE.
+ Thay đổi cấu hình hệ thống, xóa
hoặc đánh cắp dữ liệu nhạy cảm.
+ Làm gián đoạn dịch vụ mạng, đặc
biệt trong môi trường single-node, gây mất khả năng xác thực thiết bị mới.
III. Khuyến Nghị
1. Cập Nhật Ngay Lập Tức
2. Hạn chế truy cập API quản trị: Chỉ
cho phép các IP đáng tin cậy truy cập giao diện quản trị Cisco ISE.
3. Bảo vệ tài khoản admin: Thay đổi
mật khẩu admin read-only và sử dụng xác thực đa yếu tố (MFA).
IV.
Tham khảo
CVE-2025-20124 (CVSS 9.9) & CVE-2025-20125 (CVSS 9.1):
Cisco Patches Critical Flaws in Identity Services Engine
Duy An – TTCNTT&TT
Theo Nền tảng điều phối xử lý sự cố an
toàn thông tin mạng quốc gia