Lỗ hổng SQL Injection: CVE 10.0 Gây Rủi Ro Nghiêm Trọng

Một cảnh báo quan trọng đã được phát hành liên quan đến một lỗ hổng SQL injection nghiêm trọng (CVE-2025-26385) ảnh hưởng đến nhiều sản phẩm hệ thống điều khiển công nghiệp của Johnson Controls. Lỗ hổng này có điểm CVSS v3 tối đa là 10.0, cho thấy mức độ rủi ro cao nhất đối với cơ sở hạ tầng bị ảnh hưởng và tiềm năng gây ra tác động nghiêm trọng.

Phân tích Kỹ thuật Lỗ hổng CVE-2025-26385

Chi tiết Kỹ thuật của Lỗ hổng SQL Injection

Lỗ hổng này, một dạng của lỗ hổng SQL injection, xuất phát từ việc không xử lý đúng cách các ký tự đặc biệt được sử dụng trong việc chèn lệnh (command injection).

Điều này tạo điều kiện cho kẻ tấn công từ xa thực thi các lệnh SQL tùy ý trên hệ thống mục tiêu mà không cần bất kỳ hình thức xác thực nào.

Việc khai thác thành công lỗ hổng SQL injection này cho phép kẻ tấn công thay đổi, xóa hoặc trích xuất dữ liệu nhạy cảm từ các hệ thống bị ảnh hưởng.

Đánh giá Mức độ Nghiêm trọng

Với điểm CVSS v3 là 10.0, CVE-2025-26385 được xếp vào loại lỗ hổng CVE nghiêm trọng.

Mức điểm này cảnh báo về khả năng gây ra tác động nghiêm trọng nhất, bao gồm mất mát hoàn toàn tính bảo mật, tính toàn vẹn và tính khả dụng của dữ liệu cũng như hệ thống.

Phạm vi Ảnh hưởng và Các Hệ thống bị Xâm nhập

Các Sản phẩm và Ngành bị Ảnh hưởng

Lỗ hổng này tác động đến sáu sản phẩm của Johnson Controls được triển khai rộng rãi trên nhiều lĩnh vực cơ sở hạ tầng quan trọng trên toàn thế giới.

Các lĩnh vực này bao gồm cơ sở thương mại, sản xuất quan trọng, sản xuất năng lượng, hoạt động chính phủ và hệ thống giao thông vận tải.

Với sự hiện diện toàn cầu của Johnson Controls, trụ sở tại Ireland, rủi ro bảo mật từ lỗ hổng này trở thành mối lo ngại lớn trên diện rộng, đặc biệt đối với các hệ thống điều khiển công nghiệp.

Biện pháp Giảm thiểu và Khuyến nghị từ CISA

Chiến lược Bảo vệ Chống lại Lỗ hổng SQL Injection

CISA khuyến nghị các tổ chức thực hiện các biện pháp phòng thủ sau đây để giảm thiểu rủi ro khai thác từ lỗ hổng SQL injection.

Các mạng hệ thống điều khiển phải được cô lập khỏi Internet và đặt phía sau tường lửa, đồng thời được tách biệt hoàn toàn khỏi cơ sở hạ tầng mạng doanh nghiệp thông thường.

Đối với các tổ chức yêu cầu quyền truy cập từ xa, việc triển khai Mạng Riêng Ảo (VPNs) với các bản vá bảo mật mới nhất là rất cần thiết. Tuy nhiên, cần nhận thức rằng bảo mật của VPN phụ thuộc vào tính toàn vẹn của các thiết bị được kết nối.

Phân đoạn mạng (network segmentation) và cách ly vật lý (air-gapping) là các chiến lược bảo vệ thiết yếu cho các hệ thống cũ không thể nhận bản vá ngay lập tức.

Đây là cách hiệu quả để giảm thiểu nguy cơ hệ thống bị xâm nhập và bảo vệ khỏi các cuộc tấn công khai thác lỗ hổng SQL injection.

Cảnh báo Bảo mật và Cập nhật Thông tin

CISA chưa ghi nhận bất kỳ hoạt động khai thác công khai nào đối với lỗ hổng SQL injection này tính đến ngày phát hành cảnh báo là 27 tháng 01 năm 2026.

Tuy nhiên, mức độ nghiêm trọng của lỗ hổng SQL injection này và việc triển khai rộng rãi đòi hỏi sự chú ý ngay lập tức từ các quản trị viên hệ thống và đội ngũ an ninh.

Cảnh báo này, được chỉ định là ICSA-26-027-04, là bản phát hành lại của cảnh báo bảo mật ban đầu của Johnson Controls, JCI-PSA-2026-02. Thông tin chi tiết có sẵn trên trang web của CISA.

Các tổ chức quan sát thấy hoạt động đáng ngờ nên báo cáo phát hiện của mình cho CISA để tương quan với các sự cố khác được báo cáo và theo dõi mối đe dọa toàn diện.

Trước khi triển khai các biện pháp phòng thủ, các tổ chức nên ưu tiên phân tích tác động và đánh giá rủi ro để tránh gián đoạn hoạt động.