Các chuyên gia nghiên cứu về bảo mật vừa công bố chi tiết kỹ thuật tấn công chiếm quyền điều khiển hệ thống Cisco ISE thông qua lỗ hổng bảo mật CVE-2025-20281, một lỗi nghiêm trọng cho phép kẻ tấn công từ xa thực thi lệnh với quyền root.
1753771954826.png
Lỗ hổng CVE-2025-20281 nằm trong hệ thống Cisco Identity Services Engine (ISE), một nền tảng quản lý truy cập mạng được sử dụng rộng rãi trong doanh nghiệp. Mặc dù lỗ hổng này đã được Cisco cảnh báo từ cuối tháng 6 và bản vá cũng đã được phát hành, nhưng chi tiết cách khai thác lại chính là “hồi chuông cảnh báo” cho những hệ thống chưa kịp cập nhật.

Phát hiện tồn tại hai lỗ hổng bảo mật liên quan đến nhau:​

  • CVE-2025-20281: Lỗi command injection cho phép kẻ tấn công gửi dữ liệu đặc biệt, từ đó thực thi lệnh hệ thống.​
  • CVE-2025-20337: Lỗi unsafe deserialization, khiến phần mềm xử lý dữ liệu không an toàn, mở đường cho mã độc xâm nhập.​
Điểm đặc biệt nguy hiểm là không cần tài khoản hay xác thực gì cả, hacker chỉ cần truy cập được vào hệ thống là có thể tải lên file độc hại và thực thi với quyền root (cấp độ quyền cao nhất).

Trong bài công bố quy trình tấn công, các chuyên gia đã mô tả một chuỗi tấn công hoàn chỉnh:​

  1. Gửi một payload Java đã serialize để lợi dụng lỗi deserialization.​
  2. Kích hoạt lệnh thông qua hàm Runtime.exec() của Java.​
  3. Dùng ${IFS} (ký tự đặc biệt thay cho khoảng trắng) để vượt qua lỗi định dạng đối số khi chạy lệnh.​
  4. Từ đó chiếm được quyền root trong container Docker đang chạy Cisco ISE.​
  5. Sau đó sử dụng một kỹ thuật trốn thoát phổ biến dựa trên cgroups và release_agent để thoát khỏi Docker và chiếm quyền root trên hệ thống máy chủ vật lý.​
Dù bài viết không cung cấp script khai thác sẵn có, nhưng tất cả kỹ thuật và payload đã đủ để các hacker có kỹ năng tự xây dựng lại công cụ tấn công.

Cisco đã xác nhận cả hai lỗ hổng đang bị khai thác ngoài thực tế. Chúng ảnh hưởng đến các phiên bản ISE 3.3 và 3.4 (cả ISE-PIC). Từ hệ thống mạng doanh nghiệp, tổ chức chính phủ cho đến nhà cung cấp dịch vụ, tất cả đều có nguy cơ nếu chưa cập nhật.

Với lỗ hổng CVE-2025-20281 trong Cisco ISE, hacker không cần phải gửi email lừa đảo, không cần tài khoản đăng nhập, không cần tương tác người dùng. Đây là một lỗ hổng trên dịch vụ mạng (network service) mà hacker có thể gửi dữ liệu trực tiếp từ xa đến hệ thống đang mở cổng dịch vụ ISE.

Khi một hệ thống Cisco ISE dính lỗ hổng và chưa được cập nhật bản vá, hacker có thể thực hiện cuộc tấn công theo trình tự như sau:

Bước 1: Gửi dữ liệu “bẫy” vào hệ thống

  • Kẻ tấn công gửi một đoạn dữ liệu đặc biệt (gọi là payload) đến hệ thống Cisco ISE. Dữ liệu này được “đóng gói” theo cách mà hệ thống sẽ xử lý nhầm là hợp lệ.​
  • Tưởng là dữ liệu hợp pháp, hệ thống lại tự mở ra và thực thi (đây chính là lỗi deserialization và injection).​
Bước 2: Thực thi lệnh độc hại với quyền cao nhất (root)
  • Thông qua đoạn dữ liệu đó, hacker chèn được các lệnh hệ thống vào máy chủ chạy ISE và các lệnh này được chạy với quyền root (tức là quyền cao nhất trong hệ thống)).​
  • Với quyền root, hacker có thể làm mọi thứ, như: Cài phần mềm, chỉnh file hệ thống, thêm tài khoản ngầm…​
Bước 3: Thoát khỏi Docker, xâm nhập sâu hơn
Cisco ISE thường chạy bên trong một môi trường bảo vệ gọi là Docker container. Nhưng hacker không dừng lại ở đó. Họ sử dụng một kỹ thuật nâng cao để thoát khỏi Docker và chạm tới hệ thống chính (host machine) đang điều khiển toàn bộ máy chủ.

Bước 4: Chiếm quyền và kiểm soát cả mạng nội bộ

  • Sau khi thoát ra khỏi lớp bảo vệ, hacker có thể:​
  • Cài các phần mềm gián điệp hoặc mã độc theo ý muốn.​
  • Lấy thông tin đăng nhập của nhân viên, hệ thống và thiết bị.​
  • Theo dõi hoặc ghi lại hoạt động mạng, giả mạo người dùng.​
  • Mở rộng tấn công sang các hệ thống khác trong cùng mạng nội bộ (lateral movement).​
Nói cách khác, từ một lỗi nhỏ trong cách xử lý dữ liệu, hacker có thể “luồn lách” vào sâu trong hệ thống, vượt qua các lớp bảo vệ và cuối cùng nắm quyền điều khiển toàn bộ hạ tầng mạng giống như một quản trị viên thật sự.

Hiện không có cách khắc phục tạm thời (workaround). Giải pháp duy nhất là cập nhật lên các bản vá mới nhất:​

  • ISE 3.3 → Cập nhật lên Patch 7​
  • ISE 3.4 → Cập nhật lên Patch 2​
Ngoài ra, quản trị viên hệ thống nên:​
  • Kiểm tra các truy cập bất thường trong nhật ký hệ thống.​
  • Giám sát hoạt động của container Docker và tiến trình có quyền cao.​
  • Hạn chế truy cập đến ISE từ bên ngoài nếu không thực sự cần thiết.​
Lỗ hổng CVE-2025-20281 trong Cisco ISE là một ví dụ điển hình về cách hacker có thể khai thác các điểm yếu trong hệ thống mạng doanh nghiệp để chiếm quyền kiểm soát hoàn toàn. Việc một nhà nghiên cứu công khai chi tiết kỹ thuật tấn công càng khiến nguy cơ bị khai thác lan rộng.

Đừng đợi đến khi sự cố xảy ra. Hãy kiểm tra hệ thống Cisco ISE của bạn ngay và áp dụng bản vá càng sớm càng tốt. Trong thế giới mạng, chậm một nhịp là sec phải trả giá bằng toàn bộ hệ thống.​

Theo Bleeping Computer