Cơ quan An ninh Cơ sở hạ tầng và An ninh Mạng (CISA) đã công bố mười cảnh báo về hệ thống kiểm soát công nghiệp (ICS) vào ngày 7 tháng 8 năm 2025. Các cảnh báo này nhấn mạnh nhiều lỗ hổng CVE nghiêm trọng trên các nền tảng tự động hóa và điều khiển công nghiệp khác nhau.

Những cảnh báo này thể hiện nỗ lực toàn diện nhằm giải quyết các lỗ hổng bảo mật có khả năng tác động đến hoạt động cơ sở hạ tầng quan trọng. Các lĩnh vực bị ảnh hưởng bao gồm sản xuất, năng lượng và hệ thống giao thông.

Tổng quan về Cảnh báo Hệ thống Kiểm soát Công nghiệp (ICS)

Loạt cảnh báo mới nhất của CISA về hệ thống kiểm soát công nghiệp thể hiện cam kết liên tục của cơ quan này. Mục tiêu là bảo vệ cơ sở hạ tầng quan trọng khỏi các mối đe dọa mạng đang phát triển. Các cảnh báo này là một phần của chiến lược chủ động nhằm nâng cao khả năng phục hồi an ninh mạng quốc gia.

Mười cảnh báo này cùng lúc giải quyết các lỗ hổng trên nhiều nhà cung cấp và nền tảng hệ thống kiểm soát công nghiệp khác nhau. Mỗi lỗ hổng đều đặt ra những thách thức bảo mật riêng biệt. Chúng đòi hỏi sự chú ý tức thì từ các nhà vận hành công nghiệp và chuyên gia an ninh mạng. Đây là những cảnh báo CVE quan trọng đối với cộng đồng bảo mật.

Phân tích Chi tiết các Lỗ hổng trong Cảnh báo ICS của CISA

CISA đã công bố chi tiết về mười lỗ hổng CVE cụ thể, ảnh hưởng đến các sản phẩm và hệ thống khác nhau:

1. Delta Electronics DIAView (ICSA-25-219-01)

• Lỗ hổng: Lỗi Path Traversal (CWE-22)
• Phiên bản bị ảnh hưởng: DIAView v4.2.0.0 và các phiên bản trước.
• Mô tả: Lỗ hổng này cho phép kẻ tấn công từ xa thao túng các đường dẫn tệp. Việc khai thác có thể dẫn đến khả năng đọc hoặc ghi các tệp tùy ý trên hệ thống, gây ra rò rỉ thông tin nhạy cảm hoặc ghi đè các tệp cấu hình quan trọng.

2. Johnson Controls FX80 và FX90 (ICSA-25-219-02)

• Lỗ hổng: Phụ thuộc vào thành phần bên thứ ba dễ bị tấn công (CWE-1395)
• Mô tả: Sự phụ thuộc vào một thư viện hoặc thành phần không an toàn. Điều này tạo điều kiện cho kẻ tấn công thực hiện hành vi giả mạo cấu hình hoặc thay đổi trái phép các thiết lập quan trọng của hệ thống.

3. Burk Technology ARC Solo (ICSA-25-219-03)

• Lỗ hổng: Thiếu xác thực cho chức năng quan trọng (CWE-306)
• Phiên bản bị ảnh hưởng: Các phiên bản trước v1.0.62.
• Mô tả: Lỗ hổng này cho phép kẻ tấn công chiếm quyền kiểm soát hệ thống thông qua điểm cuối thay đổi mật khẩu mà không cần xác thực. Điều này dẫn đến chiếm quyền điều khiển hoàn toàn hệ thống.

4. Rockwell Automation Arena (ICSA-25-219-04)

• Lỗ hổng: Nhiều lỗ hổng thực thi mã cục bộ
• Mô tả: Bao gồm các lỗi như đọc ngoài giới hạn (out-of-bounds read), tràn bộ đệm dựa trên stack (stack-based buffer overflow) và tràn bộ đệm dựa trên heap (heap-based buffer overflow). Những lỗ hổng CVE này có thể dẫn đến thực thi mã tùy ý ở cấp độ cục bộ, cho phép kẻ tấn công kiểm soát hệ thống.

5. Packet Power EMX và EG (ICSA-25-219-05)

• Lỗ hổng: Thiếu xác thực cho chức năng quan trọng (CWE-306)
• Mô tả: Giao diện web mặc định của thiết bị thiếu cơ chế xác thực đầy đủ cho các chức năng quan trọng. Điều này cho phép truy cập trái phép và thao tác các thiết lập hệ thống mà không cần đăng nhập.

6. Ứng dụng di động Dreame Technology iOS và Android (ICSA-25-219-06)

• Lỗ hổng: Xác thực chứng chỉ không đúng cách (CWE-295)
• Mô tả: Lỗ hổng này cho phép các cuộc tấn công Man-in-the-Middle (MITM) trên các kết nối TLS sử dụng chứng chỉ tự ký. Kẻ tấn công có thể chặn và sửa đổi lưu lượng truyền thông giữa ứng dụng và máy chủ.

7. Biến tần EG4 Electronics EG4 (ICSA-25-219-07)

• Lỗ hổng:
• Truyền dữ liệu không mã hóa (Cleartext transmission)
• Bỏ qua kiểm tra tính toàn vẹn firmware
• Tiết lộ thông tin qua sự khác biệt có thể quan sát được
• Cho phép tấn công vét cạn (Excessive authentication attempts)
• Mô tả: Tập hợp các lỗ hổng này làm giảm đáng kể tính bảo mật của thiết bị. Chúng cho phép kẻ tấn công truy cập thông tin nhạy cảm, cài đặt firmware độc hại hoặc thực hiện các cuộc tấn công vét cạn để chiếm quyền xác thực.

8. Điện thoại IP Yealink và RPS (ICSA-25-219-08)

• Lỗ hổng: Nhiều lỗ hổng
• Cho phép tấn công vét cạn (CWE-307)
• Thiếu giới hạn tốc độ (CWE-770)
• Ủy quyền không chính xác (CWE-863)
• Xác thực chứng chỉ không đúng cách (CWE-295)
• Mô tả: Những lỗ hổng này kết hợp lại có thể dẫn đến việc chiếm đoạt tài khoản, truy cập trái phép vào các chức năng bị hạn chế và tấn công MITM vào lưu lượng mã hóa.

9. Instantel Micromate (ICSA-25-148-04)

• Lỗ hổng: Thiếu xác thực cho chức năng quan trọng (CWE-306)
• Mô tả: Lỗ hổng này xuất hiện trên cổng cấu hình khi thiết bị được kết nối qua modem. Việc thiếu xác thực cho phép kẻ tấn công truy cập và sửa đổi các thiết lập cấu hình quan trọng mà không cần thông tin đăng nhập hợp lệ.

10. Mitsubishi Electric ICONICS và Sản phẩm Mitsubishi Electric (ICSA-25-140-04)

• Lỗ hổng: Thực thi với đặc quyền không cần thiết (CWE-250)
• Mô tả: Lỗ hổng này xảy ra thông qua một liên kết tượng trưng (symbolic link) trong tác nhân AlarmWorX64 Pager. Kẻ tấn công có thể lợi dụng điều này để thực thi mã với các đặc quyền cao hơn mức cần thiết, dẫn đến việc leo thang đặc quyền trong hệ thống.

Các Biện pháp Đối phó và Khuyến nghị An ninh Mạng

Việc CISA công bố mười cảnh báo về hệ thống kiểm soát công nghiệp nêu bật bản chất dai dẳng và ngày càng phát triển của các mối đe dọa mạng đối với cơ sở hạ tầng quan trọng. Các tổ chức vận hành hệ thống kiểm soát công nghiệp phải luôn cảnh giác trong việc triển khai các chương trình an ninh mạng toàn diện. Điều này bao gồm việc giải quyết cả các lỗ hổng CVE đã biết và các vectơ tấn công mới nổi.

Cần thường xuyên theo dõi các bản vá từ nhà cung cấp và áp dụng chúng kịp thời. Việc này là bước then chốt để giảm thiểu rủi ro từ các lỗ hổng CVE đã được công bố. Đối với các hệ thống không thể cập nhật bản vá ngay lập tức, cần triển khai các biện pháp kiểm soát bù đắp như phân đoạn mạng hoặc giám sát chặt chẽ.

Sự hợp tác liên tục giữa các cơ quan chính phủ, nhà cung cấp và nhà vận hành vẫn là điều cần thiết. Điều này nhằm duy trì an ninh và khả năng phục hồi của các hệ thống cơ sở hạ tầng quan trọng. Việc chia sẻ thông tin về các mối đe dọa mạng mới nổi và các chiến thuật tấn công giúp nâng cao khả năng phòng thủ tổng thể.