Một loạt các lỗ hổng nghiêm trọng đã được phát hiện trong nền tảng quản lý mạng MICROSENS NMP Web+, một hệ thống được sử dụng rộng rãi trong các môi trường công nghiệp và sản xuất thiết yếu. Những lỗ hổng này đặt hàng ngàn tổ chức trên toàn thế giới vào nguy cơ cao bị tấn công mạng.
Các lỗ hổng này được báo cáo bởi các nhà nghiên cứu bảo mật Tomer Goldschmidt và Noam Moshe từ Claroty Team82, và được phối hợp xử lý với CERT-Bund của Đức. Cơ quan An ninh Cơ sở hạ tầng và An ninh Mạng Hoa Kỳ (CISA) đã đưa ra cảnh báo khẩn cấp về những vấn đề này.
Các lỗ hổng ảnh hưởng đến các phiên bản NMP Web+ 3.2.5 và cũ hơn trên cả nền tảng Windows và Linux.
Phân Tích Các Lỗ Hổng
Ba lỗ hổng chính đã được định danh và phân loại như sau:
- CVE-2024-27926: Lỗ hổng bỏ qua xác thực (Authentication Bypass) với điểm CVSS 9.8. Lỗ hổng này cho phép kẻ tấn công vượt qua các cơ chế xác thực để truy cập vào hệ thống mà không cần thông tin đăng nhập hợp lệ.
- CVE-2024-27925: Lỗ hổng thực thi mã từ xa (Remote Code Execution – RCE) với điểm CVSS 9.8. Đây là lỗ hổng nguy hiểm cho phép kẻ tấn công thực thi mã tùy ý trên hệ thống từ xa, dẫn đến việc chiếm quyền kiểm soát hoàn toàn thiết bị bị ảnh hưởng.
- CVE-2024-27924: Lỗ hổng thiếu xác thực cho chức năng quan trọng (Missing Authentication for Critical Function) với điểm CVSS 7.2. Lỗ hổng này cho phép truy cập và thực hiện các chức năng nhạy cảm mà không yêu cầu xác thực, mở đường cho các hành động độc hại.
Những lỗ hổng này đặc biệt đáng báo động vì chúng có độ phức tạp tấn công thấp và có thể bị khai thác từ xa mà không yêu cầu bất kỳ tương tác nào từ người dùng. Kẻ tấn công có thể kết hợp các lỗ hổng này để ban đầu giành quyền truy cập, sau đó leo thang đặc quyền để kiểm soát hoàn toàn các thiết bị bị ảnh hưởng. Sự kết hợp giữa bỏ qua xác thực và thực thi mã từ xa tạo ra một kịch bản tấn công chuỗi hiệu quả, cho phép những kẻ tấn công có kỹ năng chiếm đoạt hệ thống một cách nhanh chóng và lặng lẽ.
Tầm Quan Trọng và Rủi Ro Hệ Thống
MICROSENS NMP Web+ được triển khai rộng rãi trên toàn cầu trong các lĩnh vực sản xuất quan trọng, nơi nó quản lý các thiết bị chuyển mạch công nghiệp và các thiết bị tự động hóa. Vai trò trung tâm của nền tảng này trong việc kiểm soát các hoạt động thiết yếu làm tăng thêm rủi ro hệ thống. Khả năng các lỗ hổng này làm gián đoạn hoạt động kinh doanh, hoạt động vận hành và thậm chí an ninh quốc gia là rất cao. Trong môi trường công nghiệp, việc kiểm soát các thiết bị như vậy có thể ảnh hưởng trực tiếp đến quy trình sản xuất, an toàn vận hành, và thậm chí gây ra thiệt hại vật lý nghiêm trọng.
Việc khai thác thành công các lỗ hổng này không chỉ dẫn đến việc đánh cắp dữ liệu hoặc gián đoạn dịch vụ mà còn có thể gây ra những hậu quả nghiêm trọng hơn như điều khiển sai lệch máy móc, ngừng hoạt động dây chuyền sản xuất, hoặc thậm chí là các sự cố về an toàn. Đối với các tổ chức phụ thuộc vào MICROSENS NMP Web+ để duy trì hoạt động liên tục, những lỗ hổng này đại diện cho một mối đe dọa hiện hữu đối với khả năng phục hồi và ổn định của họ.
Biện Pháp Khắc Phục và Khuyến Nghị Bảo Mật
Để giải quyết cả ba lỗ hổng, MICROSENS đã phát hành phiên bản NMP Web+ 3.3.0 cho cả nền tảng Windows và Linux. CISA và các chuyên gia trong ngành mạnh mẽ khuyến nghị tất cả các tổ chức cập nhật ngay lập tức lên phiên bản mới nhất.
Ngoài việc cập nhật phần mềm, các khuyến nghị bổ sung bao gồm:
- Kiểm tra nhật ký truy cập: Thường xuyên xem xét các nhật ký truy cập để phát hiện bất kỳ hoạt động đáng ngờ hoặc dấu hiệu xâm nhập nào. Việc này giúp nhận diện sớm các nỗ lực tấn công hoặc xâm nhập thành công.
- Vô hiệu hóa các mã thông báo phiên hiện có (invalidate existing session tokens): Sau khi cập nhật, việc vô hiệu hóa tất cả các phiên làm việc hiện có sẽ đảm bảo rằng bất kỳ phiên đã bị chiếm đoạt nào cũng sẽ bị chấm dứt, buộc người dùng phải xác thực lại, từ đó loại bỏ quyền truy cập trái phép.
- Giám sát hoạt động đáng ngờ: Triển khai các hệ thống giám sát liên tục để phát hiện các hành vi bất thường trên mạng và trên các thiết bị được quản lý bởi NMP Web+. Điều này bao gồm giám sát lưu lượng mạng, hành vi của người dùng và các sự kiện hệ thống.
Mặc dù hiện tại chưa có khai thác công khai nào được biết đến, tài liệu kỹ thuật đã chứng minh rằng những lỗ hổng này hoàn toàn có thể bị khai thác bởi những kẻ tấn công có kỹ năng. Việc duy trì phần mềm lỗi thời khiến các tổ chức phải đối mặt với rủi ro nghiêm trọng về hoạt động và an ninh.
Tầm Nhìn Về An Ninh Mạng Công Nghiệp
Các lỗ hổng này một lần nữa nhấn mạnh sự cần thiết liên tục của phương pháp tiếp cận security-by-design (bảo mật ngay từ khâu thiết kế), việc xem xét mã nguồn định kỳ, và một chiến lược chủ động đối với an ninh mạng công nghiệp (industrial cybersecurity). Trong bối cảnh hạ tầng quan trọng ngày càng được số hóa và kết nối, việc bảo vệ các hệ thống quản lý như MICROSENS NMP Web+ là tối quan trọng để đảm bảo tính liên tục của hoạt động và an ninh quốc gia.
