Có tới năm lỗ hổng đã được phát hiện trong các thiết bị đầu cuối từ xa TBox (RTU) của Ovarro, nếu không được vá, có thể mở ra cánh cửa cho các cuộc tấn công leo thang chống lại các cơ sở hạ tầng quan trọng, như thực thi mã từ xa và từ chối dịch vụ.
“Việc khai thác thành công các lỗ hổng này có thể dẫn đến việc thực thi mã từ xa, điều này có thể gây ra tình trạng từ chối dịch vụ”, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) nói trong một lời khuyên được công bố vào ngày 23 tháng Ba.
TBox là giải pháp “tất cả trong một” cho các hệ thống điều khiển và tự động hóa để kiểm soát giám sát và thu thập dữ liệu (SCADA) các ứng dụng, với phần mềm đo từ xa được sử dụng để điều khiển từ xa và giám sát tài sản trong một số lĩnh vực cơ sở hạ tầng quan trọng, chẳng hạn như nước, điện, dầu và khí đốt, giao thông vận tải và các ngành công nghiệp chế biến. Thiết bị TBox có thể được lập trình bằng bộ phần mềm gọi là TWinSoft, cho phép tạo các trang web tương tác, nơi người dùng có thể theo dõi và kiểm soát nội dung trang web của họ.
Các lỗ hổng đã được phát hiện và báo cáo cho CISA bởi Uri Katz, một nhà nghiên cứu bảo mật của công ty bảo mật công nghệ hoạt động Claroty. Chúng ảnh hưởng đến nhiều sản phẩm, bao gồm TBox LT2, TBox MS-CPU32, TBox MS-CPU32-S2, TBox MS-RM2, TBox TG2 và tất cả các phiên bản của TWinSoft trước 12.4 và Phần mềm cơ sở TBox trước 1.46.
Claroty nhận thấy rằng trong số tất cả các TBox RTU có thể truy cập internet được tìm thấy trực tuyến, gần 62,5% thiết bị không yêu cầu xác thực, do đó có khả năng cho phép kẻ tấn công khai thác dịch vụ HTTP và kiểm soát các thiết bị. Hầu hết các thiết bị được cho là đặt tại Canada, Đức, Thái Lan và Mỹ
Điều tra sâu hơn về các thiết bị đầu cuối từ xa đã phát hiện ra nhiều lỗ hổng trong giao thức Modbus độc quyền được sử dụng cho truyền thông có thể được tận dụng để chạy mã độc trong TBox (CVE-2021-22646), làm hỏng hệ thống TBox (CVE-2021-22642), và thậm chí giải mã mật khẩu đăng nhập (CVE-2021-22640) bằng cách nắm bắt lưu lượng mạng giữa RTU và phần mềm.
Lỗ hổng thứ tư được phát hiện trong các chức năng truy cập tệp Modbus đã cấp cho kẻ tấn công quyền cao hơn để đọc, thay đổi hoặc xóa tệp cấu hình (CVE-2021-22648), trong khi CVE-2021-22644 có thể trích xuất khóa mật mã được mã hóa cứng.
Như một bằng chứng về khái niệm, các nhà nghiên cứu đã xâu chuỗi ba trong số các lỗ hổng ở trên – CVE-2021-22648, CVE-2021-22644 và CVE-2021-22646 – để truy cập tệp cấu hình, giải nén và giải mã khóa mã hóa cứng và cuối cùng là triển khai gói cập nhật độc hại trong RTU.
Với sự phổ biến của TBox RTU trong cơ sở hạ tầng quan trọng, nghiên cứu cho thấy những nguy hiểm liên quan đến việc để lộ các thiết bị như vậy trực tiếp trên Internet, do đó gây ra mối đe dọa đối với tính toàn vẹn của các quy trình tự động hóa và an toàn công cộng như nhau.
“Kết nối các thành phần cơ sở hạ tầng quan trọng không được bảo vệ với internet mang theo những rủi ro không thể chấp nhận được mà các doanh nghiệp công nghiệp phải tự nhận thức”, Claroty’s Katz và Sharon Brizinov lưu ý.
“Điều đó nghe có vẻ như một tuyên bố hiển nhiên, nhưng ngày càng rõ ràng rằng nhiều tổ chức không chú ý đến cảnh báo từ các nhà nghiên cứu về việc để lộ các giao diện dựa trên web bị định cấu hình sai trực tuyến và giảm thiểu các lỗ hổng phần mềm và phần mềm điều khiển kịp thời.”
