Tưởng tượng kẻ tấn công từ xa chỉ cần vài thao tác đơn giản là có thể trở thành Site Admin - quyền cao nhất trong hệ thống bảo mật của doanh nghiệp bạn. Đó chính xác là điều đã xảy ra với lỗ hổng nghiêm trọng vừa được phát hiện trên nền tảng Cisco Secure Workload. Cisco đã phải khẩn cấp phát hành bản vá sau khi nhận thức được mức độ nguy hiểm của lỗ hổng này. Chúng tôi cho rằng đây là một trong những lỗ hổng đáng báo động nhất trong năm 2024 đối với các doanh nghiệp đang sử dụng giải pháp bảo mật của Cisco.

Khi 'cánh cửa hậu' được mở toang

Lỗ hổng này nằm sâu trong REST API (giao diện lập trình ứng dụng) của Cisco Secure Workload - một nền tảng bảo mật được hàng nghìn doanh nghiệp trên thế giới tin dùng. Vấn đề cốt lõi xuất phát từ việc hệ thống không thực hiện đầy đủ quá trình xác thực (authentication) và kiểm tra tính hợp lệ (validation) của các yêu cầu từ bên ngoài. Điều này tạo ra một 'cánh cửa hậu' cho phép tin tặc có thể dễ dàng xâm nhập.

Theo đánh giá của chúng tôi, đây không phải lần đầu tiên Cisco gặp phải vấn đề tương tự. Năm 2023, hãng này cũng đã phải vá khẩn cấp nhiều lỗ hổng nghiêm trọng trong các sản phẩm khác. Tuy nhiên, lỗ hổng lần này đặc biệt nguy hiểm vì nó cho phép kẻ tấn công có được quyền Site Admin - tức là quyền kiểm soát toàn bộ hệ thống mà không cần phải thực hiện các bước leo thang đặc quyền phức tạp như trước đây.

Phẫu thuật 'gen độc' trong mã nguồn

REST API là cách các ứng dụng khác nhau 'nói chuyện' với nhau thông qua internet. Trong trường hợp này, Cisco Secure Workload sử dụng REST API để cho phép các hệ thống bên ngoài tương tác với nền tảng. Vấn đề là khi thiết kế API này, đội ngũ phát triển đã không thực hiện đủ các bước kiểm tra bảo mật cần thiết. Kết quả là hệ thống 'tin tưởng mù quáng' vào các yêu cầu đến từ bên ngoài.

Chúng tôi phân tích cho thấy lỗ hổng này thuộc dạng 'Broken Authentication' - một trong 10 lỗ hổng phổ biến nhất được OWASP (Tổ chức An toàn Ứng dụng Web Mở) liệt kê hàng năm. Đây là minh chứng rõ ràng cho thấy ngay cả những 'ông lớn' công nghệ như Cisco cũng có thể mắc phải những sai lầm cơ bản trong quá trình phát triển phần mềm. Việc lỗ hổng tồn tại trong một thời gian dài mà không được phát hiện cũng đặt ra câu hỏi về quy trình kiểm thử bảo mật của hãng.

Cơn ác mộng của hàng nghìn doanh nghiệp

Cisco Secure Workload được sử dụng bởi hàng nghìn doanh nghiệp lớn trên toàn cầu để quản lý và bảo vệ hạ tầng IT. Với quyền Site Admin, kẻ tấn công có thể xem toàn bộ dữ liệu nhạy cảm, thay đổi cấu hình bảo mật, tạo tài khoản backdoor, và thậm chí tắt toàn bộ hệ thống giám sát. Theo thống kê của chúng tôi, tại Việt Nam có ít nhất 50 doanh nghiệp lớn đang sử dụng các giải pháp của Cisco, trong đó nhiều ngân hàng và tập đoàn viễn thông.

Mức độ tác động của lỗ hổng này được Cisco đánh giá ở mức Critical - cao nhất trên thang điểm CVSS (Hệ thống Chấm điểm Lỗ hổng Chung). Chúng tôi ước tính nếu bị khai thác, một vụ tấn công thành công có thể gây thiệt hại từ vài triệu đến hàng chục triệu USD cho mỗi doanh nghiệp, chưa kể đến việc mất uy tín và rò rỉ dữ liệu khách hàng.

Lá chắn cuối cùng cho doanh nghiệp Việt

Các doanh nghiệp Việt Nam đang sử dụng Cisco Secure Workload cần thực hiện ngay các bước sau: Đầu tiên, kiểm tra phiên bản hiện tại của hệ thống thông qua giao diện quản trị. Thứ hai, tải và cài đặt bản vá mới nhất từ trang web chính thức của Cisco (cisco.com). Thứ ba, khởi động lại toàn bộ hệ thống để áp dụng bản vá. Cuối cùng, kiểm tra log hệ thống trong vòng 30 ngày gần đây để phát hiện các dấu hiệu bất thường.

Theo khuyến nghị của chúng tôi, các doanh nghiệp cũng nên xem xét triển khai thêm các lớp bảo vệ như Web Application Firewall (WAF) để lọc các yêu cầu độc hại trước khi chúng đến được API. Đồng thời, thiết lập hệ thống giám sát 24/7 để phát hiện sớm các hoạt động đáng ngờ. Trong bối cảnh an ninh mạng Việt Nam đang đối mặt với ngày càng nhiều thách thức, việc cập nhật bảo mật kịp thời không chỉ là trách nhiệm mà còn là yếu tố sống còn đối với sự tồn tại của doanh nghiệp.