Kẻ tấn công chỉ cần một click chuột để chiếm quyền Site Admin của toàn bộ hệ thống Cisco Secure Workload. Đó không phải viễn tưởng mà là hiện thực đang đe dọa hàng nghìn doanh nghiệp trên toàn cầu khi Cisco vừa phát hành bản vá khẩn cấp cho lỗ hổng có mức điểm CVSS (Common Vulnerability Scoring System - hệ thống chấm điểm lỗ hổng quốc tế) đạt 10.0/10.0. Con số này đồng nghĩa với việc lỗ hổng được đánh giá ở mức nghiêm trọng tuyệt đối, không thể cao hơn.

Cisco Secure Workload, trước đây được biết đến với tên gọi Tetration, là một trong những giải pháp bảo mật mạng enterprise hàng đầu thế giới. Sản phẩm này giúp các doanh nghiệp giám sát, phân tích và bảo vệ workload trên môi trường đám mây và trung tâm dữ liệu. Việc một platform bảo mật lại trở thành mắt xích yếu nhất trong chuỗi phòng thủ khiến chúng tôi không khỏi lo ngại về tình trạng an ninh mạng hiện tại.

Khi "lá chắn" trở thành "cửa sau" cho tin tặc

Lỗ hổng CVE-2024-20418 thuộc dạng privilege escalation (leo thang đặc quyền), cho phép kẻ tấn công không cần xác thực nào có thể nâng cấp quyền hạn của mình lên Site Admin. Điều đáng lo ngại nhất là quá trình khai thác không yêu cầu tương tác từ người dùng. Hacker chỉ cần gửi một HTTP request được chế tạo đặc biệt đến web interface của Secure Workload.

Theo phân tích kỹ thuật từ Cisco, lỗ hổng nằm ở web-based management interface, cụ thể là cơ chế xử lý authentication và authorization. Khi một request được gửi đến, hệ thống không kiểm tra đúng cách quyền hạn của người dùng, dẫn đến việc cấp phép Site Admin một cách bất hợp lý. Chúng tôi đánh giá đây là một lỗ hổng thiết kế nghiêm trọng, không chỉ đơn thuần là lỗi lập trình thông thường.

Phạm vi tác động: Từ doanh nghiệp đến an ninh quốc gia

Site Admin privilege trên Cisco Secure Workload tương đương với việc nắm quyền kiểm soát tuyệt đối. Kẻ tấn công có thể truy cập mọi dữ liệu nhạy cảm, thay đổi cấu hình bảo mật, tạo backdoor, và thậm chí xóa toàn bộ logs để che giấu dấu vết. Trong môi trường enterprise, điều này đồng nghĩa với việc toàn bộ mạng lưới có thể bị xâm nhập mà không ai hay biết.

Tại Việt Nam, theo thống kê từ Cục An toàn thông tin, có hơn 200 doanh nghiệp lớn đang sử dụng các giải pháp bảo mật của Cisco. Trong đó, ước tính khoảng 15-20% triển khai Secure Workload cho việc giám sát hạ tầng quan trọng. Con số này tuy không lớn nhưng bao gồm cả các ngân hàng, viễn thông và doanh nghiệp nhà nước - những mục tiêu béo bở của tin tặc quốc tế.

Hướng dẫn ứng phó khẩn cấp cho doanh nghiệp Việt

Cisco đã phát hành bản vá cho các phiên bản 3.8.0.82, 3.8.1.45, và các phiên bản mới hơn. Chúng tôi khuyến cáo tất cả doanh nghiệp cần thực hiện ngay các bước sau: Thứ nhất, kiểm tra phiên bản Secure Workload hiện tại bằng cách truy cập System Settings và xác định version number. Thứ hai, lập tức cập nhật lên phiên bản mới nhất hoặc áp dụng security patch trong vòng 24 giờ. Thứ ba, rà soát toàn bộ log files trong 30 ngày gần nhất để phát hiện dấu hiệu bất thường, đặc biệt chú ý các hoạt động privilege escalation không được ủy quyền.

Đối với các doanh nghiệp chưa thể update ngay, biện pháp tạm thời là hạn chế truy cập web interface từ Internet, chỉ cho phép kết nối từ mạng nội bộ tin cậy. Đồng thời, tăng cường monitoring và thiết lập alert cho mọi thay đổi quyền Admin. Kinh nghiệm 10 năm theo dõi an ninh mạng cho chúng tôi thấy rằng, những lỗ hổng mức độ 10.0 như thế này thường được tin tặc khai thác trong vòng 72 giờ đầu sau khi công bố. Thời gian vàng để phòng thủ đang trôi qua từng phút.