Khẩn cấp: Lỗ hổng CVE nghiêm trọng chiếm quyền xe lăn điện

Một cảnh báo bảo mật nghiêm trọng gần đây đã công bố các lỗ hổng CVE nghiêm trọng trong xe lăn điện WHILL, cho phép kẻ tấn công chiếm quyền điều khiển thiết bị từ xa qua Bluetooth. Các lỗ hổng này ảnh hưởng trực tiếp đến an toàn thông tin của người dùng và đặt ra một rủi ro bảo mật đáng kể.

Cảnh báo này tác động đến hai mẫu xe lăn phổ biến được sử dụng trên toàn thế giới: WHILL Model C2 Electric Wheelchair và Model F Power Chair, cả hai đều được sản xuất bởi WHILL Inc. có trụ sở tại Nhật Bản.

Nội dung

Phân tích Kỹ thuật Lỗ hổng CVE

Cơ chế Khai thác và Tác động

Biện pháp Giảm thiểu và Khuyến nghị An ninh Mạng

Đánh giá Tác động và Quản lý Rủi ro

Phân tích Kỹ thuật Lỗ hổng CVE

Các nhà nghiên cứu bảo mật từ QED Secure Solutions đã phát hiện ra một lỗ hổng nguy hiểm, được theo dõi là CVE-2025-14346. Lỗ hổng này được xếp hạng với điểm CVSS tối đa là 9.8/10, xếp loại mức độ nghiêm trọng là nghiêm trọng (critical).

Nguyên nhân gốc rễ của lỗ hổng bắt nguồn từ việc thiếu xác thực cho các chức năng quan trọng. Điều này cho phép bất kỳ kẻ tấn công nào trong phạm vi Bluetooth đều có thể chiếm quyền kiểm soát hoàn toàn xe lăn.

Việc chiếm quyền điều khiển không yêu cầu ủy quyền hay truy cập vật lý vào thiết bị. Điều này tạo điều kiện cho các cuộc tấn công mạng tiềm ẩn.

Cơ chế Khai thác và Tác động

Khả năng khai thác lỗ hổng này cho phép kẻ tấn công thao túng chuyển động của xe lăn. Điều này có thể gây ra tổn hại về thể chất cho người dùng hoặc những người xung quanh.

Các sản phẩm bị ảnh hưởng được triển khai rộng rãi trên toàn cầu trong các ngành hạ tầng quan trọng như Y tế và Sức khỏe Cộng đồng.

CISA đã đưa ra cảnh báo về lỗ hổng này, chi tiết trong CISA ICS Medical Advisory ICSMA-25-364-01. Tổ chức này kêu gọi các đơn vị và người dùng thực hiện các biện pháp phòng thủ ngay lập tức để giảm thiểu rủi ro bảo mật khai thác.

Biện pháp Giảm thiểu và Khuyến nghị An ninh Mạng

Các khuyến nghị chính từ CISA bao gồm:

Giảm thiểu mức độ tiếp xúc mạng: Đảm bảo các thiết bị không thể truy cập từ internet.
Phân lập các hệ thống điều khiển: Đặt các hệ thống này phía sau tường lửa.
Sử dụng Mạng riêng ảo (VPN) an toàn: Khi cần truy cập từ xa, VPN phải được cấu hình và sử dụng đúng cách.

Người dùng nên liên hệ trực tiếp với WHILL Inc. để nhận hướng dẫn giảm thiểu cụ thể và các bản cập nhật phần sụn (firmware) tiềm năng. Đây là bước thiết yếu để khắc phục lỗ hổng CVE này.

Đánh giá Tác động và Quản lý Rủi ro

Các tổ chức phải thực hiện phân tích tác động và đánh giá rủi ro bảo mật kỹ lưỡng trước khi triển khai bất kỳ biện pháp bảo vệ nào. Việc này giúp đảm bảo rằng các giải pháp được áp dụng phù hợp và hiệu quả.

CISA nhấn mạnh rằng hiện chưa có báo cáo nào về việc khai thác công khai CVE-2025-14346. Tuy nhiên, mức độ nghiêm trọng nghiêm trọng của lỗ hổng này đòi hỏi sự chú ý tức thì để bảo vệ người dùng khỏi nguy cơ bị chiếm quyền điều khiển.