CISA cảnh báo 3 lỗ hổng bảo mật nghiêm trọng trên Cisco, Chrome và Arista đang bị khai thác

Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) vừa cập nhật danh mục Known Exploited Vulnerabilities (KEV) với ba lỗ hổng bảo mật mới. Động thái này được đưa ra sau khi các chuyên gia xác nhận những lỗ hổng này đang bị tin tặc khai thác tích cực trong thực tế.

Danh sách các lỗ hổng mới

• CVE-2026-20245 (CVSS 7.8): Lỗ hổng liên quan đến việc mã hóa hoặc thoát (escaping) đầu ra không đúng cách trong Cisco Catalyst SD-WAN Manager. Kẻ tấn công có quyền truy cập cục bộ có thể thực thi lệnh tùy ý với quyền root thông qua việc gửi các tệp tin đã được chế tạo đặc biệt.
• CVE-2026-11645 (CVSS 8.8): Lỗ hổng đọc/ghi ngoài phạm vi (out-of-bounds) trong engine V8 của Google Chrome. Lỗ hổng này cho phép kẻ tấn công từ xa thực thi mã tùy ý bên trong sandbox thông qua các trang HTML độc hại.
• CVE-2026-7473 (CVSS 6.9): Lỗ hổng so sánh không hoàn chỉnh trong hệ điều hành Arista (EOS), cho phép xử lý lưu lượng tunnel không được cấu hình.

Trường hợp đặc biệt với Arista EOS

Đáng chú ý, Arista thông báo rằng họ không có kế hoạch phát hành bản vá cho CVE-2026-7473 vì lo ngại các thay đổi có thể gây ảnh hưởng đến cấu hình hệ thống hiện tại. Thay vào đó, hãng khuyến nghị người dùng áp dụng các biện pháp giảm thiểu (mitigation) bằng cách thiết lập danh sách kiểm soát truy cập (ACL) trên các thiết bị thượng nguồn hoặc trực tiếp trên thiết bị bị ảnh hưởng để chặn hoặc cho phép lưu lượng tunnel một cách chọn lọc.

Lỗ hổng này chủ yếu ảnh hưởng đến các dòng sản phẩm 7020R, 7280R/R2 và 7500R/R2 khi được cấu hình làm điểm cuối tunnel (tunnel endpoint) như VXLAN, GRE hoặc IP decap-group.

Yêu cầu từ CISA

Theo chỉ thị của CISA, các cơ quan thuộc nhánh hành pháp dân sự liên bang (FCEB) bắt buộc phải áp dụng các bản vá hoặc biện pháp khắc phục cần thiết cho cả ba lỗ hổng nêu trên trước ngày 23 tháng 6 năm 2026 để đảm bảo an toàn cho hệ thống mạng.

Nguồn tham khảo: The Hacker News