Các nhà nghiên cứu từ công ty an ninh mạng Tenable đã xác định các lỗ hổng trong sản phẩm ThinManager ThinServer của Rockwell Automation có thể được khai thác để nhắm vào hệ thống kiểm soát công nghiệp (ICS). Các lỗ hổng, được gắn nhãn là CVE-2023-2914, CVE-2023-2915 và CVE-2023-2917, đều rất nguy hiểm và mức độ nghiêm trọng cao. Những sai sót này xuất phát từ việc xác nhận nhập liệu không đúng, dẫn đến nguy cơ tràn số nguyên hoặc điều hướng đường dẫn. Đáng lo ngại, kẻ tấn công từ xa có thể khai thác những lỗ hổng này mà không cần xác thực trước bằng cách gửi thông điệp giao thức đồng bộ hóa được tạo ra đặc biệt.
Hậu quả của việc khai thác như vậy bao gồm gây ra tình trạng từ chối dịch vụ (DoS), xóa các tệp tin với đặc quyền hệ thống và tải lên các tệp vào bất kỳ thư mục nào mà ThinServer.exe đang tồn tại. Tenable đã báo cáo những lỗ hổng này cho Rockwell vào tháng Năm. Vào ngày 17 tháng 8, Rockwell thông báo cho khách hàng của mình về các bản vá sẵn có, trùng với việc Tenable phát hành chi tiết kỹ thuật. Mặc dù Tenable đã tạo ra các công cụ khai thác dựa trên nguyên tắc chứng minh, chúng vẫn chưa được công bố cho công chúng.
Tenable đã nêu rõ với SecurityWeek rằng yêu cầu duy nhất để khai thác là quyền truy cập mạng đến máy chủ dễ bị tổn thương. Nếu máy chủ được kết nối và tiết lộ trực tuyến, việc khai thác trực tiếp từ internet là khả thi, mặc dù đi ngược lại với các phương pháp tốt nhất của Rockwell. Tenable cảnh báo, “Việc khai thác thành công có thể cho phép kẻ tấn công kiểm soát hoàn toàn ThinServer. Hậu quả trong thế giới thực phụ thuộc vào môi trường, cài đặt máy chủ và các loại nội dung mà máy chủ truy cập.”
Sản phẩm này chủ yếu được sử dụng cho các giao diện người-máy (HMIs) điều khiển và giám sát thiết bị công nghiệp. Kẻ tấn công có thể tiếp cận các HMIs này hoặc chuyển từ máy chủ để nhắm vào các tài sản mạng khác. Cơ quan An ninh Mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) cũng đã phát hành một thông báo về những lỗ hổng này. Những tiết lộ gần đây cho thấy các đối tượng đe dọa đang nhắm vào lỗ hổng sản phẩm của Rockwell Automation, nhấn mạnh sự cần thiết của các biện pháp an ninh được tăng cường.
Source: SecurityWeek
Để giảm thiểu các mối đe dọa tiềm năng, điều quan trọng là cần thực hiện các biện pháp bảo mật mạng bổ sung với sự giúp đỡ của một đối tác đáng tin cậy như INFRA www.infrascan.net hoặc bạn cũng có thể tự thử bằng cách sử dụng check.website.