-
09/04/2020
-
122
-
1.416 bài viết
Router Sierra Wireless tồn tại lỗ hổng nguy hiểm, mở đường cho tấn công RCE
Cơ quan An ninh mạng và Hạ tầng Hoa Kỳ (CISA) mới đây đã phát đi cảnh báo khẩn về một lỗ hổng bảo mật đã tồn tại nhiều năm trong các router công nghiệp Sierra Wireless, sau khi ghi nhận dấu hiệu bị tin tặc khai thác ngoài thực tế. Đáng chú ý, lỗ hổng này cho phép kẻ tấn công chiếm quyền điều khiển thiết bị từ xa với đặc quyền cao nhất, đặt ra nguy cơ lớn đối với các hệ thống hạ tầng công nghiệp, viễn thông và môi trường vận hành OT (Operational Technology).
Đây là lỗ hổng gì, tồn tại ở đâu và được phát hiện như thế nào?
Lỗ hổng được đề cập có mã CVE-2018-4063, ảnh hưởng đến các router công nghiệp Sierra Wireless AirLink, sử dụng hệ điều hành ALEOS (đây là dòng thiết bị phổ biến trong các hệ thống kết nối công nghiệp, giao thông, năng lượng và viễn thông).
Theo CISA, đây là lỗ hổng upload tệp không kiểm soát cho phép kẻ tấn công từ xa tải lên các tệp độc hại thông qua một yêu cầu HTTP đã xác thực, từ đó dẫn đến thực thi mã từ xa.
Lỗ hổng này không phải mới. Nó được nhóm nghiên cứu Cisco Talos phát hiện và báo cáo cho Sierra Wireless từ tháng 12/2018, trước khi được công bố công khai vào tháng 4/2019. Tuy nhiên, đến nay, lỗ hổng vẫn tiếp tục bị khai thác do nhiều thiết bị chưa được cập nhật hoặc đã rơi vào trạng thái hết vòng đời hỗ trợ.
Theo CISA, đây là lỗ hổng upload tệp không kiểm soát cho phép kẻ tấn công từ xa tải lên các tệp độc hại thông qua một yêu cầu HTTP đã xác thực, từ đó dẫn đến thực thi mã từ xa.
Lỗ hổng này không phải mới. Nó được nhóm nghiên cứu Cisco Talos phát hiện và báo cáo cho Sierra Wireless từ tháng 12/2018, trước khi được công bố công khai vào tháng 4/2019. Tuy nhiên, đến nay, lỗ hổng vẫn tiếp tục bị khai thác do nhiều thiết bị chưa được cập nhật hoặc đã rơi vào trạng thái hết vòng đời hỗ trợ.
Mã lỗ hổng và mức độ nguy hiểm
CVE-2018-4063 được đánh giá có mức độ nghiêm trọng cao, với điểm CVSS dao động từ 8,8 đến 9,9, tùy theo bối cảnh triển khai. Đây là mức điểm cho thấy lỗ hổng có khả năng gây ảnh hưởng nghiêm trọng, đặc biệt trong các hệ thống công nghiệp vốn yêu cầu tính ổn định và an toàn cao.
Vì sao lỗ hổng này đặc biệt nguy hiểm?
Nguyên nhân cốt lõi của lỗ hổng nằm ở chức năng "upload.cgi" trong thành phần quản trị ACEManager của firmware AirLink ES450 (phiên bản 4.9.3).
Cụ thể, khi thiết bị cho phép người dùng tải lên các tệp mẫu, hệ thống không kiểm tra hoặc hạn chế tên tệp được upload. Điều này tạo ra một kịch bản nguy hiểm:
Cụ thể, khi thiết bị cho phép người dùng tải lên các tệp mẫu, hệ thống không kiểm tra hoặc hạn chế tên tệp được upload. Điều này tạo ra một kịch bản nguy hiểm:
- Kẻ tấn công có thể upload một tệp mới trùng tên với các tệp hệ thống đã tồn tại.
- Nếu tệp bị ghi đè vốn có quyền thực thi, tệp độc hại mới tải lên sẽ kế thừa toàn bộ quyền đó.
- Một số tệp như "fw_upload_init.cgi" hoặc "fw_status.cgi" vốn đã có quyền thực thi trên thiết bị.
Đáng lo ngại hơn, toàn bộ tiến trình ACEManager lại chạy với quyền root, đồng nghĩa với việc bất kỳ mã độc hay script nào được tải lên và thực thi đều có thể chiếm toàn quyền kiểm soát thiết bị.
Quá trình lỗ hổng bị khai thác ngoài thực tế
Theo phân tích từ các chuyên gia, trong một chiến dịch giám sát honeypot kéo dài 90 ngày, các router công nghiệp được ghi nhận là mục tiêu bị tấn công nhiều nhất trong môi trường OT.
Đáng chú ý, một cụm tấn công mới chưa từng được công bố trước đây, có tên "Chaya_005", đã khai thác CVE-2018-4063 từ đầu tháng 01/2024. Nhóm này sử dụng "endpoint /cgi-bin/upload.cgi" để tải lên payload độc hại có tên "fw_upload_init.cgi", đúng theo cơ chế khai thác mà Cisco Talos từng cảnh báo.
Dù hiện tại không ghi nhận thêm các nỗ lực khai thác thành công, các chuyên gia nhận định đây là một chiến dịch trinh sát diện rộng, nhằm thử nghiệm nhiều lỗ hổng trên các thiết bị khác nhau, thay vì tập trung vào một mục tiêu đơn lẻ.
Đáng chú ý, một cụm tấn công mới chưa từng được công bố trước đây, có tên "Chaya_005", đã khai thác CVE-2018-4063 từ đầu tháng 01/2024. Nhóm này sử dụng "endpoint /cgi-bin/upload.cgi" để tải lên payload độc hại có tên "fw_upload_init.cgi", đúng theo cơ chế khai thác mà Cisco Talos từng cảnh báo.
Dù hiện tại không ghi nhận thêm các nỗ lực khai thác thành công, các chuyên gia nhận định đây là một chiến dịch trinh sát diện rộng, nhằm thử nghiệm nhiều lỗ hổng trên các thiết bị khác nhau, thay vì tập trung vào một mục tiêu đơn lẻ.
Rủi ro và hậu quả nếu bị khai thác thành công
Việc lỗ hổng này bị khai thác có thể dẫn đến nhiều hậu quả nghiêm trọng:
- Thiết bị bị chiếm quyền điều khiển hoàn toàn từ xa.
- Tin tặc có thể cài đặt mã độc, botnet hoặc phần mềm đào tiền ảo.
- Router bị biến thành bàn đạp tấn công sang các hệ thống nội bộ khác.
- Nguy cơ gián đoạn hoạt động sản xuất, giao thông, năng lượng hoặc dịch vụ viễn thông.
- Trong môi trường OT, một sự cố bảo mật có thể kéo theo rủi ro an toàn vật lý và thiệt hại kinh tế lớn.
Phạm vi ảnh hưởng và những vấn đề cần lưu ý
CVE-2018-4063 ảnh hưởng trực tiếp đến các thiết bị Sierra Wireless AirLink đã hết vòng đời hỗ trợ. Điều này đồng nghĩa với việc không còn bản vá chính thức cho nhiều hệ thống đang vận hành ngoài thực tế. Trước tình hình khai thác đang diễn ra, CISA đã đưa lỗ hổng này vào danh sách Known Exploited Vulnerabilities (KEV).
Khuyến nghị và giải pháp phòng tránh
Các chuyên gia an ninh mạng khuyến cáo người dùng và tổ chức cần khẩn trương thực hiện các biện pháp sau:
- Rà soát toàn bộ hệ thống để xác định các thiết bị Sierra Wireless AirLink còn đang hoạt động.
- Nâng cấp lên phiên bản firmware còn được hỗ trợ, nếu có thể.
- Trong trường hợp thiết bị đã hết hỗ trợ, cần lên kế hoạch thay thế hoặc ngừng sử dụng.
- Hạn chế truy cập giao diện quản trị từ Internet, chỉ cho phép truy cập từ mạng nội bộ an toàn.
- Triển khai giám sát lưu lượng mạng để phát hiện các yêu cầu HTTP bất thường.
- Phân tách mạng OT với IT nhằm giảm thiểu nguy cơ lây lan khi xảy ra sự cố.
CISA yêu cầu các cơ quan thuộc Federal Civilian Executive Branch (FCEB) phải hoàn tất việc khắc phục hoặc ngừng sử dụng thiết bị bị ảnh hưởng trước ngày 02/01/2026.
Trường hợp của CVE-2018-4063 là một lời cảnh tỉnh rõ ràng về những rủi ro tiềm ẩn từ các lỗ hổng cũ nhưng chưa bao giờ “hết nguy hiểm”. Trong bối cảnh tin tặc ngày càng nhắm mạnh vào hạ tầng công nghiệp và OT, việc chậm trễ vá lỗi, tiếp tục sử dụng thiết bị hết vòng đời hỗ trợ có thể biến những hệ thống tưởng chừng ổn định thành điểm yếu chí mạng.
Việc chủ động rà soát, cập nhật và thay thế thiết bị không còn an toàn không chỉ là yêu cầu kỹ thuật, mà còn là yếu tố sống còn để bảo vệ hoạt động liên tục, an toàn và uy tín của các tổ chức trong kỷ nguyên số.
Trường hợp của CVE-2018-4063 là một lời cảnh tỉnh rõ ràng về những rủi ro tiềm ẩn từ các lỗ hổng cũ nhưng chưa bao giờ “hết nguy hiểm”. Trong bối cảnh tin tặc ngày càng nhắm mạnh vào hạ tầng công nghiệp và OT, việc chậm trễ vá lỗi, tiếp tục sử dụng thiết bị hết vòng đời hỗ trợ có thể biến những hệ thống tưởng chừng ổn định thành điểm yếu chí mạng.
Việc chủ động rà soát, cập nhật và thay thế thiết bị không còn an toàn không chỉ là yêu cầu kỹ thuật, mà còn là yếu tố sống còn để bảo vệ hoạt động liên tục, an toàn và uy tín của các tổ chức trong kỷ nguyên số.