Lỗ hổng CVE nghiêm trọng đe dọa hệ thống SCADA Iconics
Một lỗ hổng CVE mức độ nghiêm trọng trung bình đã được phát hiện trong hệ thống SCADA Iconics Suite, tiềm ẩn nguy cơ cho phép kẻ tấn công kích hoạt các điều kiện từ chối dịch vụ (DoS) trên các hệ thống điều khiển công nghiệp trọng yếu.
Lỗ hổng này, được theo dõi với mã định danh CVE-2025-0921, ảnh hưởng đến hạ tầng SCADA (Supervisory Control and Data Acquisition) được triển khai rộng rãi trong các ngành công nghiệp ô tô, năng lượng và sản xuất.
Phân Tích Lỗ Hổng CVE-2025-0921 trên Hệ Thống SCADA
Mô Tả Kỹ Thuật và Điểm Yếu Cốt Lõi
CVE-2025-0921 bắt nguồn từ một điểm yếu về thực thi với các đặc quyền không cần thiết trong nhiều dịch vụ của Mitsubishi Electric Iconics Digital Solutions GENESIS64.
Lỗ hổng này có điểm CVSS 6.5, được phân loại là mức độ nghiêm trọng trung bình. Khai thác thành công cho phép kẻ tấn công lạm dụng các hoạt động hệ thống tệp có đặc quyền để nâng cao đặc quyền và làm hỏng các tệp nhị phân hệ thống quan trọng.
Điều này cuối cùng dẫn đến việc làm suy yếu tính toàn vẹn và khả dụng của hệ thống.
Lỗ hổng CVE-2025-0921 đã được phát hiện trong quá trình đánh giá bảo mật toàn diện do các nhà nghiên cứu Asher Davila và Malav Vyas của Unit 42 thực hiện vào đầu năm 2024.
Phát hiện này là một trong sáu lỗ hổng được xác định trong Iconics Suite phiên bản 10.97.2 và các phiên bản cũ hơn dành cho nền tảng Microsoft Windows.
Các nhà nghiên cứu trước đây đã công bố năm lỗ hổng liên quan khác ảnh hưởng đến cùng nền tảng SCADA này.
Phạm Vi Ảnh Hưởng và Rủi Ro An Toàn Thông Tin
Theo tư vấn bảo mật của Mitsubishi Electric, lỗ hổng này ảnh hưởng đến tất cả các phiên bản của GENESIS64, MC Works64 và GENESIS phiên bản 11.00.
Iconics Suite hiện có hàng trăm nghìn cài đặt tại hơn 100 quốc gia, trải rộng trên các lĩnh vực hạ tầng quan trọng.
Các lĩnh vực này bao gồm cơ sở chính phủ, cơ sở quân sự, nhà máy xử lý nước và nước thải, các tiện ích công cộng và nhà cung cấp năng lượng.
Đồng nghĩa với việc một cuộc tấn công mạng thông qua lỗ hổng này có thể gây ra hậu quả nghiêm trọng và tạo ra rủi ro an toàn thông tin đáng kể.
Để biết thêm thông tin chi tiết về lỗ hổng CVE-2025-0921, có thể tham khảo tại: NVD – CVE-2025-0921.
Chi Tiết Kỹ Thuật Khai Thác Lỗ Hổng
Cơ Chế Lỗ Hổng và Chuỗi Tấn Công DoS
Lỗ hổng tồn tại trong thành phần Pager Agent của AlarmWorX64 MMX, hệ thống quản lý cảnh báo giám sát các quy trình công nghiệp.
Kẻ tấn công có quyền truy cập cục bộ có thể khai thác điểm yếu này bằng cách thao túng cấu hình đường dẫn SMSLogFile.
Cấu hình này được lưu trữ trong tệp IcoSetup64.ini, nằm trong thư mục C:\ProgramData\ICONICS.
Chuỗi tấn công liên quan đến việc tạo các liên kết tượng trưng (symbolic links) từ vị trí tệp nhật ký đến các tệp nhị phân hệ thống mục tiêu.
Khi quản trị viên gửi tin nhắn thử nghiệm hoặc hệ thống tự động kích hoạt cảnh báo, thông tin ghi nhật ký sẽ đi theo liên kết tượng trưng và ghi đè lên các trình điều khiển quan trọng.
Ví dụ điển hình là trình điều khiển cng.sys, cung cấp các dịch vụ mã hóa cho các thành phần hệ thống Windows.
Sau khi khởi động lại hệ thống, trình điều khiển bị hỏng sẽ gây ra lỗi khởi động, khiến máy bị mắc kẹt trong vòng lặp sửa chữa vô tận và làm cho máy trạm kỹ thuật OT không thể hoạt động, dẫn đến tình trạng tấn công DoS.
Tăng Cường Khai Thác và Khả Năng Chiếm Quyền Điều Khiển
Các nhà nghiên cứu đã chỉ ra rằng việc khai thác lỗ hổng CVE-2025-0921 trở nên dễ dàng hơn đáng kể khi kết hợp với CVE-2024-7587.
CVE-2024-7587 là một lỗ hổng đã được công bố trước đó trong trình cài đặt GenBroker32, cấp quyền truy cập quá mức vào thư mục C:\ProgramData\ICONICS.
Điều này cho phép bất kỳ người dùng cục bộ nào cũng có thể sửa đổi các tệp cấu hình quan trọng và có thể dẫn đến chiếm quyền điều khiển hệ thống.
Tuy nhiên, kẻ tấn công vẫn có thể khai thác CVE-2025-0921 một cách độc lập nếu các tệp nhật ký trở nên ghi được do cấu hình sai, các lỗ hổng khác hoặc kỹ thuật xã hội.
Biện Pháp Khắc Phục và Cập Nhật Bản Vá Bảo Mật
Mitsubishi Electric đã phát hành các bản vá cho GENESIS phiên bản 11.01 và các phiên bản sau này.
Khách hàng có thể tải xuống các bản vá này từ Trung tâm Tài nguyên Cộng đồng Iconics (Iconics Community Resource Center).
Đối với người dùng GENESIS64, một phiên bản đã sửa lỗi hiện đang được phát triển và sẽ được phát hành trong tương lai gần.
Nhà cung cấp đã chỉ ra rằng không có kế hoạch phát hành các bản vá cho MC Works64.
Điều này yêu cầu khách hàng của MC Works64 phải tự triển khai các biện pháp giảm thiểu rủi ro trong thời gian chờ đợi.
Việc kịp thời cập nhật bản vá bảo mật là cực kỳ quan trọng để bảo vệ hệ thống SCADA khỏi các mối đe dọa và giảm thiểu rủi ro an toàn thông tin.
