Cisco công bố khuyến cáo bảo mật 2025: điều gì đáng lo nhất với doanh nghiệp?

[Duy Linh]

Cisco Systems vừa phát hành khuyến cáo bảo mật ưu tiên cao vào ngày 14/8/2025, cảnh báo sáu lỗ hổng trong tính năng Trao đổi khóa Internet phiên bản 2 (IKEv2) trên toàn bộ danh mục sản phẩm mạng và bảo mật. Các lỗ hổng này cho phép kẻ tấn công từ xa chưa xác thực thực hiện tấn công từ chối dịch vụ (DoS), có thể gây ra sự cố hệ thống và gián đoạn dịch vụ.

Những lỗ hổng được định danh CVE-2025-20224, CVE-2025-20225, CVE-2025-20239, CVE-2025-20252, CVE-2025-20253 và CVE-2025-20254, đều xuất phát từ việc xử lý không đúng các gói IKEv2 trong phần mềm Cisco. Đặc biệt, CVE-2025-20253 được đánh giá với điểm CVSS 8,6, mức độ nghiêm trọng cao, có khả năng gây tác động lớn đến hệ thống.

Các tác động tiềm ẩn gồm:

• Phương pháp tấn công: Kẻ xấu gửi gói tin đặc biệt khai thác IKEv2.
• Cạn kiệt tài nguyên: Tấn công thành công gây vòng lặp vô hạn làm hao kiệt tài nguyên hệ thống.
• Sự cố bộ nhớ: Rò rỉ bộ nhớ khiến hệ thống mất ổn định.
• Ảnh hưởng đến IOS/IOS XE: Thiết bị có thể bị buộc khởi động lại ngay.
• Ảnh hưởng đến ASA/FTD: Cạn kiệt bộ nhớ một phần, ngăn thiết lập phiên VPN mới, cần khởi động thủ công để khôi phục.

Các lỗ hổng này đặc biệt nguy hiểm vì không yêu cầu xác thực và có thể khai thác từ xa. Cisco xác nhận chưa ghi nhận tấn công công khai, nhưng chi tiết kỹ thuật trong khuyến cáo có thể bị kẻ xấu lợi dụng.

Nhiều sản phẩm bị ảnh hưởng, bản vá là giải pháp duy nhất​

Những lỗ hổng này ảnh hưởng đến nhiều sản phẩm của Cisco, gồm IOS, IOS XE, Secure Firewall Adaptive Security Appliance (ASA) và Secure Firewall Threat Defense (FTD). Tùy từng CVE, phạm vi ảnh hưởng có thể khác nhau, một số ảnh hưởng toàn bộ, một số chỉ giới hạn ở ASA và FTD.

Cisco cung cấp phương pháp kiểm tra:

• Với IOS/IOS XE: sử dụng lệnh show udp | include 500 để kiểm tra IKE, tiếp theo show crypto map để xác định việc dùng IKEv2.
• Với ASA/FTD: dùng show running-config crypto ikev2 | include enable để kiểm tra IKEv2 trên giao diện.

Các sản phẩm không bị ảnh hưởng gồm: IOS XR, Meraki, NX-OS và phần mềm Firepower Management Center (FMC).

Cisco đã phát hành bản vá toàn diện thông qua kênh hỗ trợ tiêu chuẩn cho khách hàng có hợp đồng dịch vụ. Công ty nhấn mạnh không có giải pháp thay thế, cập nhật phần mềm là biện pháp duy nhất để giảm thiểu rủi ro. Công cụ Kiểm tra phần mềm cũng được cung cấp để hỗ trợ khách hàng xác định phiên bản dễ bị tấn công và lộ trình nâng cấp.

Khách hàng không có hợp đồng dịch vụ vẫn có thể nhận bản vá miễn phí khi liên hệ Trung tâm hỗ trợ kỹ thuật của Cisco và cung cấp bằng chứng khuyến cáo bảo mật.

Đọc chi tiết tại đây: https://gbhackers.com/cisco-ios-ios-xe-and-secure-firewall-flaws/

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview