Cơ sở hạ tầng quan trọng có thể gặp rủi ro từ các lỗ hổng trong các thiết bị IIoT không dây

Một tập gồm 38 lỗ hổng bảo mật đã được phát hiện trong các thiết bị IoT công nghiệp không dây (Wireless IIoT) từ bốn nhà cung cấp khác nhau, có thể tạo ra bề mặt tấn công đáng kể cho các tác nhân đe dọa đang tìm cách khai thác các môi trường công nghệ vận hành (operational technology - OT).

Công ty bảo mật công nghiệp Otorio của Israel cho biết: “Các tác nhân đe dọa có thể khai thác các lỗ hổng trong thiết bị Wireless IIoT để giành quyền truy cập ban đầu vào các mạng OT nội bộ”. "Chúng có thể sử dụng các lỗ hổng này để vượt qua các lớp bảo mật và xâm nhập vào các mạng mục tiêu, gây nguy hiểm cho cơ sở hạ tầng quan trọng hoặc gián đoạn quá trình sản xuất".

Các lỗ hổng có thể cho phép kẻ tấn công chưa được xác thực giành được quyền truy cập vào mạng, sau đó sử dụng nó làm đòn bẩy để mở rộng xâm nhập sang các máy chủ khác, do đó gây ra thiệt hại đáng kể.

Nhà nghiên cứu bảo mật Roni Gavrilov cho biết một số lỗ hổng đã phát hiện có thể được kết hợp lại để cung cấp cho một tác nhân bên ngoài quyền truy cập trực tiếp vào hàng nghìn mạng OT nội bộ qua internet.

Trong số 38 lỗ hổng, có 3 lỗ hổng ảnh hưởng đến Máy chủ truy cập từ xa (RAS) của ETIC Telecom - CVE-2022-3703, CVE-2022-41607, và CVE-2022-40981 - có thể bị lạm dụng để giành toàn quyền kiểm soát các thiết bị bị ảnh hưởng.

5 lỗ hổng khác liên quan đến InHand Networks InRouter 302 và InRouter 615, nếu bị khai thác có thể dẫn đến tấn công command injection, tiết lộ thông tin và thực thi mã.

Cụ thể, việc khai thác đòi hỏi phải lợi dụng các sự cố trong nền tảng "Device Manager" (quản lý thiết bị) dựa trên cloud, nền tảng cho phép người vận hành thực hiện các hành động từ xa như thay đổi cấu hình và nâng cấp firmware, để xâm phạm mọi thiết bị [được quản lý trong môi trường cloud] với quyền root.

Cũng được xác định là 2 lỗ hổng trong Bộ định tuyến Sierra Wireless AirLink (CVE-2022-46649 và CVE-2022-46650) có thể dẫn đến tiết lộ thông tin nhạy cảm và thực thi mã từ xa. Các lỗ hổng còn lại hiện vẫn chưa được tiết lộ công khai.

Phát hiện này nhấn mạnh việc các mạng OT có thể gặp rủi ro khi cấu hình các thiết bị IIoT có thể truy cập trực tiếp trên internet, tạo ra một "điểm lỗi" (single point of failure) cho phép vượt qua tất cả các biện pháp bảo vệ.

Ngoài ra, những kẻ tấn công trong mạng có thể đột nhập vào các điểm truy cập (access point) Wi-Fi và các gateway, dẫn đến các kịch bản tấn công AitM với tác động bất lợi tiềm tàng.

Các cuộc tấn công có thể bao gồm từ nhắm mục tiêu vào các sơ đồ mã hóa yếu đến các cuộc tấn công coexistence nhằm vào các chip kết hợp được sử dụng rộng rãi trong các thiết bị điện tử.

Otorio lưu ý rằng các tác nhân đe dọa có thể sử dụng các nền tảng như WiGLE - cơ sở dữ liệu về các điểm truy cập (hotspot) không dây khác nhau trên toàn thế giới - để tìm kiếm các môi trường công nghiệp có giá trị cao, xác định vị trí thực tế của chúng và khai thác các điểm truy cập từ khoảng cách gần.

Để đối phó, bạn nên vô hiệu hóa các chương trình mã hóa không an toàn, ẩn tên mạng Wi-Fi, tắt các dịch vụ quản lý cloud không sử dụng và thực hiện các bước để ngăn không cho các thiết bị có thể truy cập công khai.

“Việc khai thác có độ phức tạp thấp, kết hợp với tác động tiềm năng rộng lớn, khiến các thiết bị IIoT không dây và nền tảng quản lý dựa trên cloud của các thiết bị trở thành mục tiêu hấp dẫn cho những kẻ muốn xâm phạm môi trường công nghiệp”.

Sự phát triển này diễn ra cùng khi Otorio tiết lộ chi tiết về hai lỗ hổng mức cao trong Nền tảng quản lý giấy phép tự động hóa của Siemens (CVE-2022-43513 và CVE-2022-43514, đã được Siemens vá vào tháng 1 năm 2023) có thể được kết hợp để thực thi mã từ xa và leo thang đặc quyền.

Nguồn: thehackernews.com.