MICROSENS vá ba lỗ hổng cho phép hacker chiếm quyền điều khiển không cần xác thực

[WhiteHat Team]

CISA đã phát hành cảnh báo khẩn cấp (ICSA-25-175-07) về ba lỗ hổng đang đe dọa phần mềm quản lý mạng MICROSENS NMP Web+ (phiên bản 3.2.5 trở xuống), ảnh hưởng đến cả hệ điều hành Windows và Linux và đang được sử dụng rộng rãi trong các hệ thống điều khiển công nghiệp (ICS) tại nhiều quốc gia.

Ba lỗ hổng bao gồm:

1. CVE-2025-49151 – Hardcoded JWT Secret (CVSS 9.1)​

• Lỗi do sử dụng khóa bí mật JWT (JSON Web Token) được mã hóa cứng trong mã nguồn.
• Kẻ tấn công có thể tạo token giả mạo để bypass xác thực và truy cập hệ thống.

2. CVE-2025-49152 – JWT Không có thời hạn (CVSS 7.5)​

• Token xác thực không có thời gian hết hạn, cho phép duy trì quyền truy cập vô thời hạn nếu bị rò rỉ.

3. CVE-2025-49153 – Path Traversal & RCE (CVSS 9.8)​

• Lỗi path traversal cho phép hacker chưa xác thực ghi đè tệp lên hệ thống và thực thi mã độc từ xa.

Các lỗ hổng có thể bị kết hợp như thế nào?​

Hacker có thể kết hợp ba lỗ hổng để chiếm quyền kiểm soát hoàn toàn hệ thống:

• Bước 1: Khai thác CVE-2025-49151 để tạo token hợp lệ.
• Bước 2: Duy trì quyền truy cập bằng token vĩnh viễn (CVE-2025-49152).
• Bước 3: Thực hiện ghi đè tệp và thực thi mã tùy ý từ xa (CVE-2025-49153).

→ Tổng thể, đây là kịch bản “zero to hero” – từ không có quyền gì đến kiểm soát toàn hệ thống chỉ trong một chuỗi khai thác.

Chuỗi khai thác: Kẻ tấn công có thể kết hợp các lỗi trên để từ bypass xác thực → duy trì truy cập → thực thi mã độc, đạt quyền kiểm soát toàn bộ hệ thống (“zero to hero”).

Đối tượng bị ảnh hưởng: Các doanh nghiệp sử dụng MICROSENS NMP Web+ để quản lý thiết bị mạng trong hệ thống công nghiệp, nhà máy, tòa nhà thông minh, cơ sở hạ tầng điện/nước.

Phạm vi: Toàn cầu, đặc biệt tại các nước châu Âu – nơi MICROSENS có thị phần lớn.

Nguy cơ:

• Chiếm đoạt quyền truy cập hệ thống nội bộ.
• Cài backdoor để duy trì quyền truy cập.
• Thực thi mã độc gây mất dữ liệu hoặc ngưng hoạt động.
• Tạo điều kiện cho các cuộc tấn công quy mô lớn khác (APT, ransomware...).

MICROSENS khuyến nghị người dùng cập nhật lên NMP Web+ phiên bản 3.3.0 dành cho cả Windows và Linux để khắc phục ba lỗ hổng này.

Các chuyên gia khuyến nghị: Cập nhật ngay phần mềm lên phiên bản 3.3.0, có thể áp dụng song song các biện pháp phòng ngừa bổ sung:

• Cô lập mạng quản lý: Không cho truy cập trực tiếp từ internet.
• Sử dụng VPN và xác thực đa yếu tố (MFA) khi truy cập từ xa.
• Vô hiệu hóa toàn bộ token JWT hiện tại sau khi cập nhật.
• Kiểm tra log hệ thống để phát hiện truy cập lạ hoặc nghi ngờ.
• Tuân thủ các hướng dẫn bảo mật của CISA, đặc biệt là khuyến nghị trong tài liệu ICS-TIP-12-146-01B.

Dù hiện tại chưa ghi nhận việc khai thác lỗ hổng ngoài thực tế, nhưng với mức độ nghiêm trọng và khả năng khai thác từ xa không cần xác thực, các tổ chức cần hành động ngay lập tức. Đây là một ví dụ điển hình cho thấy các hệ thống công nghiệp ngày càng trở thành mục tiêu tấn công và không thể lơ là trong việc cập nhật phần mềm, giám sát truy cập và kiểm soát hệ thống mạng nội bộ.