CVE-2025-20156: Lỗ hổng leo thang đặc quyền nghiệm trọng trong REST API của Cisco Meeting Management

Thông tin chi tiết

• Mã CVE: CVE-2025-20156.

• Điểm CVSS: 9.9 (Nghiêm trọng).

• Nhà sản xuất: Cisco.

• Sản phẩm bị ảnh hưởng: Cisco Meeting Management REST API.

• Ngày công bố: 22/01/2025.

• Mô tả: Lỗ hổng cho phép kẻ tấn công từ xa, đã xác thực với quyền hạn thấp, nâng cấp quyền lên quản trị viên trên thiết bị bị ảnh hưởng.

Tổng quan

Vào ngày 22/01/2025, Cisco đã phát hành các bản cập nhật phần mềm để khắc phục lỗ hổng leo thang đặc quyền nghiêm trọng trong Cisco Meeting Management, được theo dõi với mã CVE-2025-20156. Lỗ hổng này có điểm CVSS là 9.9 trên 10, cho phép kẻ tấn công thực hiện các hành vi từ xa với quyền hạn thấp sau đó leo thang đặc quyền lên quản trị viên của các thiết bị bị ảnh hưởng.

Kẻ tấn công có thể khai thác lỗ hổng này bằng cách gửi các yêu cầu API đến một điểm cuối cụ thể. Khi một khai thác thành công có thể cho phép kẻ tấn công có được sự kiểm soát cấp quản trị viên đối với việc quản lý cuộc họp của Cisco.

Nguyên nhân của lỗ hổng

• Cisco Meeting Management không thực hiện kiểm tra ủy quyền đầy đủ khi người dùng gửi yêu cầu thông qua REST API.

• Một endpoint REST API cụ thể cho phép người dùng có quyền hạn thấp gửi các yêu cầu để truy cập hoặc chỉnh sửa tài nguyên mà đáng lẽ chỉ quản trị viên mới có quyền.

Các phiên bản bị ảnh hưởng

• Cisco Meeting Management phiên bản 3.9

• Cisco Meeting Management phiên bản 3.8 và các phiên bản trước đó

Chi tiết kỹ thuật tấn công

Vector tấn công

• Kẻ tấn công cần có quyền truy cập REST API của ứng dụng để gửi các yêu cầu API.

• Kẻ tấn công có thể gửi các lệnh hoặc thay đổi dữ liệu.

• Thực hiện các hành vi độc hại như thay đổi cấu hình hệ thống, quản lý các nút, hoặc tạo điều kiện cho các cuộc tấn công tiếp theo.

Các giai đoạn tấn công

1. Giai đoạn trinh sát:

   • Ban đầu kẻ tấn công sẽ thực hiện đăng nhập vào hệ thống với một tài khoản quyền thấp. Trong các chiến dịch được ghi nhận thì tài khoản được sử dụng là những tài khoản User thông thường.

2. Giai đoạn xâm nhập:

   • Sau khi đã đăng nhập được thành công vào hệ thống, kẻ tấn công có thể thực hiện quá trình thu thập thông tin để tìm endpoint REST API dễ bị khai thác.

   • Một số cách để thực hiện tìm kiếm thông tin:

     • Phân tích tài liệu API công khai (nếu có).

     • Sử dụng công cụ giám sát mạng (như Wireshark) để xem cách các yêu cầu API được thực hiện.

     • Sử dụng công cụ REST API (như Postman, Burp Suite, hoặc curl) để thử nghiệm các endpoint khả nghi.

   • Sau khi đã có thông tin, kể tấn công sẽ thực hiện gửi một yêu cầu REST API giả mạo đến endpoint dễ bị tấn công, sử dụng thông tin đăng nhập quyền thấp.

   • Một Payload API độc hại được gửi sẽ chứa 2 thành phần chính:

     • Thay đổi vai trò của người dùng: Nâng cấp tài khoản hiện tại lên quyền quản trị viên.

     • Chỉnh sửa cấu hình hệ thống: Thay đổi hoặc ghi đè các tham số quan trọng trong cấu hình.

   • Ví dụ về một Payload được thực thi nếu một endpoint có thể xử lý vai trò người dùng mà không kiểm tra quyền

     

     \=> Nếu yêu cầu này được chấp nhận mà không kiểm tra quyền, hệ thống sẽ nâng cấp vai trò của người dùng userId: 12345 thành "admin".

     \=> Sau đó, kẻ tấn công sẽ có quyền truy cập và kiểm soát toàn bộ hệ thống.

3. Giai đoạn khai thác:

   • Cuối cùng sau khi đã khai thác thành công, kẻ tấn công xác nhận rằng tài khoản của họ đã được nâng quyền hoặc rằng cấu hình hệ thống đã bị thay đổi.

   • Sau khi đã được quyền cấp cao trong các thiết bị Cisco bị nhiễm kẻ tấn công có thể:

     • Thực hiện các hành động chỉ dành cho quản trị viên.

     • Triển khai mã độc, đánh cắp dữ liệu hoặc phá hoại cấu hình hệ thống.

Công cụ hỗ trợ khai thác

• Burp Suite: Để phân tích và giả mạo các yêu cầu API.

• Postman: Để gửi và thử nghiệm các yêu cầu REST API.

• Wireshark: Để thu thập thông tin về lưu lượng API.

Khuyến nghị

1. Cập nhật Phần mềm:

   • Nếu bạn đang sử dụng Cisco Meeting Management phiên bản 3.9, hãy cập nhật lên phiên bản 3.9.1, nơi lỗ hổng này đã được vá.

   • Đối với các phiên bản 3.8 trở về trước, nên nâng cấp lên phiên bản mới nhất có sẵn để đảm bảo an toàn.

2. Theo dõi Thông tin Bảo mật:

   • Thường xuyên kiểm tra các bản tin bảo mật từ Cisco để cập nhật thông tin mới nhất về các lỗ hổng và bản vá.

3. Hạn chế Quyền Truy cập API:

   • Đảm bảo rằng chỉ những người dùng cần thiết mới có quyền truy cập vào API REST và áp dụng các biện pháp kiểm soát truy cập mạnh mẽ.

4. Giám sát Hệ thống:

   • Theo dõi các hoạt động bất thường trong hệ thống và thiết lập cảnh báo cho các hành vi đáng ngờ để phát hiện sớm các cuộc tấn công tiềm ẩn.

Tổng kết

CVE-2025-20156 là một lỗ hổng bảo mật nghiêm trọng trong API REST của Cisco Meeting Management, cho phép kẻ tấn công từ xa, đã xác thực với quyền hạn thấp, có thể nâng cấp quyền lên mức quản trị viên trên thiết bị bị ảnh hưởng. Lỗ hổng này tồn tại do việc không thực thi đúng quyền hạn cho người dùng API REST. Kẻ tấn công có thể khai thác bằng cách gửi các yêu cầu API đến một endpoint cụ thể, từ đó giành quyền kiểm soát cấp quản trị viên đối với việc quản lý bởi Cisco Meeting Management.

Tham khảo

1. Cisco Fixes Critical Privilege Escalation Flaw in Meeting Management (CVSS 9.9)

2. Cisco Meeting Management REST API Privilege Escalation Vulnerability

3. NVD - CVE-2025-20156