Các nhà nghiên cứu an ninh mạng đã tìm thấy các lỗ hổng bảo mật nghiêm trọng trong hai hệ thống truy cập từ xa phổ biến trong công nghiệp có thể bị khai thác để cấm truy cập vào các sàn sản xuất công nghiệp, xâm nhập vào mạng công ty, giả mạo dữ liệu và thậm chí đánh cắp bí mật kinh doanh nhạy cảm.
Những sai sót, đã phát hiện bởi OTORIO có trụ sở tại Tel Aviv, đã được xác định trong SiteManager và GateManager của B&R Automation và mbCONNECT24 của MB Connect Line, hai trong số các công cụ bảo trì từ xa phổ biến được sử dụng trong các lĩnh vực ô tô, năng lượng, dầu khí, kim loại và đóng gói để kết nối với các tài sản công nghiệp từ mọi nơi trên thế giới.
Sáu Flaws trong SiteManager và GateManager của B&R Automation
Theo một tham mưu do Cơ quan An ninh mạng và cơ sở hạ tầng Hoa Kỳ (CISA) công bố hôm thứ Tư, việc khai thác thành công các lỗ hổng B&R Automation có thể cho phép “tiết lộ thông tin tùy ý, thao túng và điều kiện từ chối dịch vụ.”
Các lỗ hổng, từ duyệt đường dẫn đến xác thực không đúng, ảnh hưởng đến tất cả các phiên bản của SiteManager trước v9.2.620236042, GateManager 4260 và 9250 trước v9.0.20262 và GateManager 8250 trước v9.2.620236042.
Nikolay Sokolik và Hay Mizrachi của OTORIO phát hiện ra rằng bằng cách khai thác sáu lỗ hổng này (CVE-2020-11641 đến CVE-2020-11646), kẻ tấn công đã xác thực có quyền truy cập vào giải pháp thông qua giấy phép chung có thể xem thông tin nhạy cảm về người dùng khác, tài sản của họ, và các quy trình của họ, ngay cả khi họ thuộc về một tổ chức khác với tổ chức của đối thủ.
“Thông tin này có thể được sử dụng bởi những kẻ tấn công để nhắm mục tiêu vào các tổ chức khác và hệ thống công nghiệp của họ”, OTORIO nói.
“Ngoài ra, tin tặc có thể đánh lừa người dùng vào các trang web độc hại bên ngoài thông qua các thông báo và cảnh báo hệ thống giả mạo. Kẻ tấn công cũng có thể kích hoạt khởi động lại nhiều lần cả GateManager và SiteManager, cuối cùng dẫn đến mất tính khả dụng và ngừng sản xuất.”
Một RCE Flaw trong mbCONNECT24
Tương tự như vậy, phiên bản mymbCONNECT24 và mbCONNECT24 v2.6.1 trở về trước đã được phát hiện là dễ bị tấn công bốn vấn đề bảo mật khác nhau điều đó có thể khiến kẻ tấn công đã đăng nhập có thể truy cập thông tin tùy ý thông qua SQL injection, lấy cắp thông tin chi tiết về phiên bằng cách thực hiện giả mạo yêu cầu trên nhiều trang web (CSRF) tấn công chỉ bằng một liên kết được chế tạo cụ thể và tận dụng các thư viện của bên thứ ba đã lỗi thời và không được sử dụng đi kèm với phần mềm để thực thi mã từ xa.
Lỗ hổng RCE là lỗ hổng nghiêm trọng nhất, với điểm CVSS là 9,8 trên tổng số tối đa là 10.
Mặc dù những lỗ hổng này đã được sửa chữa, nhưng sự phát triển này là một lời nhắc nhở khác về việc những điểm yếu trong các giải pháp truy cập từ xa có thể gây ra hậu quả hủy hoại như thế nào đối với cơ sở hạ tầng quan trọng.
Về phần mình, CISA đã khuyến nghị giảm thiểu khả năng tiếp xúc với mạng cho tất cả các thiết bị hệ thống điều khiển, ngoài việc đặt các mạng hệ thống điều khiển và thiết bị từ xa sau tường lửa và cách ly chúng khỏi mạng doanh nghiệp.
“Khi cần truy cập từ xa, hãy sử dụng các phương pháp bảo mật, chẳng hạn như Mạng riêng ảo (VPN), nhận biết rằng VPN có thể có lỗ hổng và nên được cập nhật lên phiên bản mới nhất hiện có “, cơ quan này cảnh báo. Ngoài ra, hãy nhận biết rằng VPN chỉ an toàn như các thiết bị được kết nối.”
