Một nhà nghiên cứu bảo mật đã phát hiện ra một lỗ hổng nghiêm trọng trên thiết bị thanh toán Worldline Yomani XR, cho phép kẻ tấn công giành quyền kiểm soát hoàn toàn thiết bị trong vòng chưa đầy một phút. Mẫu thiết bị này, đặc biệt là dòng Worldline Yomani XR, được tìm thấy rộng rãi tại các cửa hàng tạp hóa, quán cà phê, cửa hàng sửa chữa và nhiều doanh nghiệp khác trên khắp Thụy Sĩ.
Phát Hiện Lỗ Hổng Khai Thác Gốc trên Thiết Bị Thanh Toán Yomani XR
Bất chấp danh tiếng là một thiết bị có độ bảo mật cao và khả năng chống giả mạo, cổng bảo trì của thiết bị đầu cuối Yomani XR lại để lộ một root shell không được bảo mật. Tình trạng này cấp quyền truy cập từ xa cho bất kỳ ai có quyền tiếp cận vật lý trong thời gian ngắn, tạo ra một lỗ hổng Yomani XR đáng lo ngại.
Ban đầu, khi thiết bị được bật nguồn, nó hoạt động hoàn toàn bình thường. Một lần quét mạng nhanh cũng không phát hiện bất kỳ cổng mở nào, cho thấy không có dấu hiệu bất thường từ bên ngoài.
Tuy nhiên, qua phân tích nội bộ chuyên sâu, nhà nghiên cứu đã phát hiện ra một đầu nối gỡ lỗi chưa được sử dụng (unpopulated debug connector) trên bảng điều khiển phía sau thiết bị. Đầu nối này được ẩn kỹ lưỡng dưới một nắp dịch vụ nhỏ. Thông tin chi tiết về phát hiện này có thể được tìm thấy tại nguồn đáng tin cậy: Stefan Gloor: Yomani Hack.
Bằng cách kết nối một cáp serial đơn giản và cấp nguồn cho thiết bị, nhà nghiên cứu đã quan sát được toàn bộ nhật ký khởi động Linux tiêu chuẩn trên console. Hệ thống chạy một kernel Linux phiên bản 3.6, được xây dựng với Buildroot vào đầu năm 2023, hoàn chỉnh với các tiện ích BusyBox và thư viện uClibc. Vào cuối chuỗi khởi động, một lời nhắc đăng nhập xuất hiện trên console serial.
Quy Trình Chiếm Quyền Điều Khiển và Tác Động Tiềm Ẩn
Để chiếm quyền điều khiển hoàn toàn thiết bị, kẻ tấn công chỉ cần nhập chuỗi “root” vào lời nhắc đăng nhập. Hành động đơn giản này cấp quyền truy cập ngay lập tức vào một root shell đầy đủ, không yêu cầu bất kỳ mật khẩu hay cơ chế mã hóa nào. Đây là một thiếu sót nghiêm trọng trong thiết kế bảo mật của thiết bị thanh toán Yomani XR.
rootSau khi có được quyền truy cập cấp cao nhất này, kẻ tấn công có thể thực hiện một loạt các hành vi độc hại. Chúng có thể cài đặt phần mềm độc hại tùy chỉnh, thu thập dữ liệu giao dịch nhạy cảm trực tiếp từ thiết bị, hoặc thậm chí mở rộng tấn công (pivot) vào các mạng backend của doanh nghiệp. Đây là một rủi ro bảo mật đáng kể, đe dọa cả dữ liệu tài chính của khách hàng và an ninh hệ thống tổng thể của tổ chức.
Khả năng chiếm quyền điều khiển này biến thiết bị đầu cuối thành một điểm yếu tiềm năng, mở ra cánh cửa cho các cuộc tấn công mạng phức tạp hơn. Việc không có cơ chế xác thực trên cổng gỡ lỗi là nguyên nhân cốt lõi của lỗ hổng Yomani XR này.
Đánh Giá Kiến Trúc Bảo Mật Phần Cứng và Giới Hạn
Về mặt vật lý, thiết bị Yomani XR được thiết kế kỹ thuật ấn tượng và rất kiên cố. Thiết bị sử dụng một chip ASIC Arm lõi kép tùy chỉnh có tên “Samoa II”, nhiều bo mạch PCB được nén chặt và tích hợp các tính năng phát hiện giả mạo rộng rãi, vốn là điểm mạnh của các thiết bị chuyên dụng.
Các cơ chế chống giả mạo bao gồm:
- Các dải zebra cảm ứng áp lực và vết đồng zig-zag phức tạp trên mỗi bo mạch được thiết kế để phát hiện việc tháo gỡ trái phép bằng cách ngắt mạch điện tử.
- Một viên pin đồng xu nhỏ được tích hợp để đảm bảo rằng tính năng bảo vệ chống giả mạo vẫn hoạt động liên tục, ngay cả khi nguồn điện chính của thiết bị bị ngắt.
- Bất kỳ hành vi nào như để lộ dây dẫn bên trong hoặc khoan vào PCB sẽ ngay lập tức kích hoạt màn hình đỏ không thể đảo ngược, làm cho thiết bị không hoạt động được và ngăn chặn việc khai thác thêm.
Tuy nhiên, một điểm yếu chí tử là các biện pháp bảo vệ phần cứng mạnh mẽ này lại không bao gồm giao diện gỡ lỗi. Việc phát hiện ra một cổng serial không được bảo mật này đã làm suy yếu nghiêm trọng các mục tiêu bảo mật tổng thể của thiết kế, biến nó thành một lỗ hổng Yomani XR dễ bị tổn thương, bất chấp lớp vỏ bảo vệ kiên cố.
Phân Tích Chuyên Sâu Kiến Trúc Firmware của Yomani XR
Phân tích firmware chuyên sâu đã tiết lộ rằng thiết bị đầu cuối thực sự chạy hai môi trường xử lý riêng biệt để quản lý các tác vụ khác nhau, nhằm mục đích tăng cường an ninh mạng:
- Môi trường ứng dụng Linux “không an toàn”: Core này chịu trách nhiệm xử lý các tác vụ giao tiếp mạng, logic kinh doanh chung và các chức năng ứng dụng. Nó cũng có nhiệm vụ tải hình ảnh firmware “an toàn” thứ hai.
- Môi trường firmware “an toàn”: Đây là một bộ xử lý chuyên dụng, độc lập, được thiết kế để quản lý các thành phần nhạy cảm như đầu đọc thẻ, bàn phím và màn hình. Hình ảnh firmware an toàn này được mã hóa và ký điện tử, và chỉ có thể khởi chạy nếu tất cả các biện pháp bảo vệ chống giả mạo còn nguyên vẹn.
Do kiến trúc phân tách này, ngay cả khi kẻ tấn công có quyền truy cập vào shell Linux của môi trường ứng dụng, họ vẫn không thể trực tiếp thao túng việc xử lý thẻ mà không phá vỡ hoặc xâm nhập vào core an toàn. Điều này cung cấp một lớp bảo vệ bổ sung cho dữ liệu thẻ.
Tuy nhiên, việc xâm nhập và chiếm quyền điều khiển core ứng dụng vẫn tiềm ẩn rủi ro bảo mật đáng, kể. Kẻ tấn công có thể làm gián đoạn quá trình cập nhật phần mềm, ghi lại toàn bộ lưu lượng mạng, hoặc cài đặt các backdoor để nhắm mục tiêu vào bộ xử lý an toàn trong tương lai. Sự tồn tại của lỗ hổng Yomani XR này đòi hỏi các biện pháp khắc phục khẩn cấp.
Khuyến Nghị và Cập Nhật Bảo Mật Khẩn Cấp
Cho đến nay, chưa có bằng chứng công khai nào cho thấy dữ liệu thẻ đã bị đánh cắp thông qua con đường khai thác lỗ hổng Yomani XR này. Tuy nhiên, việc để lộ một root shell không được bảo vệ vẫn là một thiếu sót bảo mật cực kỳ nghiêm trọng và cần được xử lý ngay lập tức.
Các nhà cung cấp dịch vụ và doanh nghiệp đang sử dụng các thiết bị thanh toán Worldline Yomani XR nên thực hiện các bước sau để giảm thiểu rủi ro bảo mật:
- Thường xuyên kiểm tra kỹ lưỡng các thiết bị của mình để phát hiện bất kỳ dấu hiệu truy cập trái phép nào vào các nắp dịch vụ hoặc cổng gỡ lỗi.
- Liên hệ trực tiếp với nhà cung cấp để yêu cầu các bản vá bảo mật firmware mới nhất. Các bản vá này phải có chức năng vô hiệu hóa cổng gỡ lỗi bên ngoài để loại bỏ lỗ hổng Yomani XR này.
- Tham khảo thêm các cảnh báo về lỗ hổng và khuyến nghị bảo mật từ các nguồn đáng tin cậy như CISA (Cybersecurity & Infrastructure Security Agency) để luôn cập nhật thông tin mới nhất.
Worldline đã được thông báo về lỗ hổng Yomani XR này và theo báo cáo, đã khắc phục vấn đề trong các bản phát hành firmware sau này. Tuy nhiên, cho đến khi các bản cập nhật này được triển khai rộng rãi trên tất cả các thiết bị đang hoạt động, các nhà điều hành thiết bị đầu cuối vẫn phải đối mặt với một rủi ro an ninh mạng không cần thiết, ẩn dưới lớp vỏ bảo vệ phần cứng mạnh mẽ. Việc áp dụng bản vá bảo mật là vô cùng quan trọng để đảm bảo an ninh mạng cho hệ thống thanh toán.
