Lỗ hổng nghiêm trọng của Cisco UCCX cho phép kẻ tấn công thực thi với quyền root

Nền tảng Cisco UCCX là giải pháp phần mềm để quản lý tương tác với khách hàng, hỗ trợ tối đa 400 tổng đài viên. Được theo dõi với mã định danh CVE-2025-20354, lỗ hổng bảo mật này được nhà nghiên cứu bảo mật Jahmel Harris phát hiện trong Java Remote Method Invocation (RMI) của Cisco Unified CCX, cho phép kẻ tấn công chưa xác thực thực thi các lệnh tùy ý từ xa với quyền root.

Cisco giải thích: “Lỗ hổng bảo mật này do cơ chế xác thực không phù hợp liên quan đến các tính năng cụ thể của Cisco Unified CCX. Kẻ tấn công có thể khai thác lỗ hổng bằng cách tải một tệp tin được tạo sẵn lên hệ thống bị ảnh hưởng thông qua quy trình Java RMI. Nếu khai thác thành công, tin tặc có thể thực thi các lệnh tùy ý trên hệ điều hành cơ bản và leo thang đặc quyền lên root”.

Trong một diễn biến khác, Cisco cũng đã vá một lỗ hổng bảo mật nghiêm trọng trong ứng dụng Contact Center Express (CCX) Editor của Cisco UCCX, cho phép kẻ tấn công bypass xác thực từ xa, đồng thời tạo và thực thi các tập lệnh tùy ý với quyền quản trị viên.

Tin tặc khai thác lỗ hổng này bằng cách đánh lừa ứng dụng CCX Editor tin rằng quá trình xác thực đã thành công, sau khi chuyển hướng luồng xác thực đến máy chủ độc hại. Quản trị viên hệ thống được khuyến nghị nên nâng cấp phần mềm Cisco UCCX của lên một trong các bản phát hành vá lỗi càng sớm càng tốt.

Mặc dù các lỗ hổng bảo mật ảnh hưởng đến phần mềm Cisco Unified CCX bất kể cấu hình thiết bị nào, Nhóm ứng phó sự cố bảo mật sản phẩm của Cisco (PSIRT) vẫn chưa tìm thấy bằng chứng về mã khai thác công khai hoặc hai lỗ hổng bảo mật quan trọng đã bị khai thác trong thực tế.

Ngày 05/11, gã khổng lồ công nghệ cũng cảnh báo về một lỗ hổng bảo mật nghiêm trọng (CVE-2025-20343) ảnh hưởng đến phần mềm kiểm soát truy cập mạng dựa trên danh tính và thực thi chính sách Cisco Identity Services Engine (ISE). Lỗ hổng này cho phép tác nhân đe dọa gây ra tình trạng từ chối dịch vụ (DoS), khiến các thiết bị chưa được vá khởi động lại đột ngột.

Bốn lỗ hổng bảo mật khác trong các sản phẩm Cisco Contact Center (CVE-2025-20374, CVE-2025-20375, CVE-2025-20376 và CVE-2025-20377) có thể bị kẻ tấn công có đặc quyền cấp cao khai thác để giành quyền root, thực thi các lệnh tùy ý, truy cập thông tin nhạy cảm hoặc tải xuống các tệp tùy ý.

Đầu năm nay, Cisco đã giải quyết lỗ hổng Cisco ISE cho phép kẻ tấn công chạy lệnh với tư cách root trên các thiết bị dễ bị tấn công, nhiều tháng sau khi vá một lỗ hổng ISE khác cho phép leo thang đặc quyền root.

Vào tháng 9/2025, Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) đã ban hành chỉ thị khẩn cấp mới yêu cầu các cơ quan liên bang bảo vệ các thiết bị tường lửa Cisco trước hai lỗ hổng là CVE-2025-20333 và CVE-2025-20362, vốn đã bị khai thác trong các cuộc tấn công zero-day. Vài ngày sau, dịch vụ giám sát mối đe dọa Shadowserver phát hiện hơn 50.000 thiết bị tường lửa Cisco ASA và FTD tiếp xúc với Internet mà không được vá.