404 Not Found
Writer
Các chuyên gia an ninh mạng vừa phát hiện hai lỗ hổng nghiêm trọng trong thiết bị điều khiển công nghiệp của Red Lion – một thương hiệu nổi tiếng trong lĩnh vực tự động hóa và điều khiển từ xa. Hai lỗ hổng này, được đánh giá mức độ nguy hiểm tối đa 10/10 theo thang CVSS, có thể cho phép tin tặc chiếm quyền điều khiển toàn bộ thiết bị, từ đó gây ảnh hưởng trực tiếp đến các hệ thống công nghiệp quan trọng trên toàn cầu.
Các thiết bị bị ảnh hưởng gồm dòng SixTRAK và VersaTRAK RTU, thường được sử dụng để giám sát và điều khiển tự động trong các ngành năng lượng, cấp thoát nước, giao thông và sản xuất. Những thiết bị này đóng vai trò như “bộ não” của hệ thống công nghiệp, giúp thu thập dữ liệu và điều khiển thiết bị đầu cuối ở xa. Khi bị xâm nhập, kẻ tấn công có thể gửi lệnh trực tiếp, can thiệp vào hoạt động của toàn bộ hệ thống.
Theo nhóm nghiên cứu Claroty Team 82, các lỗi này cho phép kẻ tấn công xâm nhập mà không cần đăng nhập hay xác thực. Một trong hai lỗ hổng nằm ở cách thiết bị xử lý dữ liệu qua các cổng kết nối mạng. Cụ thể, phần mềm điều khiển Red Lion RTU sử dụng cùng một cổng cho cả hai giao thức truyền dữ liệu là UDP và TCP. Trong khi giao thức UDP yêu cầu xác thực người dùng, thì TCP lại không kiểm tra bất kỳ thông tin nào, khiến kẻ xấu dễ dàng “qua mặt” hệ thống bảo vệ.
Lỗ hổng còn lại xuất phát từ trình điều khiển phần mềm, vốn cho phép thực thi các lệnh của hệ điều hành Linux bên trong thiết bị. Khi hai lỗi này được kết hợp, tin tặc có thể vượt qua toàn bộ lớp bảo mật và chiếm quyền điều khiển với đặc quyền cao nhất. Điều này đồng nghĩa với việc chúng có thể thao túng quy trình, tắt hệ thống hoặc thậm chí gây gián đoạn sản xuất.
Red Lion đã phát hành bản khuyến nghị từ tháng 6/2025, xác nhận rằng vấn đề ảnh hưởng đến một số dòng thiết bị nhất định. Cụ thể, thiết bị ST-IPm-8460 bị ảnh hưởng từ phiên bản firmware 6.0.202 trở lên, trong khi ST-IPm-6350 gặp rủi ro từ phiên bản 4.9.114 trở lên. Các model VT-mIPm-135-D, VT-mIPm-245-D, VT-IPm2m-213-D và VT-IPm2m-113-D cũng đều bị ảnh hưởng khi sử dụng firmware từ phiên bản 4.9.114 trở lên.
Các chuyên gia cảnh báo rằng việc tin tặc giành quyền điều khiển ở mức cao nhất trên những thiết bị như Red Lion RTU có thể dẫn đến hậu quả nghiêm trọng. Một khi bị xâm nhập, chúng có thể tắt thiết bị, thay đổi thông số vận hành hoặc làm gián đoạn hoạt động của các nhà máy, hệ thống năng lượng, thậm chí cả hạ tầng đô thị.
Theo chuyên gia WhiteHat: “Trong bối cảnh các hệ thống công nghiệp ngày càng được kết nối với Internet, các lỗ hổng như thế này đặc biệt nguy hiểm. Chúng có thể trở thành cửa ngõ cho các cuộc tấn công quy mô lớn vào hạ tầng trọng yếu.”
Người dùng và doanh nghiệp được khuyến nghị cập nhật bản vá mới nhất, bật cơ chế xác thực người dùng, và chặn truy cập TCP tới các thiết bị RTU bị ảnh hưởng. Dù những biện pháp này không loại bỏ hoàn toàn rủi ro, nhưng là bước bảo vệ cần thiết để ngăn ngừa việc bị chiếm quyền điều khiển từ xa trong môi trường công nghiệp.
Các thiết bị bị ảnh hưởng gồm dòng SixTRAK và VersaTRAK RTU, thường được sử dụng để giám sát và điều khiển tự động trong các ngành năng lượng, cấp thoát nước, giao thông và sản xuất. Những thiết bị này đóng vai trò như “bộ não” của hệ thống công nghiệp, giúp thu thập dữ liệu và điều khiển thiết bị đầu cuối ở xa. Khi bị xâm nhập, kẻ tấn công có thể gửi lệnh trực tiếp, can thiệp vào hoạt động của toàn bộ hệ thống.
Theo nhóm nghiên cứu Claroty Team 82, các lỗi này cho phép kẻ tấn công xâm nhập mà không cần đăng nhập hay xác thực. Một trong hai lỗ hổng nằm ở cách thiết bị xử lý dữ liệu qua các cổng kết nối mạng. Cụ thể, phần mềm điều khiển Red Lion RTU sử dụng cùng một cổng cho cả hai giao thức truyền dữ liệu là UDP và TCP. Trong khi giao thức UDP yêu cầu xác thực người dùng, thì TCP lại không kiểm tra bất kỳ thông tin nào, khiến kẻ xấu dễ dàng “qua mặt” hệ thống bảo vệ.
Lỗ hổng còn lại xuất phát từ trình điều khiển phần mềm, vốn cho phép thực thi các lệnh của hệ điều hành Linux bên trong thiết bị. Khi hai lỗi này được kết hợp, tin tặc có thể vượt qua toàn bộ lớp bảo mật và chiếm quyền điều khiển với đặc quyền cao nhất. Điều này đồng nghĩa với việc chúng có thể thao túng quy trình, tắt hệ thống hoặc thậm chí gây gián đoạn sản xuất.
Red Lion đã phát hành bản khuyến nghị từ tháng 6/2025, xác nhận rằng vấn đề ảnh hưởng đến một số dòng thiết bị nhất định. Cụ thể, thiết bị ST-IPm-8460 bị ảnh hưởng từ phiên bản firmware 6.0.202 trở lên, trong khi ST-IPm-6350 gặp rủi ro từ phiên bản 4.9.114 trở lên. Các model VT-mIPm-135-D, VT-mIPm-245-D, VT-IPm2m-213-D và VT-IPm2m-113-D cũng đều bị ảnh hưởng khi sử dụng firmware từ phiên bản 4.9.114 trở lên.
Các chuyên gia cảnh báo rằng việc tin tặc giành quyền điều khiển ở mức cao nhất trên những thiết bị như Red Lion RTU có thể dẫn đến hậu quả nghiêm trọng. Một khi bị xâm nhập, chúng có thể tắt thiết bị, thay đổi thông số vận hành hoặc làm gián đoạn hoạt động của các nhà máy, hệ thống năng lượng, thậm chí cả hạ tầng đô thị.
Theo chuyên gia WhiteHat: “Trong bối cảnh các hệ thống công nghiệp ngày càng được kết nối với Internet, các lỗ hổng như thế này đặc biệt nguy hiểm. Chúng có thể trở thành cửa ngõ cho các cuộc tấn công quy mô lớn vào hạ tầng trọng yếu.”
Người dùng và doanh nghiệp được khuyến nghị cập nhật bản vá mới nhất, bật cơ chế xác thực người dùng, và chặn truy cập TCP tới các thiết bị RTU bị ảnh hưởng. Dù những biện pháp này không loại bỏ hoàn toàn rủi ro, nhưng là bước bảo vệ cần thiết để ngăn ngừa việc bị chiếm quyền điều khiển từ xa trong môi trường công nghiệp.
WhiteHat
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
