Mơ Hồ
Moderator
-
24/03/2020
-
11
-
15 bài viết
Phát hiện các lỗ hổng nghiêm trọng của hệ thống remote dùng trong công nghiệp
Các nhà nghiên cứu an ninh mạng vừa phát hiện các lỗi bảo mật nghiêm trọng trong hai hệ thống truy cập từ xa phổ biến có thể bị khai thác để cấm truy cập vào các xưởng sản xuất công nghiệp, xâm nhập vào mạng công ty, giả mạo dữ liệu và thậm chí đánh cắp bí mật kinh doanh nhạy cảm.
Các lỗ hổng nằm trong hai sản phẩm SiteManager và GateManager của công ty B&R Automation và mbCONNECT24 của công ty MB Connect Line. Đây là hai trong số các công cụ bảo trì từ xa phổ biến dùng trong lĩnh vực ô tô, năng lượng, dầu khí, kim loại và đóng gói để kết nối đến các máy móc công nghiệp khắp nơi trên thế giới.
Sáu lỗ hổng trong SiteManager and GateManager của công ty B&R Automation
Theo khuyến cáo của Cơ quan an ninh cơ sở hạ tầng và an ninh mạng nội địa Hoa Kỳ (CISA), khai thác thành công các lỗ hổng này có thể cho phép "tiết lộ thông tin tùy ý và tạo điều kiện thực hiện tấn công từ chối dịch vụ."
6 lỗ hổng được đánh số từ CVE-2020-11641 đến CVE-2020-11646. Nikolay Sokolik và Hay Mizrachi, hai nhà nghiên cứu phát hiện ra các lỗ hổng cho biết, kẻ tấn công đã được xác thực có quyền truy cập vào giải pháp thông qua giấy phép phổ thông (general license), có thể xem thông tin nhạy cảm của người dùng, máy móc và các quy trình họ quản lý, kể cả khi những người này làm việc cho một công ty khác.
Các lỗ hổng này ảnh hưởng tới tất cả các phiên bản của SiteManager v9.2.620236042 trở về trước, GateManager 4260 và 9250 đến trước phiên bản v9.0.20262 và GateManager 8250 đến trước phiên bản v9.2.620236042.
Ngoài ra, tin tặc có thể đánh lừa người dùng truy cập vào các trang web độc hại ở nước ngoài thông qua các tin nhắn và cảnh báo hệ thống giả mạo. Kẻ tấn công cũng có thể kích hoạt khởi động lại nhiều lần cả GateManager và SiteManager, khiến hệ thống bị gián đoạn và ngừng sản xuất."
Một lỗi thực thi mã từ xa (RCE) trong mbCONNECT24
Lỗi RCE này có điểm CVSS là 9,8, được đánh giá là nghiêm trọng nhất.
Các phiên bản mymbCONNECT24 và mbCONNECT24 v2.6.1 trở về trước tồn tại 4 lỗ hổng an ninh khác nhau tạo điều kiện cho kẻ tấn công (đã đăng nhập) có thể truy cập thông tin tùy ý thông qua SQL injection, đánh cắp phiên đăng nhập của người dùng khác bằng cách tấn công CSRF (Cross Site Request Forgery) chỉ với một liên kết tự tạo và tận dụng các thư viện đã hết hạn của bên thứ ba để thực thi mã từ xa.
Dù các lỗ hổng đã được vá, nhưng đây cũng là lời nhắc nhở về điểm yếu trong các giải pháp truy cập từ xa có thể gây ra thiệt hại như thế nào đối với các cơ sở hạ tầng trọng yếu.
CISA cũng đã khuyến cáo giảm thiểu khả năng kết nối với mạng cho tất cả các thiết bị hệ thống điều khiển, sử dụng tường lửa và không cho các thiết bị kết nối tới mạng doanh nghiệp. Khi cần truy cập từ xa, hãy sử dụng các phương pháp bảo mật, chẳng hạn như Mạng riêng ảo (VPN).
Các lỗ hổng nằm trong hai sản phẩm SiteManager và GateManager của công ty B&R Automation và mbCONNECT24 của công ty MB Connect Line. Đây là hai trong số các công cụ bảo trì từ xa phổ biến dùng trong lĩnh vực ô tô, năng lượng, dầu khí, kim loại và đóng gói để kết nối đến các máy móc công nghiệp khắp nơi trên thế giới.
Sáu lỗ hổng trong SiteManager and GateManager của công ty B&R Automation
Theo khuyến cáo của Cơ quan an ninh cơ sở hạ tầng và an ninh mạng nội địa Hoa Kỳ (CISA), khai thác thành công các lỗ hổng này có thể cho phép "tiết lộ thông tin tùy ý và tạo điều kiện thực hiện tấn công từ chối dịch vụ."
6 lỗ hổng được đánh số từ CVE-2020-11641 đến CVE-2020-11646. Nikolay Sokolik và Hay Mizrachi, hai nhà nghiên cứu phát hiện ra các lỗ hổng cho biết, kẻ tấn công đã được xác thực có quyền truy cập vào giải pháp thông qua giấy phép phổ thông (general license), có thể xem thông tin nhạy cảm của người dùng, máy móc và các quy trình họ quản lý, kể cả khi những người này làm việc cho một công ty khác.
Các lỗ hổng này ảnh hưởng tới tất cả các phiên bản của SiteManager v9.2.620236042 trở về trước, GateManager 4260 và 9250 đến trước phiên bản v9.0.20262 và GateManager 8250 đến trước phiên bản v9.2.620236042.
Một lỗi thực thi mã từ xa (RCE) trong mbCONNECT24
Lỗi RCE này có điểm CVSS là 9,8, được đánh giá là nghiêm trọng nhất.
Các phiên bản mymbCONNECT24 và mbCONNECT24 v2.6.1 trở về trước tồn tại 4 lỗ hổng an ninh khác nhau tạo điều kiện cho kẻ tấn công (đã đăng nhập) có thể truy cập thông tin tùy ý thông qua SQL injection, đánh cắp phiên đăng nhập của người dùng khác bằng cách tấn công CSRF (Cross Site Request Forgery) chỉ với một liên kết tự tạo và tận dụng các thư viện đã hết hạn của bên thứ ba để thực thi mã từ xa.
Dù các lỗ hổng đã được vá, nhưng đây cũng là lời nhắc nhở về điểm yếu trong các giải pháp truy cập từ xa có thể gây ra thiệt hại như thế nào đối với các cơ sở hạ tầng trọng yếu.
CISA cũng đã khuyến cáo giảm thiểu khả năng kết nối với mạng cho tất cả các thiết bị hệ thống điều khiển, sử dụng tường lửa và không cho các thiết bị kết nối tới mạng doanh nghiệp. Khi cần truy cập từ xa, hãy sử dụng các phương pháp bảo mật, chẳng hạn như Mạng riêng ảo (VPN).
Nguồn: Thehackernews