-
09/04/2020
-
123
-
1.501 bài viết
Lỗ hổng OpenSSH nghiêm trọng đe dọa các switch công nghiệp Moxa
Moxa, hãng sản xuất thiết bị mạng công nghiệp được sử dụng rộng rãi trong nhà máy, hệ thống giao thông và hạ tầng quan trọng vừa phát đi cảnh báo khẩn cấp liên quan đến một lỗ hổng trong các dòng Ethernet switch của hãng. Lỗ hổng này có thể cho phép kẻ tấn công thực thi mã từ xa, chiếm toàn quyền kiểm soát thiết bị, gây rủi ro lớn cho các hệ thống công nghiệp đang vận hành.
Theo thông báo bảo mật MPSA-256261, lỗ hổng mang mã CVE-2023-38408, có điểm CVSS 9,8/10, được xếp vào mức Critical. Đáng lo ngại hơn, lỗ hổng này có thể bị khai thác qua mạng, không cần đăng nhập, không cần tương tác người dùng.
Lỗ hổng là gì và xuất phát từ đâu?
Về bản chất, CVE-2023-38408 không phải là lỗi hoàn toàn mới. Đây là hệ quả của việc vá chưa triệt để một lỗ hổng OpenSSH cũ (CVE-2016-10009), liên quan đến tính năng "PKCS#11" trong "ssh-agent".
Cụ thể, "ssh-agent" sử dụng cơ chế tìm kiếm thư viện không an toàn. Khi tính năng agent forwarding được bật và kết nối tới một hệ thống do kẻ tấn công kiểm soát, attacker có thể lợi dụng cơ chế này để nạp thư viện độc hại, từ đó thực thi mã tùy ý trên thiết bị Moxa. Nói đơn giản, chỉ cần có đường kết nối SSH phù hợp, kẻ tấn công có thể “chui ngược” vào switch và chiếm quyền điều khiển từ xa.
Cụ thể, "ssh-agent" sử dụng cơ chế tìm kiếm thư viện không an toàn. Khi tính năng agent forwarding được bật và kết nối tới một hệ thống do kẻ tấn công kiểm soát, attacker có thể lợi dụng cơ chế này để nạp thư viện độc hại, từ đó thực thi mã tùy ý trên thiết bị Moxa. Nói đơn giản, chỉ cần có đường kết nối SSH phù hợp, kẻ tấn công có thể “chui ngược” vào switch và chiếm quyền điều khiển từ xa.
Những thiết bị nào bị ảnh hưởng?
Theo Moxa, nhiều dòng switch công nghiệp đang được triển khai rộng rãi bị ảnh hưởng, bao gồm các series "EDS-G4000", EDS-4008/4009/4012/4014, "RKS-G4000" và "RKS-G4028" với các phiên bản firmware cũ. Đây đều là thiết bị thường nằm sâu trong hạ tầng mạng công nghiệp, ít được giám sát liên tục như hệ thống IT thông thường.
Mức độ nguy hiểm ra sao?
Nếu bị khai thác thành công, kẻ tấn công có thể:
- Toàn quyền kiểm soát thiết bị mạng
- Nghe lén, chỉnh sửa hoặc chặn luồng dữ liệu
- Làm bàn đạp tấn công sang các hệ thống khác
- Gây gián đoạn vận hành, thậm chí làm tê liệt dây chuyền sản xuất
Giải pháp và khuyến nghị
Moxa cho biết đã phát hành bản vá chính thức, gồm:
- Firmware v4.1.58 cho dòng EDS
- Firmware v5.0.4 cho dòng RKS
Các chuyên gia an ninh mạng khuyến cáo:
- Khẩn trương kiểm kê thiết bị Moxa đang sử dụng
- Cập nhật firmware ngay khi có thể
- Hạn chế hoặc tắt agent forwarding SSH nếu không cần thiết
- Giám sát lưu lượng và hành vi bất thường trong mạng OT