Một lỗ hổng zero-day nghiêm trọng ảnh hưởng đến 2 triệu thiết bị Cisco đã gây ra cuộc thảo luận sôi nổi về việc tiêu chuẩn kỹ thuật của gã khổng lồ mạng này đang suy giảm. Lỗ hổng được theo dõi với mã CVE-2025-20352 cho phép kẻ tấn công làm sập hệ thống hoặc thực thi mã với quyền root thông qua các gói SNMP được chế tạo đặc biệt.
Chi tiết kỹ thuật CVE-2025-20352
- Điểm mức độ nghiêm trọng: 7.7 trên 10
- Hệ thống bị ảnh hưởng: Tất cả các phiên bản được hỗ trợ của Cisco IOS và Cisco IOS XE
- Vector tấn công: Các gói tin SNMP được chế tạo nhắm vào lỗi tràn ngăn xếp
- Thiết bị có nguy cơ: Lên đến 2 triệu thiết bị mạng Cisco
- Yêu cầu xác thực: Chuỗi cộng đồng chỉ đọc (đối với DoS) hoặc quyền cao hơn (đối với RCE)
 |
|---|
| Đại diện cho thương hiệu Cisco , hiện đang phải đối mặt với sự giám sát chặt chẽ do các lỗ hổng bảo mật trong thiết bị của mình |
SNMP: Đứa Con Rắc Rối Dai Dẳng
Lỗ hổng này làm nổi bật các vấn đề đang diễn ra với việc triển khai Simple Network Management Protocol ( SNMP ) trên toàn ngành. Các chuyên gia mạng từ lâu đã xem SNMP là có vấn đề, với một người bình luận rằng nó thường xuyên được giao cho các nhóm kỹ thuật ít kinh nghiệm hơn tại các công ty mạng. Giao thức này, mặc dù hữu ích cho việc giám sát thiết bị, đã trở thành nguồn gây ra những cơn đau đầu về bảo mật và sự cố hệ thống thường xuyên.
SNMP hoạt động bằng cách sử dụng community strings để xác thực, thường được để ở giá trị mặc định hoặc được chia sẻ rộng rãi trong các tổ chức. Đối với cuộc tấn công cụ thể này, kẻ tấn công chỉ cần community strings chỉ đọc để gây ra các cuộc tấn công từ chối dịch vụ, trong khi quyền cao hơn cho phép truy cập root đầy đủ vào các thiết bị bị xâm phạm.
So sánh các phiên bản SNMP
- SNMPv1/v2c: Bảo vệ mật khẩu cơ bản, được sử dụng rộng rãi nhưng không an toàn
- SNMPv3: Bảo mật nâng cao với mã hóa và xác thực
- Thách thức: SNMPv3 yêu cầu quản lý khóa phức tạp và hạ tầng PKI
- Thực tế: Nhiều hệ thống nhúng vẫn sử dụng v2c để đơn giản hóa
Sự Suy Thoái Do Chiến Lược Mua Lại Của Cisco
Lỗ hổng này đã khơi lại sự chỉ trích về chiến lược kinh doanh của Cisco trong hai thập kỷ qua. Các nhà quan sát ngành chỉ ra một mô hình mà công ty mua lại các startup đầy hứa hẹn, sau đó có hệ thống giảm đầu tư vào kỹ thuật và phát triển sản phẩm. Các nhân viên hiện tại và cũ mô tả một chu kỳ mà các công ty được mua lại bị vắt kiệt thông qua việc sa thải các quản lý sản phẩm, nhóm đảm bảo chất lượng và các nhà phát triển.
Mặc dù sản phẩm của chúng tôi gần như dẫn đầu ngành, họ đã sa thải quản lý sản phẩm của chúng tôi, rồi một người khác nữa, nhóm QA, và một nửa số dev. Không có gì ngạc nhiên khi sản phẩm đang tan rã.
Cách tiếp cận này đã biến Cisco từ một công ty tập trung vào kỹ thuật thành thứ mà các nhà phê bình mô tả là một hoạt động kiểu private equity ưu tiên các chỉ số tài chính hơn sự xuất sắc kỹ thuật.
Những Thách Thức Cơ Bản Của Bảo Mật Mạng
Sự cố này phơi bày những vấn đề sâu xa hơn trong bảo mật cơ sở hạ tầng mạng. Nhiều tổ chức vẫn dựa vào các phiên bản SNMP cũ hơn (v1 và v2c) thiếu các biện pháp kiểm soát bảo mật phù hợp, trong khi các tính năng bảo mật nâng cao của SNMPv3 yêu cầu quản lý khóa phức tạp mà các tổ chức nhỏ hơn gặp khó khăn trong việc triển khai.
Tình hình trở nên phức tạp bởi thực tế là hơn 2 triệu thiết bị trên toàn thế giới có SNMP được phơi bày ra internet, mặc dù điều này được coi là một thực hành nguy hiểm. Các quản trị viên mạng phải đối mặt với một lựa chọn khó khăn: vô hiệu hóa hoàn toàn việc giám sát SNMP và mất khả năng hiển thị vào cơ sở hạ tầng của họ, hoặc chấp nhận các rủi ro bảo mật đi kèm với việc giữ nó được kích hoạt.
Lỗ hổng này đóng vai trò như một lời nhắc nhở khác rằng bảo mật cơ sở hạ tầng mạng vẫn là một lĩnh vực có nhiều vấn đề chưa được giải quyết và thiếu sự tập trung của ngành vào các giải pháp cơ bản. Trong khi Cisco đã phát hành các bản vá cho lỗ hổng, các vấn đề cơ bản với cả việc triển khai SNMP và các ưu tiên kỹ thuật của công ty cho thấy các vấn đề tương tự có thể tiếp tục xuất hiện.
Tham khảo: As many as 2 million Cisco devices affected by actively exploited 0-day