Cisco cảnh báo lỗ hổng nghiêm trọng trên Catalyst SD-WAN Manager đang bị khai thác thực tế

Cisco mới đây đã đưa ra cảnh báo khẩn cấp về một lỗ hổng bảo mật có mức độ nghiêm trọng cao, mã định danh CVE-2026-20245, đang bị các đối tượng tấn công khai thác trong thực tế trên dòng sản phẩm Catalyst SD-WAN Manager (trước đây là vManage).

Với điểm CVSS đạt 7.8/10, lỗ hổng này ảnh hưởng đến nhiều mô hình triển khai khác nhau, bao gồm: On-Prem, Cisco SD-WAN Cloud-Pro, Cisco SD-WAN Cloud và Cisco SD-WAN for Government (FedRAMP).

Cơ chế tấn công

Theo thông tin từ Cisco, lỗ hổng nằm trong giao diện dòng lệnh (CLI) của hệ thống. Kẻ tấn công đã xác thực (authenticated) có thể lợi dụng việc xác thực đầu vào không đầy đủ để tải lên các tệp tin tùy chỉnh. Điều này cho phép thực hiện tấn công command injection và leo thang đặc quyền lên quyền root.

Cisco nhấn mạnh rằng để thực hiện được cuộc tấn công này, kẻ xấu cần có đặc quyền netadmin trên hệ thống mục tiêu. Điều này đồng nghĩa với việc kẻ tấn công trước đó phải có thông tin xác thực hợp lệ hoặc đã khai thác thành công các lỗ hổng bypass xác thực trước đó như CVE-2026-20182 hoặc CVE-2026-20127.

Khuyến nghị cho quản trị viên

Hiện tại, Cisco xác nhận chưa có bản vá hoặc biện pháp giảm thiểu (mitigation) trực tiếp cho CVE-2026-20245. Các chuyên gia bảo mật khuyến cáo người dùng:

• Ưu tiên nâng cấp phần mềm SD-WAN lên phiên bản mới nhất để đảm bảo đã áp dụng các bản sửa lỗi cho CVE-2026-20182 (đã phát hành ngày 14/05/2026).
• Kiểm tra các hệ thống đang kết nối trực tiếp với Internet vì đây là nhóm đối tượng có nguy cơ bị tấn công cao nhất.
• Rà soát tệp tin /var/log/scripts.log để tìm kiếm các dấu hiệu bất thường (Indicators of Compromise – IoCs) liên quan đến việc thực thi lệnh trái phép.

Đây là lỗ hổng thứ bảy liên quan đến Cisco SD-WAN bị ghi nhận khai thác thực tế trong năm 2026, cho thấy hạ tầng mạng đang trở thành mục tiêu hàng đầu của các chiến dịch tấn công mạng hiện nay.

Nguồn tham khảo: The Hacker News