CVE‑2026‑20223: Lỗ hổng API không cần xác thực khiến Cisco Secure Workload nhận điểm CVSS 10.0

Điểm nguy hiểm nằm ở chỗ không cần tài khoản hoặc truy cập trước vào hệ thống, làm tăng đáng kể rủi ro tấn công.

Cách lỗ hổng REST API không xác thực bị khai thác

Nguyên nhân cốt lõi của lỗ hổng là thiếu kiểm tra xác thực và kiểm soát quyền khi truy cập các endpoint API nội bộ.

Quy trình tấn công thường diễn ra như sau:

1. Kẻ tấn công xác định một endpoint REST API nội bộ có thể truy cập.
2. Gửi một yêu cầu API được tạo đặc biệt để vượt qua cơ chế xác thực dự kiến.
3. Endpoint không thực thi kiểm soát truy cập đầy đủ nên xử lý yêu cầu như thể đến từ người dùng hợp lệ.
4. Kẻ tấn công từ đó truy cập tài nguyên được bảo vệ hoặc chức năng quản trị.

Sau khi truy cập được, đối tượng tấn công có thể đọc thông tin nhạy cảm hoặc thay đổi cấu hình hệ thống trong nền tảng Secure Workload.

Vì sao lỗ hổng đạt điểm CVSS 10.0

CVE‑2026‑20223 được đánh giá CVSS 10.0 (Critical) — mức độ nghiêm trọng cao nhất trong hệ thống chấm điểm CVSS.

Các yếu tố chính dẫn tới mức điểm này gồm:

• Khai thác qua mạng: kẻ tấn công có thể tấn công từ xa.
• Không cần xác thực: không cần tài khoản hoặc quyền truy cập trước.
• Độ phức tạp thấp: chỉ cần gửi yêu cầu API được tạo phù hợp.
• Tác động cao: có thể truy cập dữ liệu nhạy cảm hoặc thay đổi cấu hình hệ thống.

Một số phân tích cũng chỉ ra rằng lỗ hổng có thể truy cập tài nguyên vượt qua ranh giới tenant, dẫn tới trạng thái CVSS gọi là “scope changed”. Điều này có nghĩa là việc khai thác có thể vượt khỏi phạm vi bảo mật ban đầu của thành phần bị lỗi và ảnh hưởng tới tài nguyên thuộc quyền quản trị khác, làm tăng đáng kể mức độ rủi ro tổng thể.

Phiên bản bị ảnh hưởng và bản vá

Cisco đã phát hành các bản cập nhật phần mềm để khắc phục lỗ hổng trong Cisco Secure Workload Cluster Software.

Các phiên bản đã được vá gồm:

• Cisco Secure Workload 4.0.3.17
• Cisco Secure Workload 3.10.8.3

Các hệ thống chạy phiên bản 3.9 trở xuống được xem là dễ bị tấn công và cần nâng cấp lên phiên bản đã vá. Cisco cũng không công bố biện pháp giảm thiểu tạm thời đáng tin cậy, vì vậy cập nhật phần mềm là giải pháp chính.

Do lỗ hổng có thể bị khai thác từ xa và không cần xác thực, các quản trị viên được khuyến nghị ưu tiên cập nhật càng sớm càng tốt.

Vị trí của lỗ hổng này trong bức tranh bảo mật Cisco năm 2026

CVE‑2026‑20223 xuất hiện trong bối cảnh nhiều cảnh báo bảo mật của Cisco được công bố trong năm 2026, trải rộng trên nhiều sản phẩm hạ tầng doanh nghiệp.

Một số ví dụ đáng chú ý gồm:

• Cisco Prime Infrastructure (CVE‑2026‑20189) – lỗ hổng lộ thông tin do kiểm tra phân quyền chưa đầy đủ.
• Cisco Unity Connection (CVE‑2026‑20034, CVE‑2026‑20035) – có thể dẫn đến thực thi mã từ xa hoặc tấn công SSRF.
• Cisco Identity Services Engine (CVE‑2026‑20193, CVE‑2026‑20195) – cho phép vượt qua cơ chế ủy quyền.
• Cisco Nexus Dashboard (CVE‑2026‑20042) – vấn đề trong REST API có thể làm lộ thông tin cấu hình nhạy cảm.

Những sự cố này phản ánh xu hướng chung: nền tảng hạ tầng doanh nghiệp ngày càng phụ thuộc vào API để quản lý và tự động hóa. Khi các API đó thiếu kiểm tra xác thực hoặc phân quyền đúng cách, chúng có thể mở ra con đường tấn công trực tiếp vào các chức năng có đặc quyền cao.

Điều cần rút ra

CVE‑2026‑20223 là ví dụ điển hình cho rủi ro từ kiểm soát truy cập không đúng cách trên API nội bộ. Trong các nền tảng quản lý hạ tầng lớn hoặc đa tenant, một sai sót nhỏ ở lớp API có thể nhanh chóng trở thành lỗ hổng nghiêm trọng.

Đối với tổ chức đang sử dụng Cisco Secure Workload, các bước quan trọng gồm:

• Kiểm tra các triển khai đang chạy phiên bản bị ảnh hưởng.
• Nâng cấp lên bản vá như 3.10.8.3 hoặc 4.0.3.17.
• Rà soát lại việc phơi bày API và kiểm soát truy cập trong các nền tảng quản trị mạng.

Ngay cả khi API được thiết kế chỉ cho giao tiếp nội bộ, sự cố này cho thấy chúng vẫn phải áp dụng xác thực và kiểm soát quyền nghiêm ngặt ở mọi endpoint.