Các nhà nghiên cứu an ninh mạng từ Nozomi Networks Labs đã phát hiện 13 lỗ hổng CVE nghiêm trọng trong Tridium Niagara Framework. Đây là một nền tảng được sử dụng rộng rãi, và những lỗ hổng này có nguy cơ làm lộ dữ liệu mạng nhạy cảm trên toàn cầu, đặc biệt trong các hệ thống quản lý tòa nhà, tự động hóa công nghiệp và cơ sở hạ tầng thông minh.
Những lỗ hổng này, được tổng hợp thành 10 mã CVE riêng biệt, có thể cho phép kẻ tấn công xâm nhập hệ thống khi cấu hình mã hóa bị sai. Điều này gây ra mối lo ngại đáng kể đối với an ninh mạng của cơ sở hạ tầng trọng yếu.
Tridium Niagara Framework: Nền tảng cốt lõi và Rủi ro tiềm ẩn
Tridium Niagara Framework đóng vai trò là một lớp phần mềm trung gian quan trọng, kết nối và quản lý nhiều loại thiết bị IoT khác nhau. Nền tảng này tích hợp các hệ thống như kiểm soát nhiệt độ (HVAC), quản lý ánh sáng, hệ thống quản lý năng lượng, và các giải pháp bảo mật. Sự tích hợp này cho phép một hệ thống kiểm soát thống nhất hoạt động trong các môi trường công nghệ vận hành (OT) đa dạng.
Được phát triển bởi Tridium, một công ty con của Honeywell, nền tảng này được triển khai rộng rãi. Các lĩnh vực ứng dụng bao gồm bất động sản thương mại, y tế, giao thông vận tải, sản xuất và năng lượng. Tầm quan trọng của nó trong việc điều phối các hệ thống này làm cho bất kỳ lỗ hổng nào cũng trở nên đặc biệt nghiêm trọng.
Điều kiện Khai thác và Tác động Ban đầu
Các lỗ hổng được phát hiện có thể bị khai thác hoàn toàn khi các hệ thống Niagara tắt chức năng mã hóa trên các thiết bị mạng. Khi chức năng mã hóa bị tắt, một cảnh báo bảo mật sẽ xuất hiện trên bảng điều khiển. Tuy nhiên, các quản trị viên có thể vô tình bỏ qua cảnh báo này.
Khi được xâu chuỗi với nhau, những lỗ hổng này cho phép kẻ tấn công có quyền truy cập mạng thực hiện các cuộc tấn công Man-in-the-Middle (MitM). Điều này có khả năng dẫn đến việc chiếm quyền điều khiển toàn bộ các hệ thống tự động hóa tòa nhà. Khả năng MitM cho phép kẻ tấn công chặn và sửa đổi thông tin liên lạc giữa các thiết bị, mở đường cho các cuộc tấn công phức tạp hơn.
Các Phiên bản Hệ thống bị Ảnh hưởng
Nhóm nghiên cứu đã xác định các lỗ hổng ảnh hưởng đến phiên bản 4.13 của Niagara Framework. Tridium, nhà cung cấp, cũng đã xác nhận rằng các lỗ hổng này mở rộng đến các phiên bản sau:
- 4.10u10 và các phiên bản cũ hơn
- 4.14u1 và các phiên bản cũ hơn
Các lỗ hổng CVE nghiêm trọng nhất cho phép di chuyển ngang trong mạng. Ngoài ra, chúng có thể gây ra gián đoạn hoạt động, ảnh hưởng trực tiếp đến an toàn và tính liên tục của dịch vụ. Điều này đặc biệt đáng lo ngại trong các môi trường OT nơi sự gián đoạn có thể dẫn đến hậu quả vật lý nghiêm trọng.
Chi tiết Chuỗi Tấn công và Khai thác Lỗ hổng CVE
Các nhà nghiên cứu đã chứng minh một chuỗi tấn công tinh vi. Chuỗi này kết hợp việc khai thác CVE-2025-3943 và CVE-2025-3944 để đạt được mức độ xâm nhập cao. Thông tin chi tiết về nghiên cứu này có thể được tìm thấy tại nguồn đáng tin cậy: Nozomi Networks Blog.
Khai thác CVE-2025-3943: Lộ Token CSRF
Lỗ hổng đầu tiên, CVE-2025-3943, làm lộ các token CSRF (Cross-Site Request Forgery) thông qua các yêu cầu GET trong nhật ký hệ thống. Các token CSRF là yếu tố quan trọng để bảo vệ các phiên người dùng khỏi các cuộc tấn công giả mạo yêu cầu. Việc lộ token này có thể cho phép kẻ tấn công bypass các biện pháp bảo vệ phiên.
Cụ thể, nếu cấu hình Syslog không được mã hóa, kẻ tấn công có thể chặn các yêu cầu GET chứa token CSRF. Khả năng truy cập vào các token này là bước đầu tiên để thực hiện các hành động độc hại thay mặt cho người dùng hợp lệ.
Khai thác CVE-2025-3944: Chiếm Quyền Điều Khiển từ xa (RCE)
Lỗ hổng thứ hai, CVE-2025-3944, cho phép thao túng tệp. Điều này dẫn đến khả năng thực thi mã từ xa (RCE) ở cấp độ root trên các hệ thống dựa trên QNX. Quyền truy cập root là mức cao nhất trong hệ thống, cho phép kẻ tấn công kiểm soát hoàn toàn thiết bị. Đây là một lỗ hổng CVE nghiêm trọng với hậu quả lớn.
Thao túng tệp có thể liên quan đến việc ghi đè hoặc tạo các tệp cấu hình quan trọng. Khi được kết hợp với quyền root, điều này mở ra cánh cửa cho việc cài đặt phần mềm độc hại, thay đổi cài đặt hệ thống hoặc thậm chí vô hiệu hóa hệ thống.
Yêu cầu và Diễn biến Cuộc Tấn công Chuỗi
Cuộc tấn công này yêu cầu quyền truy cập mạng vào hệ thống Niagara. Ngoài ra, cần có cấu hình Syslog không được mã hóa. Điều này nhấn mạnh tầm quan trọng của việc mã hóa tất cả các kênh liên lạc trong môi trường OT.
Khi các điều kiện trên được đáp ứng, kẻ tấn công có thể thực hiện một chuỗi các hành động sau để đạt được sự xâm nhập hoàn toàn:
- Chặn các token anti-CSRF: Sử dụng thông tin từ CVE-2025-3943 để vượt qua các biện pháp bảo vệ phiên.
- Leo thang cấp độ ghi nhật ký: Thay đổi cấu hình ghi nhật ký để thu thập thêm thông tin nhạy cảm hoặc che giấu dấu vết.
- Đánh cắp phiên quản trị viên: Chiếm quyền điều khiển các phiên đang hoạt động của quản trị viên, cho phép kẻ tấn công thực hiện các hành động với đặc quyền cao nhất.
- Đánh cắp chứng chỉ TLS: Thu thập các chứng chỉ TLS được sử dụng để mã hóa giao tiếp. Điều này cho phép kẻ tấn công thực hiện các cuộc tấn công MitM hiệu quả hơn, giải mã lưu lượng mạng và giả mạo các dịch vụ.
- Đạt được sự xâm nhập hệ thống hoàn toàn: Với quyền truy cập root và khả năng thao túng tệp, kẻ tấn công có thể kiểm soát hoàn toàn hệ thống Niagara, bao gồm cả các thiết bị IoT được kết nối.
Biện pháp Khắc phục và Khuyến nghị Bảo mật
Tridium đã phản ứng nhanh chóng trước các phát hiện này bằng cách phát hành các khuyến cáo bảo mật và cung cấp các bản vá bảo mật. Các bản vá này giải quyết tất cả các lỗ hổng đã được xác định. Việc áp dụng các bản vá này là bước quan trọng nhất để bảo vệ hệ thống của bạn.
Công ty cũng nhấn mạnh sự cần thiết phải tuân thủ các hướng dẫn củng cố bảo mật (hardening guidelines) và các phương pháp hay nhất. Đặc biệt quan trọng là phải đảm bảo rằng mã hóa được bật cho tất cả các giao tiếp mạng. Việc tắt mã hóa tạo ra một điểm yếu nghiêm trọng có thể bị khai thác.
Các tổ chức đang sử dụng Tridium Niagara Framework nên thực hiện các hành động sau ngay lập tức để giảm thiểu rủi ro từ những lỗ hổng CVE nghiêm trọng này:
- Áp dụng ngay lập tức các bản vá bảo mật: Đây là hành động ưu tiên hàng đầu để khắc phục các lỗ hổng.
- Rà soát cấu hình mã hóa: Kiểm tra kỹ lưỡng tất cả các cấu hình liên quan đến mã hóa để đảm bảo rằng chúng được bật và hoạt động chính xác trên tất cả các thiết bị.
- Giám sát bảng điều khiển bảo mật: Theo dõi liên tục bảng điều khiển bảo mật để phát hiện bất kỳ cảnh báo nào chỉ ra các cấu hình sai. Những cảnh báo này có thể cho thấy hệ thống đang bị phơi nhiễm với các vectơ tấn công đã được mô tả.
Việc chủ động trong việc quản lý bản vá bảo mật và cấu hình hệ thống là chìa khóa để duy trì một môi trường an ninh mạng mạnh mẽ. Điều này giúp bảo vệ các hệ thống cơ sở hạ tầng quan trọng khỏi các mối đe dọa tiềm tàng.
