Phát hiện lỗ hổng nghiêm trọng trong các máy trạm của Emerson

Emerson DeltaV Workstations là các máy tính dành cho mục đích đặc biệt, được thiết kế để chạy các ứng dụng DeltaV. Theo Trung tâm Ứng cứu Khẩn cấp Hệ thống Điều khiển Công nghiệp Mỹ (ICS-CERT), các hệ thống này được sử dụng trên toàn thế giới, chủ yếu trong các lĩnh vực hóa học và năng lượng.

Một bản tư vấn được ICS-CERT công bố cuối tuần trước cho biết, các phiên bản máy trạm DeltaV DCS Workstation 11.3.1, 12.3.1, 13.3.0, 13.3.1 và R5 đã bị ảnh hưởng bởi 4 lỗ hổng nghiêm trọng. Các lỗ hổng bảo mật được Nozomi Networks phát hiện và một trong số đó được Ori Perez, nhà nghiên cứu bảo mật tại CyberX xác định độc lập.

Lỗ hổng cực kỳ nghiêm trọng nhất, dựa trên thang điểm của hệ thống đánh giá lỗ hổng (Common Vulnerability Scoring System - CVSS) là CVE-2018-14793, một lỗ hổng về tràn bộ đệm dựa trên ngăn xếp có thể bị khai thác cho việc thực thi mã tùy ý thông qua một cổng giao tiếp mở. Lỗ hổng rất nghiêm trọng thứ hai là CVE-2018-14795, được Ori Perez phát hiện, được ICS-CERT mô tả như một vấn đề xác nhận đường dẫn không đúng, có thể cho phép tin tặc thay thế các tập tin thi hành.

Phó Chủ tịch nghiên cứu của Cyber X là David Atch cho biết: “Chúng tôi có thể phân tích giao thức và đưa ra các lệnh lừa đảo đặc biệt để khai thác lỗ  hổng này nhằm chiếm được việc thực thi mã. Nguyên nhân của của lỗ hổng là do lỗi mã hóa, nghĩa là các cơ chế bảo mật Windows mặc định như ASLR và DEP không ngăn chặn việc thực thi mã từ xa”.

Hai lỗ hổng khác cũng được phân loại vào mức “nghiêm trọng cao” là CVE-2018-14797, tấn công DLL, có thể dẫn đến việc thực thi mã tùy ý và lỗ hổng CVE-2018-14791, cho phép người dùng không phải quản trị thay đổi những tập tin thư viện và tập tin thực thi trên các máy trạm bị ảnh hưởng.

CyberX và Nozomi cho biết, việc khai thác các lỗ hổng bảo mật này có thể cho phép tin tặc di chuyển trong mạng mục tiêu và có thể kiểm soát các máy trạm DeltaV. Tuy nhiên, hiện tại không có bằng chứng về những khai thác công khai nhắm vào những lỗ hổng này.

Để khai thác được các lỗ hổng thì cần phải truy nhập vào máy trạm mục tiêu qua mạng nội bộ hoặc Internet. Tuy nhiên, theo CyberX thì chưa có bất kỳ máy trạm DeltaV nào có thể truy nhập trực tiếp từ Web.

Moreno Carullo, đồng sáng lập và giám đốc kỹ thuật tại Nozomi đã chỉ ra rằng phần mềm độc hại khét tiếng Triton/Trisis cũng nhắm trước tiên vào máy trạm.

Emerson đã cung cấp các bản vá cho các phiên bản máy trạm DeltaV bị ảnh hưởng. Công ty cũng lưu ý rằng, công cụ kiểm soát ứng dụng (application whitelisting) có thể ngăn chặn việc khai thác hầu hết các lỗ hổng này vì nó có thể chặn các tập tin bị ghi đè.

ICS-CERT cho biết: “Để hạn chế tiếp xúc với những lỗ hổng này và nhiều lỗ hổng khác, Emerson khuyến nghị việc triển khai và cấu hình các hệ thống DeltaV cũng như các thành phần liên quan như được mô tả trong hướng dẫn bảo mật DeltaV Security Manual, có trên cổng hỗ trợ phòng vệ của Emerson (Guardian Support Portal) ”.