Cisco xác nhận khai thác tích cực hai lỗ hổng trong Catalyst SD-WAN Manager

Cisco đã tiết lộ rằng hai lỗ hổng khác ảnh hưởng đến Catalyst SD-WAN Manager (trước đây là SD-WAN vManage) đang bị khai thác tích cực trong thực tế. Các lỗ hổng được đề cập dưới đây:

CVE-2026-20122 (CVSS score: 7.1) - Một lỗ hổng ghi đè tệp tùy ý có thể cho phép kẻ tấn công từ xa, đã xác thực ghi đè các tệp tùy ý trên hệ thống tệp cục bộ.
Lỗ hổng SD-WAN Manager của Cisco
Lỗ hổng SD-WAN Manager của Cisco

Cisco đã tiết lộ rằng hai lỗ hổng khác ảnh hưởng đến Catalyst SD-WAN Manager (trước đây là SD-WAN vManage) đang bị khai thác tích cực trong thực tế.

Các lỗ hổng đang được đề cập được liệt kê dưới đây:

  • CVE-2026-20122 (CVSS score: 7.1) - Một lỗ hổng ghi đè tệp tùy ý có thể cho phép kẻ tấn công từ xa, đã xác thực ghi đè các tệp tùy ý trên hệ thống tệp cục bộ. Khai thác thành công yêu cầu kẻ tấn công phải có thông tin xác thực chỉ đọc hợp lệ với quyền truy cập API trên hệ thống bị ảnh hưởng.
  • CVE-2026-20128 (CVSS score: 5.5) - Một lỗ hổng tiết lộ thông tin có thể cho phép kẻ tấn công cục bộ, đã xác thực giành được đặc quyền người dùng Data Collection Agent (DCA) trên hệ thống bị ảnh hưởng. Khai thác thành công yêu cầu kẻ tấn công phải có thông tin xác thực vManage hợp lệ trên hệ thống bị ảnh hưởng.

Các bản vá lỗi bảo mật, cùng với CVE-2026-20126, CVE-2026-20129 và CVE-2026-20133, đã được Cisco phát hành vào cuối tháng trước trong các phiên bản sau:

  • Các phiên bản trước 20.91 - Di chuyển sang bản phát hành đã sửa lỗi.
  • Phiên bản 20.9 - Đã vá trong 20.9.8.2
  • Phiên bản 20.11 - Đã vá trong 20.12.6.1
  • Phiên bản 20.12 - Đã vá trong 20.12.5.3 và 20.12.6.1
  • Phiên bản 20.13 - Đã vá trong 20.15.4.2
  • Phiên bản 20.14 - Đã vá trong 20.15.4.2
  • Phiên bản 20.15 - Đã vá trong 20.15.4.2
  • Phiên bản 20.16 - Đã vá trong 20.18.2.1
  • Phiên bản 20.18 - Đã vá trong 20.18.2.1

"Vào tháng 3 năm 2026, Cisco PSIRT đã biết về việc khai thác tích cực các lỗ hổng được mô tả trong CVE-2026-20128 và CVE-2026-20122," hãng sản xuất thiết bị mạng này cho biết. Công ty không cung cấp chi tiết về quy mô hoạt động và danh tính của những kẻ đứng đằng sau.

Trước tình hình khai thác tích cực, người dùng được khuyến nghị cập nhật lên bản phát hành phần mềm đã vá càng sớm càng tốt, đồng thời thực hiện các bước để hạn chế truy cập từ các mạng không an toàn, bảo vệ thiết bị bằng tường lửa, tắt HTTP cho cổng quản trị web UI của Catalyst SD-WAN Manager, tắt các dịch vụ mạng như HTTP và FTP nếu không cần thiết, thay đổi mật khẩu quản trị mặc định và giám sát lưu lượng log để phát hiện bất kỳ lưu lượng truy cập bất thường nào đến và đi từ các hệ thống.

Tiết lộ này được đưa ra một tuần sau khi công ty cho biết một lỗ hổng bảo mật nghiêm trọng trong Cisco Catalyst SD-WAN Controller và Catalyst SD-WAN Manager (CVE-2026-20127, CVSS score: 10.0) đã bị một tác nhân đe dọa mạng tinh vi được theo dõi dưới tên UAT-8616 khai thác để thiết lập các điểm truy cập bền bỉ vào các tổ chức có giá trị cao.

Tuần này, Cisco cũng đã phát hành các bản cập nhật để giải quyết hai lỗ hổng bảo mật nghiêm trọng nhất trong Secure Firewall Management Center (CVE-2026-20079CVE-2026-20131, CVSS scores: 10.0) có thể cho phép kẻ tấn công từ xa, chưa được xác thực bỏ qua xác thực và thực thi mã Java tùy ý với quyền root trên thiết bị bị ảnh hưởng.

Thẻ liên quan
#Cisco #SD-WAN Manager #lỗ hổng bảo mật #CVE #khai thác tích cực