Cisco vá khẩn lỗ hổng zero-day CVE-2026-20045 đang bị khai thác trong Unified CM và Webex

[Nguyễn Đức Thao]

Cisco vừa phát hành các bản vá bảo mật khẩn cấp để khắc phục lỗ hổng zero-day nghiêm trọng CVE-2026-20045, hiện đang bị tin tặc khai thác tích cực trong thực tế. Lỗ hổng này ảnh hưởng đến nhiều sản phẩm Truyền thông Hợp nhất (Unified Communications Manager – Unified CM) và Webex Calling Dedicated Instance, đe dọa trực tiếp đến an toàn của hệ thống doanh nghiệp.

Theo Cisco, CVE-2026-20045 có điểm CVSS 8.2 và cho phép kẻ tấn công từ xa, không cần xác thực, thực thi lệnh tùy ý trên hệ điều hành của thiết bị bị ảnh hưởng. Nguyên nhân xuất phát từ việc xác thực không đầy đủ dữ liệu đầu vào trong các yêu cầu HTTP gửi tới giao diện quản trị web. Nếu khai thác thành công, kẻ tấn công có thể giành quyền truy cập cấp người dùng, sau đó leo thang đặc quyền lên root, gây rủi ro nghiêm trọng cho hệ thống.

Lỗ hổng zero-day bị khai thác thực tế, nhiều sản phẩm Cisco bị ảnh hưởng​

Cisco xác nhận đã ghi nhận các cuộc tấn công khai thác CVE-2026-20045 ngoài thực tế. Lỗ hổng này ảnh hưởng đến nhiều sản phẩm quan trọng, bao gồm Unified CM, Unified CM Session Management Edition (SME), Unified CM IM & Presence (IM&P), Unity Connection và Webex Calling Dedicated Instance.

Hãng đã phát hành các bản cập nhật và tệp vá dành cho nhiều phiên bản phần mềm khác nhau. Với Unified CM, CM SME, CM IM&P và Webex Calling Dedicated Instance, người dùng được khuyến nghị nâng cấp lên các phiên bản đã được sửa lỗi hoặc áp dụng các tệp vá chính thức do Cisco cung cấp. Đối với Unity Connection, Cisco cũng đưa ra các bản vá tương ứng cho từng nhánh phiên bản. Hiện tại, Cisco cho biết không có biện pháp giảm thiểu tạm thời nào ngoài việc cập nhật phần mềm.

CISA cảnh báo khẩn, yêu cầu vá lỗi trước tháng 2/2026​

Trước mức độ nguy hiểm của lỗ hổng, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã bổ sung CVE-2026-20045 vào danh mục các lỗ hổng đang bị khai thác (Known Exploited Vulnerabilities – KEV). CISA yêu cầu các cơ quan thuộc nhánh hành pháp dân sự liên bang phải hoàn tất việc vá lỗi trước ngày 11/2/2026 nhằm giảm thiểu nguy cơ bị xâm nhập.

Đáng chú ý, sự cố này xảy ra chỉ chưa đầy một tuần sau khi Cisco xử lý một lỗ hổng bảo mật nghiêm trọng khác trong phần mềm AsyncOS của Cisco Secure Email Gateway và Secure Email and Web Manager, cho thấy các sản phẩm hạ tầng quan trọng tiếp tục là mục tiêu hấp dẫn của tin tặc.

Cisco khuyến cáo các tổ chức, doanh nghiệp đang sử dụng Unified CM, Unity Connection hoặc Webex Calling Dedicated Instance cần khẩn trương rà soát hệ thống, áp dụng bản vá phù hợp và theo dõi chặt chẽ các khuyến nghị bảo mật mới để giảm thiểu rủi ro bị tấn công.

Cisco Fixes Actively Exploited Zero-Day CVE-2026-20045 in Unified CM and Webex

Cisco fixes actively exploited CVE-2026-20045 zero-day enabling unauthenticated RCE in Unified CM and Webex; CISA sets Feb 11, 2026 deadline.

thehackernews.com

 

Được phối hợp thực hiện bởi các chuyên gia của Bkav, cộng đồng An ninh mạng Việt Nam WhiteHat và cộng đồng Khoa học công nghệ VnReview