Hãy tưởng tượng một ngày bình thường, hệ thống mạng doanh nghiệp của bạn đột nhiên "đơ" hoàn toàn và chỉ có cách duy nhất là tắt nguồn rồi bật lại như máy tính cá nhân thập niên 90. Cisco - gã khổng lồ thiết bị mạng toàn cầu vừa thừa nhận tồn tại lỗ hổng denial-of-service (DoS) nghiêm trọng trên các sản phẩm Crosswork Network Controller và Network Services Orchestrator. Chúng tôi cho rằng đây là một trong những lỗ hổng "tàn khốc" nhất năm 2024 khi nó biến những thiết bị mạng chuyên nghiệp thành "cục gạch" tạm thời.

Khi thiết bị mạng doanh nghiệp trở thành "nạn nhân bất lực"

Lỗ hổng mới được Cisco công bố này tấn công vào hai sản phẩm then chốt trong hệ sinh thái mạng doanh nghiệp. Crosswork Network Controller đóng vai trò "bộ não" điều phối toàn bộ hạ tầng mạng, còn Network Services Orchestrator (NSO) chịu trách nhiệm tự động hóa các dịch vụ mạng phức tạp. Khi hai "trụ cột" này sụp đổ, toàn bộ mạng lưới có thể rơi vào tình trạng hỗn loạn.

Điểm đáng lo ngại nhất mà chúng tôi quan sát được không phải ở mức độ nghiêm trọng của cuộc tấn công, mà ở phương thức phục hồi "thủ công" hoàn toàn. Khác với các lỗ hổng DoS truyền thống có thể tự động khôi phục sau một thời gian, lỗ hổng này buộc quản trị viên phải trực tiếp khởi động lại thiết bị. Trong môi trường doanh nghiệp hiện đại với hàng trăm thiết bị mạng phân tán khắp nơi, việc này trở thành cơn ác mông thực sự.

Giải mã cơ chế tấn công "khóa cứng" hệ thống

Theo phân tích sâu của chúng tôi, lỗ hổng DoS này thuộc dạng "resource exhaustion" - tấn công cạn kiệt tài nguyên hệ thống. Kẻ tấn công có thể gửi các gói tin độc hại được thiết kế đặc biệt để làm quá tải bộ xử lý hoặc bộ nhớ của thiết bị. CVE (Common Vulnerabilities and Exposures - mã định danh lỗ hổng bảo mật quốc tế) chưa được công bố, nhưng mức độ ảnh hưởng đã rõ ràng.

Điều khiến lỗ hổng này trở nên đặc biệt nguy hiểm là khả năng "khóa cứng" hệ thống. Thay vì chỉ làm chậm hoặc gián đoạn dịch vụ, nó khiến thiết bị rơi vào trạng thái "deadlock" - không thể tự phục hồi. Chúng tôi đánh giá đây là dấu hiệu của một lỗi thiết kế sâu trong kiến trúc phần mềm, có thể liên quan đến việc xử lý bộ nhớ hoặc quản lý tiến trình.

Làn sóng tấn công đe dọa doanh nghiệp Việt Nam

Với hơn 15.000 doanh nghiệp Việt Nam sử dụng thiết bị Cisco theo thống kê của Hiệp hội An ninh mạng Quốc gia, lỗ hổng này có thể ảnh hưởng trực tiếp đến hạ tầng số của cả nước. Đặc biệt, các ngân hàng, viễn thông và doanh nghiệp lớn - những đối tượng ưa chuộng giải pháp Crosswork và NSO - đang đối mặt với rủi ro cao nhất.

Chúng tôi lo ngại rằng tin tặc có thể khai thác lỗ hổng này để thực hiện các cuộc tấn công có chủ đích nhằm làm tê liệt hệ thống trong những thời điểm nhạy cảm như cao điểm giao dịch hay sự kiện quan trọng. Với đặc tính phải khởi động lại thủ công, thời gian downtime có thể kéo dài hàng giờ, gây thiệt hại kinh tế nghiêm trọng cho doanh nghiệp.

Lộ trình ứng phó khẩn cấp cho doanh nghiệp

Cisco đã phát hành bản vá bảo mật khẩn cấp cho cả hai sản phẩm bị ảnh hưởng. Chúng tôi khuyến nghị doanh nghiệp thực hiện ngay các bước sau: Đầu tiên, kiểm tra phiên bản hiện tại của Crosswork Network Controller và NSO thông qua giao diện quản trị. Thứ hai, lên lịch bảo trì khẩn cấp để cập nhật bản vá trong khung giờ ít ảnh hưởng nhất. Thứ ba, chuẩn bị kế hoạch dự phòng bao gồm danh sách thiết bị, quy trình khởi động lại và nhân sự trực 24/7.

Đối với những hệ thống không thể ngừng hoạt động để cập nhật ngay lập tức, việc tăng cường giám sát traffic bất thường và triển khai các biện pháp phòng thủ tại perimeter là cần thiết. Chúng tôi cũng đề xuất thiết lập cơ chế cảnh báo sớm khi phát hiện dấu hiệu tấn công DoS và chuẩn bị sẵn đội ngũ kỹ thuật có thể can thiệp vật lý vào thiết bị khi cần thiết.