Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng (CISA) đã ban hành một cảnh báo bảo mật nghiêm trọng liên quan đến nhiều lỗ hổng trong các sản phẩm Emerson ValveLink. Các lỗ hổng này có thể cho phép kẻ tấn công truy cập thông tin hệ thống nhạy cảm và thực thi mã trái phép.
Cảnh báo, được định danh là ICSA-25-189-01, được phát hành vào ngày 8 tháng 7 năm 2025, mang điểm số CVSS v4 tối đa là 9.3, cho thấy mức độ nghiêm trọng của các lỗ hổng bảo mật này. Cảnh báo xác định năm (5) lỗ hổng riêng biệt ảnh hưởng đến các sản phẩm ValveLink. Việc khai thác thành công có khả năng cho phép kẻ tấn công có quyền truy cập vào hệ thống đọc thông tin nhạy cảm được lưu trữ dưới dạng văn bản rõ, giả mạo các tham số quan trọng và chạy mã trái phép.
Các sản phẩm và phiên bản bị ảnh hưởng
Các lỗ hổng này ảnh hưởng đến nhiều dòng sản phẩm của Emerson ValveLink, bao gồm ValveLink SOLO, ValveLink DTM, ValveLink PRM và ValveLink SNAP-ON. Tất cả các phiên bản của các sản phẩm này trước ValveLink 14.0 đều bị ảnh hưởng.
Các hệ thống bị ảnh hưởng được triển khai rộng rãi trong cơ sở hạ tầng sản xuất quan trọng trên toàn thế giới. Việc triển khai phổ biến của các hệ thống này trong các lĩnh vực cơ sở hạ tầng quan trọng toàn cầu làm tăng cường đáng kể tiềm năng tác động của các lỗ hổng này nếu chúng bị khai thác.
Chi tiết các lỗ hổng CVE
CVE-2025-52579: Lộ thông tin nhạy cảm trong bộ nhớ
Đây là lỗ hổng nghiêm trọng nhất được xác định, với điểm CVSS v3 cơ bản là 9.4. Lỗ hổng này liên quan đến việc lưu trữ thông tin nhạy cảm dưới dạng văn bản rõ (cleartext) trong bộ nhớ. Điều này có nghĩa là dữ liệu quan trọng, bao gồm thông tin cấu hình hệ thống, thông tin xác thực, khóa mã hóa hoặc dữ liệu quy trình nhạy cảm, có thể bị lộ nếu kẻ tấn công có thể truy cập vào bộ nhớ hệ thống.
Cụ thể, lỗ hổng này cho phép bộ nhớ chứa dữ liệu nhạy cảm có khả năng được lưu vào đĩa, được lưu trữ trong các bản ghi lỗi hệ thống (core dumps), hoặc không được xóa sạch sau các sự cố hệ thống hoặc trong trường hợp quản lý bộ nhớ không đúng cách. Lỗ hổng này gây ra rủi ro đáng kể vì nó có thể bị khai thác từ xa với độ phức tạp tấn công thấp, cho phép kẻ tấn công thực hiện các hành động độc hại mà không cần tương tác vật lý hoặc quyền truy cập đặc biệt ban đầu vào hệ thống mục tiêu. Điều này làm tăng nguy cơ truy cập trái phép và kiểm soát hệ thống từ xa.
CVE-2025-50109: Lộ thông tin nhạy cảm trong tài nguyên
Lỗ hổng này cũng là một vấn đề liên quan đến việc lưu trữ dữ liệu dưới dạng văn bản rõ, với điểm CVSS v3 là 7.7. Nó cho phép truy cập vào thông tin nhạy cảm được lưu trữ trong các tài nguyên mà các phạm vi kiểm soát khác có thể truy cập. Điều này ngụ ý rằng dữ liệu nhạy cảm có thể nằm trong các tệp cấu hình, cơ sở dữ liệu, nhật ký hoặc các tài nguyên hệ thống khác mà lẽ ra phải được bảo vệ chặt chẽ hơn. Tuy nhiên, do lỗ hổng này, chúng có thể bị truy cập bởi các thực thể không được ủy quyền hoặc các thành phần hệ thống khác có quyền truy cập không cần thiết, dẫn đến việc lộ dữ liệu và các rủi ro bảo mật tiếp theo.
CVE-2025-46358: Lỗi cơ chế bảo vệ
Lỗ hổng liên quan đến lỗi cơ chế bảo vệ này cũng có điểm CVSS v3 là 7.7. Điều này chỉ ra rằng sản phẩm không triển khai các biện pháp phòng thủ đầy đủ chống lại các cuộc tấn công có chủ đích. Một cơ chế bảo vệ thất bại có thể bao gồm việc không xác thực đầy đủ đầu vào của người dùng, thiếu các biện pháp kiểm soát truy cập thích hợp, hoặc không bảo vệ chống lại các kỹ thuật tấn công phổ biến như chèn mã (injection), tấn công tràn bộ đệm (buffer overflow) hoặc leo thang đặc quyền. Hậu quả là hệ thống dễ bị tổn thương hơn trước các nỗ lực tấn công độc hại, có khả năng dẫn đến việc chiếm quyền điều khiển hệ thống hoặc phá hoại dữ liệu.
CVE-2025-48496 và CVE-2025-53471: Lỗ hổng mức độ trung bình
Hai lỗ hổng bổ sung này, mặc dù có điểm số thấp hơn về mức độ nghiêm trọng trên thang đo CVSS, nhưng vẫn tiềm ẩn rủi ro đáng kể cho hệ thống và cần được khắc phục.
- CVE-2025-48496: Lỗ hổng này giải quyết các yếu tố đường dẫn tìm kiếm không được kiểm soát (uncontrolled search path elements) với điểm CVSS v3 là 5.1. Điều này có thể cho phép kẻ tấn công thay đổi hoặc chèn các đường dẫn tìm kiếm cho các thư viện, tập lệnh hoặc tệp thực thi chương trình. Nếu kẻ tấn công có thể kiểm soát đường dẫn tìm kiếm, họ có thể buộc hệ thống tải hoặc thực thi các tệp độc hại của mình thay vì các tệp hợp pháp, dẫn đến thực thi mã tùy ý hoặc cài đặt phần mềm độc hại.
- CVE-2025-53471: Lỗ hổng này liên quan đến việc xác thực đầu vào không đúng cách (improper input validation) với điểm CVSS v3 là 5.1. Khi đầu vào của người dùng hoặc dữ liệu được cung cấp cho hệ thống không được xác thực đúng cách hoặc không được làm sạch đầy đủ, kẻ tấn công có thể gửi dữ liệu độc hại để gây ra các hành vi không mong muốn. Các hành vi này có thể từ lỗi ứng dụng, tấn công từ chối dịch vụ (DoS) đến thực thi mã tùy ý, ảnh hưởng đến tính toàn vẹn, tính sẵn sàng và tính bảo mật của hệ thống.
Khuyến nghị và biện pháp giảm thiểu
Để bảo vệ các hệ thống điều khiển công nghiệp khỏi bị khai thác, các tổ chức đang sử dụng các sản phẩm Emerson ValveLink bị ảnh hưởng nên ưu tiên nâng cấp ngay lập tức lên phiên bản 14.0 trở lên. Việc nâng cấp này là biện pháp quan trọng nhất và hiệu quả nhất để giảm thiểu tất cả các rủi ro bảo mật nêu trên.
Sự kết hợp giữa điểm số mức độ nghiêm trọng cao của một số lỗ hổng và khả năng khai thác từ xa với độ phức tạp thấp khiến các lỗ hổng này đặc biệt đáng lo ngại đối với các nhà điều hành hệ thống điều khiển công nghiệp (ICS). Việc không thực hiện các biện pháp giảm thiểu kịp thời có thể dẫn đến các hậu quả nghiêm trọng như truy cập trái phép vào các thiết bị công nghiệp, làm gián đoạn hoạt động sản xuất, ảnh hưởng đến an toàn vận hành, hoặc gây ra thiệt hại đáng kể trong môi trường công nghiệp.
