Phát hiện một loạt lỗ hổng nghiêm trọng trên các hệ thống truy cập từ xa của lĩnh vực công nghiệp

Lỗ hổng nghiêm trọng trên hệ thống truy cập từ xa

Một nhóm nghiên cứu an ninh mạng mới đây đã phát hiện ra các lỗ hổng bảo mật nghiêm trọng trong hai hệ thống truy cập từ xa được sử dụng rộng rãi trong các nhà máy công nghiệp. Nếu bị khai thác, những lỗ hổng này có thể cho phép tin tặc chặn truy cập vào các khu vực sản xuất công nghiệp, xâm nhập vào hệ thống mạng của các tổ chức, giả mạo dữ liệu, và thậm chí đánh cắp các bí mật kinh doanh nhạy cảm.

Những lỗ hổng này được phát hiện bởi công ty an ninh mạng OTORIO có trụ sở tại Tel Aviv (Isarel), và được xác định đang ảnh hưởng tới hệ thống SiteManager và GateManager của B&R Automation, cũng như hệ thống mbCONNECT24 của MB Connect Line. Đây là hai trong số các hệ thống bảo trì từ xa được sử dụng phổ biến nhất trong lĩnh vực sản xuất ô tô, năng lượng, dầu khí, kim loại, và đóng gói, với chức năng kết nối các tài sản công nghiệp từ khắp mọi nơi trên thế giới.

Sáu lỗi trên SiteManager và GateManager của B&R Automation

Theo bản tư vấn bảo mật do Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) công bố hôm thứ Tư, việc khai thác thành công các lỗ hổng trên hệ thống của B&R Automation có thể cho phép tin tặc “tiết lộ thông tin tùy ý, thao túng và tấn công từ chối dịch vụ.”

Các lỗ hổng này xuất hiện do nhiều nguyên nhân khác nhau, trải dài từ path traversal (hay directory traversal) cho đến xác thực không đúng cách. Chúng ảnh hưởng đến tất cả các phiên bản của SiteManager từ v9.2.620236042 trở về trước, GateManager 4260, 9250 trước v9.0.20262, và GateManager 8250 trước v9.2.620236042.

Hai chuyên gia bảo mật Nikolay Sokolik và Hay Mizrachi của OTORIO phát hiện ra rằng bằng cách khai thác sáu lỗ hổng trên (với số hiệu từ CVE-2020-11641 cho đến CVE-2020-11646), kẻ tấn công xác thực đã có quyền truy cập vào hệ thống thông qua giấy phép chung, có thể xem thông tin nhạy cảm của người dùng khác, cũng như tài sản, và tiến trình sản xuất của họ, ngay cả khi người dùng này thuộc một tổ chức khác với tổ chức mà tin tặc này đang nhắm mục tiêu.

“Thông tin này có thể bị kẻ tấn công lợi dụng để nhắm mục tiêu vào hệ thống công nghiệp của các tổ chức khác,” OTORIO cho biết.

B&R Automation SiteManager GateManager

“Ngoài ra, tin tặc còn có thể lừa người dùng truy cập các trang web độc hại bên ngoài thông qua các thông báo và cảnh báo hệ thống giả mạo. Chúng cũng có thể kích hoạt quy trình khởi động lại nhiều lần trên cả hai hệ thống GateManager và SiteManager, mà cuối cùng có thể dẫn đến hao tổn khả dụng (thời gian máy có thể chạy nhưng không tạo ra sản phẩm) và gây ra ngừng sản xuất.”

Lỗ hổng RCE trên mbCONNECT24

Tương tự, phiên bản mymbCONNECT24 và mbCONNECT24 v2.6.1 trở về trước cũng  được phát hiện đang bị ảnh hưởng bởi bốn lỗi bảo mật khác nhau. Những lỗ hổng này cho phép một kẻ tấn công đã đăng nhập thành công, có thể truy cập thông tin tùy ý thông qua SQL injection, đánh cắp thông tin phiên bằng cách thực hiện tấn công giả mạo request (CSRF) chỉ bằng một đường link được tạo riêng. Đồng thời cho phép chúng lợi dụng các thư viện đã lỗi thời và không được sử dụng của bên thứ ba để thực thi mã từ xa.

Được biết RCE là lỗ hổng nghiêm trọng nhất, với điểm CVSS là 9,8 trên 10.

Mặc dù những lỗ hổng này đã được khắc phục, nhưng những phát hiện trên đã cho thấy các giải pháp truy cập từ xa có thể dễ dàng bị tấn công và sẽ gây ra những hậu quả nghiêm trọng như thế nào đối với các cơ sở hạ tầng quan trọng nếu không may bị tin tặc khai thác.

Về phần mình, CISA đã khuyến nghị các tổ chức nên giảm thiểu tối đa việc tiếp xúc với mạng của tất cả các thiết bị hệ thống điều khiển, đồng thời nên bảo vệ mạng của các hệ thống điều khiển và thiết bị từ xa này sau tường lửa và cách ly chúng khỏi mạng doanh nghiệp.

“Khi cần truy cập từ xa, hãy sử dụng các biện pháp bảo mật, chẳng hạn như mạng riêng ảo (VPN), và cần lưu ý rằng VPN cũng có thể chứa lỗ hổng bảo mật nên việc cập nhật chúng thường xuyên là điều tối quan trọng. Ngoài ra, hãy nhớ rằng VPN chỉ an toàn như các thiết bị được kết nối,” cơ quan này cảnh báo.

Theo The Hacker News