Schneider Electric, một nhà cung cấp hàng đầu toàn cầu về công nghệ công nghiệp, đã phát hành thông báo bảo mật quan trọng, chi tiết về nhiều lỗ hổng trong phần mềm EcoStruxure IT Data Center Expert (DCE), một giải pháp giám sát có khả năng mở rộng cho thiết bị trung tâm dữ liệu.
Thông báo này, được phát hành vào ngày 8 tháng 7 năm 2025 với mã tài liệu SEVD-2025-189-01, nêu chi tiết sáu lỗ hổng nghiêm trọng ảnh hưởng đến các phiên bản 8.3 trở về trước của sản phẩm. Nếu bị khai thác, các lỗ hổng này có thể dẫn đến truy cập trái phép, tiết lộ thông tin và chiếm quyền điều khiển từ xa, gây ra rủi ro đáng kể cho tính liên tục hoạt động và bảo mật dữ liệu trong các môi trường hạ tầng quan trọng.
Chi tiết các lỗ hổng nghiêm trọng
Các lỗ hổng được xác định có mức độ nghiêm trọng khác nhau, từ việc thực thi mã từ xa không xác thực đến leo thang đặc quyền và tiết lộ dữ liệu nhạy cảm.
CVE-2025-50121: Lỗ hổng OS Command Injection
Lỗ hổng CVE-2025-50121 là một vấn đề OS Command Injection (CWE-78) với điểm CVSS v3.1 là 10.0 (Critical) và CVSS v4.0 là 9.5. Lỗ hổng này cho phép thực thi mã từ xa (RCE) mà không cần xác thực thông qua giao diện web khi giao thức HTTP được bật. Mặc dù HTTP bị tắt theo mặc định, việc kích hoạt nó sẽ mở ra một kênh khai thác nghiêm trọng, cho phép kẻ tấn công thực hiện các lệnh tùy ý trên hệ thống bị ảnh hưởng.
CVE-2025-50122: Lỗ hổng Insufficient Entropy
Lỗ hổng CVE-2025-50122 là một vấn đề Insufficient Entropy (CWE-331) với điểm CVSS v3.1 là 8.3 (High). Lỗ hổng này có thể cho phép kẻ tấn công đảo ngược mật khẩu root bằng cách sử dụng các tạo phẩm (artifacts) cài đặt hoặc nâng cấp phần mềm. Việc thiếu đủ entropy trong quá trình tạo mật khẩu làm suy yếu tính ngẫu nhiên của chúng, khiến chúng dễ bị bẻ khóa hơn thông qua phân tích các tệp liên quan đến quá trình triển khai ban đầu của phần mềm.
CVE-2025-50123: Lỗ hổng Code Injection
Lỗ hổng CVE-2025-50123 là một vấn đề Code Injection (CWE-94). Khi được truy cập bởi các tài khoản có đặc quyền thông qua giao diện console hoặc các script cụ thể, lỗ hổng này có thể cho phép thực thi lệnh từ xa. Điều này có nghĩa là kẻ tấn công, nếu có được quyền truy cập vào một tài khoản đặc quyền, có thể chèn và thực thi mã độc hại trên hệ thống.
CVE-2025-50124: Lỗ hổng Improper Privilege Management
Lỗ hổng CVE-2025-50124 liên quan đến Improper Privilege Management (CWE-269). Tương tự như CVE-2025-50123, lỗ hổng này tạo điều kiện cho các rủi ro leo thang đặc quyền khi hệ thống được truy cập bởi các tài khoản có đặc quyền thông qua console hoặc script chuyên dụng. Kẻ tấn công có thể lợi dụng việc quản lý đặc quyền không đúng cách để nâng cao quyền của mình trên hệ thống, từ đó kiểm soát nhiều hơn các chức năng và dữ liệu.
CVE-2025-50125: Lỗ hổng Server-Side Request Forgery (SSRF)
Lỗ hổng CVE-2025-50125 là một vấn đề Server-Side Request Forgery (SSRF) (CWE-918). Lỗ hổng này cho phép thực thi mã từ xa mà không cần xác thực thông qua việc thao túng các tiêu đề yêu cầu máy chủ (host request headers). Kẻ tấn công có thể tạo các yêu cầu đặc biệt để buộc máy chủ thực hiện các yêu cầu HTTP đến các tài nguyên nội bộ hoặc bên ngoài, dẫn đến khả năng truy cập hoặc thao túng dữ liệu trái phép, và trong một số trường hợp, thực thi mã.
CVE-2025-6438: Lỗ hổng XML External Entity (XXE)
Lỗ hổng CVE-2025-6438 là một vấn đề XML External Entity (XXE) (CWE-611). Lỗ hổng này có thể dẫn đến truy cập tệp trái phép thông qua thao tác SOAP API. Bằng cách chèn các thực thể XML độc hại vào các đầu vào của SOAP API, kẻ tấn công có thể truy xuất nội dung của các tệp cục bộ từ máy chủ hoặc thực hiện các cuộc tấn công khác như quét cổng nội bộ.
Biện pháp khắc phục và khuyến nghị
Những lỗ hổng này cùng nhau nhấn mạnh sự cần thiết cấp bách của các biện pháp khắc phục để ngăn chặn các vi phạm nghiêm trọng trong hoạt động trung tâm dữ liệu.
Nâng cấp phần mềm
Schneider Electric đã phát hành phiên bản 9.0 của EcoStruxure IT Data Center Expert để khắc phục các vấn đề này. Phiên bản nâng cấp hiện có sẵn thông qua Trung tâm Chăm sóc khách hàng của Schneider. Công ty khuyến nghị khách hàng áp dụng bản nâng cấp bằng các phương pháp mạnh mẽ, bao gồm kiểm tra kỹ lưỡng trong môi trường phát triển và duy trì các bản sao lưu để giảm thiểu rủi ro triển khai.
Các biện pháp giảm thiểu và thực hành tốt nhất
Đối với những tổ chức chưa thể nâng cấp ngay lập tức, Schneider Electric khuyến nghị tăng cường bảo mật các phiên bản DCE theo Sổ tay bảo mật EcoStruxure IT Data Center Expert (EcoStruxure IT Data Center Expert Security Handbook) và áp dụng các thực hành tốt nhất về an ninh mạng. Các biện pháp này bao gồm:
- Cách ly hệ thống điều khiển: Đặt hệ thống điều khiển phía sau tường lửa để hạn chế truy cập mạng trái phép.
- Hạn chế truy cập vật lý: Giới hạn quyền truy cập vật lý vào thiết bị, chỉ cho phép nhân sự được ủy quyền.
- Sử dụng phương pháp truy cập từ xa an toàn: Áp dụng các phương pháp truy cập từ xa an toàn như mạng riêng ảo (VPN) để bảo vệ các kênh liên lạc.
- Giảm thiểu tiếp xúc Internet: Giảm thiểu mức độ tiếp xúc Internet của các thiết bị quan trọng, hạn chế các kết nối không cần thiết từ bên ngoài.
Ghi nhận và thông tin hỗ trợ
Thông báo cũng ghi nhận công lao của các nhà nghiên cứu Jaggar Henry và Jim Becher từ KoreLogic, Inc., vì đã xác định các lỗ hổng này và hỗ trợ trong việc phối hợp ứng phó.
Schneider Electric nhấn mạnh rằng mặc dù các điểm số mức độ nghiêm trọng cơ bản đã được cung cấp, người dùng cuối nên đánh giá các yếu tố môi trường để đánh giá tác động cụ thể lên hệ thống của họ. Để được hỗ trợ thêm, khách hàng có thể liên hệ với Dịch vụ An ninh mạng Công nghiệp của Schneider hoặc truy cập cổng hỗ trợ an ninh mạng của họ.
