-
09/04/2020
-
116
-
1.185 bài viết
Hai lỗ hổng nghiêm trọng trong Red Lion RTU đe dọa hạ tầng công nghiệp thế giới
Các nhà nghiên cứu an ninh mạng vừa công bố hai lỗ hổng nghiêm trọng trong các thiết bị điều khiển từ xa Red Lion Sixnet RTU – dòng sản phẩm được triển khai rộng rãi trong các hệ thống tự động hóa công nghiệp. Cả hai lỗ hổng, được định danh CVE-2023-40151 và CVE-2023-42770, đều đạt điểm tối đa 10.0 theo thang CVSS, cho phép kẻ tấn công chiếm quyền điều khiển thiết bị với đặc quyền cao nhất.
Theo báo cáo từ nhóm nghiên cứu Claroty Team 82, các thiết bị Red Lion SixTRAK và VersaTRAK RTU bị ảnh hưởng có thể bị khai thác mà không cần xác thực. Kẻ tấn công chỉ cần kết nối từ xa là đã có thể gửi lệnh và thực thi mã tùy ý ở cấp độ root, qua đó mở ra nguy cơ chiếm quyền kiểm soát hoàn toàn các quy trình công nghiệp. Đây là mức độ rủi ro đặc biệt lớn đối với các hệ thống điều khiển tự động (ICS/SCADA) đang vận hành trong lĩnh vực năng lượng, cấp thoát nước, giao thông, hạ tầng đô thị và sản xuất.
Các thiết bị RTU của Red Lion được cấu hình thông qua phần mềm Sixnet IO Tool Kit chạy trên Windows, sử dụng giao thức độc quyền có tên Sixnet Universal để giao tiếp với thiết bị đầu cuối. Giao thức này hỗ trợ nhiều tính năng như quản lý tệp, truy xuất thông tin hệ thống hay thao tác với nhân Linux và bootloader thông qua UDP. Tuy nhiên, chính cơ chế này lại là điểm yếu cốt lõi dẫn đến hai lỗ hổng nghiêm trọng mà Claroty phát hiện.
CVE-2023-42770 là lỗi bỏ qua xác thực bắt nguồn từ việc phần mềm Sixnet RTU lắng nghe trên cùng cổng 1594 cho cả hai giao thức UDP và TCP. Trong khi kết nối qua UDP yêu cầu xác thực, thì TCP lại cho phép chấp nhận gói tin đến mà không cần bất kỳ cơ chế xác thực nào. Điều này khiến kẻ tấn công dễ dàng gửi yêu cầu giả mạo qua TCP và vượt qua lớp bảo vệ ban đầu.
CVE-2023-40151, trong khi đó, là một lỗ hổng thực thi mã từ xa xuất phát từ việc trình điều khiển Sixnet Universal Driver hỗ trợ sẵn khả năng thực thi lệnh hệ thống Linux. Khi kết hợp hai lỗ hổng này, kẻ tấn công có thể bỏ qua toàn bộ cơ chế xác thực, gửi lệnh trực tiếp tới thiết bị và thực thi mã tùy ý với quyền root. Điều này đồng nghĩa với việc chúng có thể nắm toàn quyền kiểm soát thiết bị cũng như các quy trình vận hành liên quan.
Red Lion trong khuyến nghị phát hành tháng 6/2025 xác nhận rằng các thiết bị SixTRAK và VersaTRAK có kích hoạt tính năng xác thực người dùng vẫn có thể bị ảnh hưởng nếu nhận gói tin UDR qua TCP, do không có bước kiểm tra xác thực. Trong trường hợp tính năng xác thực bị vô hiệu hóa, hệ thống sẽ cho phép thực thi lệnh trực tiếp với đặc quyền cao nhất, tạo ra rủi ro nghiêm trọng cho các hệ thống công nghiệp đang kết nối mạng.
Các dòng sản phẩm bị ảnh hưởng bao gồm:
Người dùng được khuyến nghị cập nhật ngay các bản vá do Red Lion phát hành, đồng thời bật cơ chế xác thực người dùng và hạn chế truy cập TCP tới các RTU bị ảnh hưởng. Những biện pháp này tuy không triệt tiêu hoàn toàn rủi ro, nhưng là bước phòng thủ tối thiểu cần thiết để ngăn chặn khả năng kẻ tấn công chiếm quyền điều khiển từ xa trong môi trường công nghiệp.
Theo báo cáo từ nhóm nghiên cứu Claroty Team 82, các thiết bị Red Lion SixTRAK và VersaTRAK RTU bị ảnh hưởng có thể bị khai thác mà không cần xác thực. Kẻ tấn công chỉ cần kết nối từ xa là đã có thể gửi lệnh và thực thi mã tùy ý ở cấp độ root, qua đó mở ra nguy cơ chiếm quyền kiểm soát hoàn toàn các quy trình công nghiệp. Đây là mức độ rủi ro đặc biệt lớn đối với các hệ thống điều khiển tự động (ICS/SCADA) đang vận hành trong lĩnh vực năng lượng, cấp thoát nước, giao thông, hạ tầng đô thị và sản xuất.
Các thiết bị RTU của Red Lion được cấu hình thông qua phần mềm Sixnet IO Tool Kit chạy trên Windows, sử dụng giao thức độc quyền có tên Sixnet Universal để giao tiếp với thiết bị đầu cuối. Giao thức này hỗ trợ nhiều tính năng như quản lý tệp, truy xuất thông tin hệ thống hay thao tác với nhân Linux và bootloader thông qua UDP. Tuy nhiên, chính cơ chế này lại là điểm yếu cốt lõi dẫn đến hai lỗ hổng nghiêm trọng mà Claroty phát hiện.
CVE-2023-42770 là lỗi bỏ qua xác thực bắt nguồn từ việc phần mềm Sixnet RTU lắng nghe trên cùng cổng 1594 cho cả hai giao thức UDP và TCP. Trong khi kết nối qua UDP yêu cầu xác thực, thì TCP lại cho phép chấp nhận gói tin đến mà không cần bất kỳ cơ chế xác thực nào. Điều này khiến kẻ tấn công dễ dàng gửi yêu cầu giả mạo qua TCP và vượt qua lớp bảo vệ ban đầu.
CVE-2023-40151, trong khi đó, là một lỗ hổng thực thi mã từ xa xuất phát từ việc trình điều khiển Sixnet Universal Driver hỗ trợ sẵn khả năng thực thi lệnh hệ thống Linux. Khi kết hợp hai lỗ hổng này, kẻ tấn công có thể bỏ qua toàn bộ cơ chế xác thực, gửi lệnh trực tiếp tới thiết bị và thực thi mã tùy ý với quyền root. Điều này đồng nghĩa với việc chúng có thể nắm toàn quyền kiểm soát thiết bị cũng như các quy trình vận hành liên quan.
Red Lion trong khuyến nghị phát hành tháng 6/2025 xác nhận rằng các thiết bị SixTRAK và VersaTRAK có kích hoạt tính năng xác thực người dùng vẫn có thể bị ảnh hưởng nếu nhận gói tin UDR qua TCP, do không có bước kiểm tra xác thực. Trong trường hợp tính năng xác thực bị vô hiệu hóa, hệ thống sẽ cho phép thực thi lệnh trực tiếp với đặc quyền cao nhất, tạo ra rủi ro nghiêm trọng cho các hệ thống công nghiệp đang kết nối mạng.
Các dòng sản phẩm bị ảnh hưởng bao gồm:
- ST-IPm-8460: Firmware phiên bản 6.0.202 trở lên
- ST-IPm-6350: Firmware phiên bản 4.9.114 trở lên
- VT-mIPm-135-D: Firmware phiên bản 4.9.114 trở lên
- VT-mIPm-245-D: Firmware phiên bản 4.9.114 trở lên
- VT-IPm2m-213-D: Firmware phiên bản 4.9.114 trở lên
- VT-IPm2m-113-D: Firmware phiên bản 4.9.114 trở lên
Người dùng được khuyến nghị cập nhật ngay các bản vá do Red Lion phát hành, đồng thời bật cơ chế xác thực người dùng và hạn chế truy cập TCP tới các RTU bị ảnh hưởng. Những biện pháp này tuy không triệt tiêu hoàn toàn rủi ro, nhưng là bước phòng thủ tối thiểu cần thiết để ngăn chặn khả năng kẻ tấn công chiếm quyền điều khiển từ xa trong môi trường công nghiệp.
Theo The Hacker News