Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng (CISA) gần đây đã ban hành cảnh báo bảo mật cấp thiết về các lỗ hổng CVE nghiêm trọng trong Hệ thống đo bể tự động Veeder-Root TLS4B. Cảnh báo này, được công bố vào ngày 23 tháng 10 năm 2025, nhấn mạnh rằng những kẻ tấn công có thể khai thác các lỗ hổng này để chiếm quyền điều khiển các hệ thống công nghiệp quan trọng, đặc biệt trong lĩnh vực năng lượng, gây ra mối đe dọa nghiêm trọng đến hoạt động và an toàn.

Tổng quan về Cảnh báo của CISA và Tầm ảnh hưởng

Các nhà nghiên cứu bảo mật tại Bitsight đã phát hiện hai lỗ hổng bảo mật nghiêm trọng trong hệ thống Veeder-Root TLS4B. Hệ thống này được triển khai rộng rãi trên toàn cầu, với sự hiện diện đặc biệt trong ngành năng lượng, nơi chúng đóng vai trò thiết yếu trong việc giám sát và quản lý các bể chứa nhiên liệu.

Việc khai thác thành công các lỗ hổng này có thể dẫn đến việc kiểm soát hoàn toàn hệ thống, tạo điều kiện cho kẻ tấn công thực hiện các hành động độc hại, từ phá hoại dữ liệu đến gây gián đoạn hoạt động quy mô lớn. Điều này đặt ra một thách thức lớn đối với an ninh mạng công nghiệp.

Phân tích Lỗ hổng CVE-2025-58428: Thực thi Mã từ xa (Remote Code Execution)

Lỗ hổng đầu tiên được xác định liên quan đến việc xử lý không đúng các phần tử đặc biệt trong các lệnh, hay còn gọi là lỗi tiêm lệnh (command injection). Đây là một lỗ hổng CVE nghiêm trọng cho phép kẻ tấn công chèn mã độc vào hệ thống.

Bản chất và Mức độ Nghiêm trọng

Được theo dõi với mã định danh CVE-2025-58428, lỗ hổng này đã được gán điểm CVSS 9.4 trên thang điểm 10, cho thấy mức độ rủi ro cực kỳ cao. Điểm số này phản ánh mức độ nghiêm trọng và khả năng khai thác dễ dàng của lỗ hổng.

Điều kiện khai thác lỗ hổng yêu cầu kẻ tấn công phải có thông tin xác thực hợp lệ. Tuy nhiên, mức độ phức tạp để thực hiện cuộc tấn công là tương đối thấp. Kẻ tấn công có thể truy cập thông qua giao diện dịch vụ web dựa trên SOAP của hệ thống, giúp chúng dễ dàng tiếp cận từ xa qua Internet.

Cơ chế Khai thác và Ảnh hưởng Hệ thống

Khi kẻ tấn công có thể tiêm mã độc vào hệ thống, chúng có khả năng thực thi các lệnh cấp hệ thống trên nền tảng Linux bên dưới. Điều này có nghĩa là kẻ tấn công có thể giành được quyền truy cập shell hoàn chỉnh (full shell access) vào thiết bị.

Quyền truy cập shell cho phép kẻ tấn công điều khiển hoàn toàn hệ thống, bao gồm khả năng cài đặt phần mềm độc hại, sửa đổi cấu hình, hoặc thậm chí là di chuyển ngang (lateral movement) trong mạng lưới mà không bị phát hiện. Đây là một kịch bản chiếm quyền điều khiển đặc biệt nguy hiểm đối với hạ tầng quan trọng.

Phân tích Lỗ hổng CVE-2025-55067: Lỗi Tràn số nguyên (Integer Overflow)

Lỗ hổng thứ hai là một lỗi tràn số nguyên (integer overflow), ảnh hưởng đến cách hệ thống xử lý các giá trị thời gian Unix. Đây là một vấn đề kỹ thuật có thể gây ra những hậu quả nghiêm trọng.

Nguyên nhân và Hậu quả

Cụ thể, khi đồng hồ hệ thống của thiết bị Veeder-Root TLS4B đạt đến ngày 19 tháng 1 năm 2038, nó sẽ tự động đặt lại về ngày 13 tháng 12 năm 1901. Việc thao túng thời gian này không chỉ gây ra lỗi xác thực nghiêm trọng mà còn làm gián đoạn các chức năng hệ thống quan trọng khác.

Các quản trị viên có thể đối mặt với tình trạng mất quyền truy cập đăng nhập, hệ thống phát hiện rò rỉ nhiên liệu bị vô hiệu hóa, và thậm chí là các cuộc tấn công từ chối dịch vụ (DoS) khiến họ hoàn toàn không thể kiểm soát thiết bị. Đây là một rủi ro bảo mật đáng kể, ảnh hưởng trực tiếp đến tính ổn định và an toàn vận hành.

Các Phiên bản bị ảnh hưởng và Khuyến nghị Khắc phục

Hệ thống Veeder-Root TLS4B Automatic Tank Gauge được triển khai rộng khắp trên thế giới. Tất cả các phiên bản trước Phiên bản 11.A đều dễ bị tổn thương bởi lỗ hổng tiêm lệnh CVE-2025-58428. Các tổ chức đang sử dụng các phiên bản cũ hơn đang phải đối mặt với rủi ro ngay lập tức.

Cập nhật Bản vá cho CVE-2025-58428

Veeder-Root đã phát hành Phiên bản 11.A để khắc phục lỗ hổng CVE-2025-58428. Các tổ chức cần thực hiện việc cập nhật bản vá ngay lập tức lên phiên bản này để bảo vệ hệ thống của mình khỏi các cuộc tấn công khai thác. Đây là bước quan trọng nhất để giảm thiểu mối đe dọa mạng này.

Tình hình Khắc phục CVE-2025-55067

Đối với vấn đề tràn số nguyên (CVE-2025-55067), một bản vá khắc phục vĩnh viễn vẫn đang trong quá trình phát triển. Cho đến khi bản vá này được phát hành, Veeder-Root khuyến nghị các tổ chức tuân thủ các thực hành tốt nhất về an ninh mạng để giảm thiểu rủi ro. Thông tin chi tiết có thể được tìm thấy trong cảnh báo của CISA: CISA ICS Advisory ICSA-25-296-03.

Biện pháp Giảm thiểu Rủi ro và Bảo vệ Hệ thống

Ngoài việc cập nhật bản vá, CISA cũng cung cấp các biện pháp phòng thủ bổ sung để giảm thiểu rủi ro khai thác. Các biện pháp này đặc biệt quan trọng đối với các hệ thống điều khiển công nghiệp (ICS) đang bị đe dọa bởi các lỗ hổng CVE nghiêm trọng.

Giảm thiểu Tiếp xúc Internet

Các tổ chức nên giảm thiểu tối đa sự tiếp xúc với Internet cho tất cả các thiết bị hệ thống điều khiển. Điều này bao gồm việc cô lập chúng phía sau các tường lửa mạnh mẽ và tách biệt chúng hoàn toàn khỏi các mạng kinh doanh thông thường. Việc này giúp hạn chế bề mặt tấn công và làm giảm khả năng tiếp cận của kẻ xấu từ xa.

Sử dụng VPN cho Truy cập Từ xa

Khi truy cập từ xa là bắt buộc, việc sử dụng Mạng riêng ảo (VPN) với các bản cập nhật bảo mật mới nhất là điều cần thiết. VPN tạo ra một kênh liên lạc an toàn, mã hóa dữ liệu và bảo vệ phiên làm việc khỏi các cuộc nghe lén hoặc can thiệp độc hại. Việc triển khai VPN đúng cách là một phần không thể thiếu của chiến lược an toàn thông tin cho hệ thống ICS.

Khuyến nghị Chung về An ninh mạng công nghiệp

CISA cho biết, tính đến thời điểm ban hành cảnh báo, chưa có báo cáo công khai nào về việc khai thác các lỗ hổng CVE nghiêm trọng này. Tuy nhiên, với điểm CVSS cao và mức độ phức tạp khai thác thấp, các tổ chức cần coi đây là một cảnh báo khẩn cấp.

Các chuyên gia khuyến nghị thực hiện phân tích tác động kỹ lưỡng trước khi triển khai bất kỳ biện pháp phòng thủ nào để đảm bảo rằng việc triển khai không gây ra gián đoạn hoạt động không mong muốn. Sự chủ động trong an ninh mạng là chìa khóa để bảo vệ hạ tầng quan trọng khỏi các cuộc tấn công mạng tiềm tàng.