Lỗ hổng CVE nghiêm trọng ZLAN5143D: Nguy cơ chiếm quyền hệ thống
Một cảnh báo đã được phát hành về hai lỗ hổng CVE nghiêm trọng được phát hiện trong thiết bị truyền thông công nghiệp ZLAN5143D của ZLAN Information Technology Co.
Tổng quan về lỗ hổng nghiêm trọng trên ZLAN5143D
Theo cảnh báo ICSA-26-041-02, việc khai thác thành công có thể cho phép kẻ tấn công giành quyền kiểm soát hoàn toàn các hệ thống bị ảnh hưởng bằng cách bỏ qua các cơ chế xác thực hoặc đặt lại mật khẩu thiết bị từ xa.
Các lỗ hổng CVE này ảnh hưởng đến phiên bản ZLAN5143D 1.600, một thiết bị thường được sử dụng rộng rãi trong các môi trường sản xuất quan trọng toàn cầu cho các chức năng điều khiển và truyền thông công nghiệp.
CISA đã cảnh báo rằng việc khai thác công khai có thể cho phép các tác nhân độc hại xâm phạm các hệ thống công nghệ vận hành (OT) và làm gián đoạn các hoạt động công nghiệp. Các nhà nghiên cứu Shorabh Karir và Deepak Singh từ KPMG đã phát hiện ra những điểm yếu này và báo cáo một cách có trách nhiệm cho CISA.
Chi tiết kỹ thuật về lỗ hổng và tác động
Cơ chế khai thác và rủi ro chiếm quyền điều khiển
Các lỗ hổng CVE này được mô tả bởi việc thiếu xác thực cho các chức năng quan trọng. Điều này cho phép những kẻ tấn công không được xác thực truy cập trực tiếp vào các lệnh điều khiển nhạy cảm.
Do các lỗ hổng CVE này cho phép bỏ qua xác thực và đặt lại mật khẩu, một kẻ tấn công có thể thay đổi cấu hình, làm gián đoạn các lệnh điều khiển, hoặc tiềm năng sử dụng thiết bị làm điểm xâm nhập vào các môi trường công nghiệp rộng lớn hơn. Khả năng này dẫn đến rủi ro chiếm quyền điều khiển hệ thống toàn diện.
Các nhà vận hành công nghiệp đang sử dụng dòng ZLAN5143D có thể đối mặt với những rủi ro an ninh mạng đáng kể nếu các thiết bị này bị lộ ra internet hoặc được tích hợp vào các mạng có phân đoạn không đầy đủ. Đây là một mối đe dọa mạng cần được ưu tiên.
Tác động đến hệ thống OT và điểm CVSS
CISA cho biết hiện tại chưa có thông tin về việc khai thác công khai, nhưng rủi ro vẫn ở mức cao do việc triển khai rộng rãi các thiết bị này và điểm CVSS cao của các lỗ hổng CVE được tìm thấy. Việc khai thác thành công có thể trực tiếp làm gián đoạn các quy trình sản xuất quan trọng, gây ra thiệt hại đáng kể.
Các biện pháp giảm thiểu và khuyến nghị bảo mật
Vì chưa có bản vá cho các lỗ hổng CVE này, các tổ chức cần áp dụng các biện pháp giảm thiểu mạnh mẽ để bảo vệ hệ thống công nghiệp của mình. CISA đặc biệt khuyến nghị các tổ chức nên cô lập mạng điều khiển khỏi môi trường IT doanh nghiệp và hạn chế tất cả quyền truy cập bên ngoài vào các thiết bị ICS.
Khuyến nghị phòng thủ chi tiết
- Giảm thiểu phơi nhiễm mạng: Hạn chế tối đa việc cho phép các thiết bị ICS, đặc biệt là ZLAN5143D, tiếp xúc trực tiếp với internet.
- Vị trí sau tường lửa: Đặt các thiết bị ZLAN5143D phía sau tường lửa có cấu hình chặt chẽ để kiểm soát lưu lượng truy cập.
- Triển khai VPN: Sử dụng Mạng riêng ảo (VPN) để thiết lập quyền truy cập từ xa được ủy quyền và bảo mật.
- Cập nhật phần mềm: Đảm bảo tất cả phần mềm liên quan đến việc vận hành và quản lý thiết bị được giữ ở phiên bản mới nhất, mặc dù hiện tại chưa có bản vá cho lỗ hổng CVE cụ thể này.
- Đánh giá tác động: Trước khi triển khai các biện pháp phòng thủ, các tổ chức nên thực hiện đánh giá tác động kỹ lưỡng.
- Tham khảo CISA: Rà soát các phương pháp hay nhất về bảo mật hệ thống điều khiển công nghiệp của CISA tại cisa.gov/ics.
- Hướng dẫn bổ sung: Tham khảo tài liệu kỹ thuật của CISA, cụ thể là ICS-TIP-12-146-01B – Chiến lược phát hiện và giảm thiểu tấn công mạng có mục tiêu (Targeted Cyber Intrusion Detection and Mitigation Strategies).
Tình trạng vá lỗi và hành động của nhà cung cấp
Hiện tại, ZLAN Information Technology Co. vẫn chưa phát hành bản vá hoặc cập nhật cụ thể nào để khắc phục các lỗ hổng CVE đã được báo cáo. Điều này càng làm tăng thêm mối đe dọa mạng và sự cấp bách của việc triển khai các biện pháp giảm thiểu đã nêu trên.
Các tổ chức cần theo dõi chặt chẽ các thông báo từ nhà cung cấp và CISA để cập nhật thông tin mới nhất về việc xử lý các lỗ hổng CVE này. Trong thời gian chờ đợi bản vá, việc tăng cường bảo mật chu vi và phân đoạn mạng là yếu tố then chốt để ngăn chặn khả năng chiếm quyền điều khiển hệ thống.
