Một lỗ hổng bảo mật đáng lo ngại đã được các nhà nghiên cứu phát hiện. Lỗ hổng này biến các webcam USB thông thường thành công cụ tấn công bí mật, có khả năng chèn các lần gõ phím độc hại và thực thi các lệnh trái phép trên máy tính được kết nối. Đây là một lỗ hổng zero-day đáng chú ý trong lĩnh vực an ninh mạng.

Khám phá đột phá này đại diện cho trường hợp được ghi nhận đầu tiên. Các thiết bị USB đã gắn vào hệ thống, vốn không được thiết kế cho mục đích độc hại, lại bị vũ khí hóa. Điều này làm tăng thêm một chiều hướng mới cho mối đe dọa từ các thiết bị ngoại vi.

Các nhà nghiên cứu Jesse Michael và Mickey Shkatov từ Eclypsium đã trình bày phát hiện của họ tại DEF CON 2025. Họ đã chứng minh cách các mẫu webcam Lenovo chạy Linux cụ thể có thể bị xâm phạm từ xa. Sau đó, chúng được chuyển đổi thành thiết bị tấn công BadUSB.

Lỗ hổng này ảnh hưởng đến webcam Lenovo 510 FHD và Lenovo Performance FHD. Các thiết bị này được sản xuất bởi SigmaStar. Chúng sử dụng bộ vi xử lý System-on-Chip (SoC) chạy ARM với hệ điều hành Linux hoàn chỉnh.

Khái quát về Cuộc tấn công BadUSB trên Webcam

Các cuộc tấn công BadUSB khai thác mối quan hệ tin cậy cơ bản giữa máy tính và các thiết bị ngoại vi USB. Chúng thực hiện điều này bằng cách lập trình lại firmware của thiết bị. Mục tiêu là để giả mạo thành các thiết bị giao diện người (HID) như bàn phím hoặc chuột.

Khả năng giả mạo này cho phép kẻ tấn công gửi các lệnh và nhập liệu như thể chúng đến từ một người dùng hợp pháp. Điều này có thể dẫn đến việc cài đặt mã độc hoặc thay đổi cấu hình hệ thống.

Lần đầu tiên được trình diễn tại Black Hat 2014, các cuộc tấn công BadUSB đã phát triển đáng kể. Các nền tảng phần cứng như Hak5 Rubber Ducky và Flipper Zero đã cho phép thực hiện các khai thác dựa trên USB tinh vi. Những cuộc tấn công này thường có khả năng vượt qua phần mềm chống vi-rút truyền thống.

Không giống như các cuộc tấn công BadUSB truyền thống yêu cầu thay thế thiết bị vật lý, kẻ tấn công giờ đây có thể chiếm quyền điều khiển webcam chạy Linux đã kết nối với hệ thống mục tiêu từ xa.

Khả năng này biến chúng thành các vector tấn công dai dẳng và khó phát hiện. Đồng thời, chúng vẫn duy trì chức năng camera ban đầu, khiến người dùng khó nhận ra sự bất thường. Đây là một bước tiến đáng kể trong các kỹ thuật tấn công mạng tinh vi.

Chi tiết Kỹ thuật Lỗ hổng

Bản chất Lỗ hổng Firmware

Lỗ hổng cốt lõi bắt nguồn từ việc thiếu xác thực chữ ký firmware trong các webcam bị ảnh hưởng. Các thiết bị này sử dụng bộ xử lý SigmaStar SSC9351D ARM Cortex-A7 lõi kép với bộ nhớ DDR3 nhúng. Chúng chạy Linux với hỗ trợ USB Gadget.

Tính năng USB gadget của Linux cho phép thiết bị trình bày bản thân dưới dạng các thiết bị ngoại vi USB khác nhau. Chúng có thể là bàn phím ảo, bộ điều hợp mạng ảo hoặc các thiết bị khác, đối với máy tính chủ. Điều này vốn là một tính năng hợp pháp để tăng tính linh hoạt của thiết bị.

Tuy nhiên, kẻ tấn công có thể khai thác điều này bằng cách gửi các lệnh cụ thể qua USB. Các lệnh này nhằm xóa và ghi lại bộ nhớ flash SPI tích hợp của webcam. Việc ghi đè bộ nhớ này cho phép chúng cài đặt firmware độc hại, đạt được sự thỏa hiệp hoàn toàn thiết bị.

Nghiên cứu của Eclypsium đã tiết lộ rằng quá trình cập nhật firmware liên quan đến các chuỗi lệnh đơn giản. Chúng ghi trực tiếp firmware mới mà không có bất kỳ xác thực nào về tính hợp lệ hoặc chữ ký của nó. Điều này tạo điều kiện cho việc chèn mã độc vào phần cứng của webcam.

Đây là một ví dụ điển hình về việc khai thác các điểm yếu cấp độ firmware, biến thiết bị vô hại thành một vector tấn công nguy hiểm, làm nổi bật bản chất của một lỗ hổng zero-day.

Bạn có thể tham khảo thêm chi tiết kỹ thuật về phát hiện này tại blog của Eclypsium: Eclypsium – BadCam. Đây là một nguồn thông tin đáng tin cậy về lỗ hổng zero-day này và các nguy cơ từ thiết bị ngoại vi.

Cơ chế Khai thác và Tác động

Có hai đường dẫn tấn công chính được các nhà nghiên cứu xác định. Đầu tiên là cài đặt vật lý các webcam đã bị thỏa hiệp trước vào hệ thống mục tiêu. Thứ hai và đáng lo ngại hơn là lây nhiễm từ xa các thiết bị hiện có thông qua việc thỏa hiệp hệ thống ban đầu.

Một khi bị vũ khí hóa, những webcam này có thể tái lây nhiễm máy tính chủ. Điều này xảy ra ngay cả sau khi cài đặt lại hệ điều hành hoàn chỉnh hoặc thay đổi ổ cứng. Chúng cung cấp khả năng duy trì sự tồn tại chưa từng có ở cấp độ phần cứng.

Khả năng duy trì này cho phép kẻ tấn công liên tục duy trì chiếm quyền điều khiển hệ thống trong thời gian dài. Đây là một đặc điểm cực kỳ nguy hiểm, đặc biệt đối với các cuộc tấn công dai dẳng (APT) hoặc các chiến dịch gián điệp mạng.

Sự kiên trì ở cấp độ firmware này khiến việc loại bỏ mối đe dọa trở nên vô cùng khó khăn, vì các giải pháp bảo mật truyền thống thường tập trung vào lớp phần mềm.

Phạm vi Ảnh hưởng và Biện pháp Khắc phục

Mở rộng Phạm vi Ảnh hưởng

Phạm vi của lỗ hổng zero-day này có thể mở rộng ra ngoài các mẫu Lenovo đã được thử nghiệm. Điều này là do nhiều nhà sản xuất khác cũng sản xuất các thiết bị ngoại vi USB dựa trên Linux với các SoC ARM.

Những thiết bị này có thể có nền tảng phần cứng tương tự và có khả năng chứa các lỗi bảo mật tương tự về xác thực firmware. Các thiết bị như webcam, dongle Wi-Fi, hoặc bộ điều hợp USB có thể bị ảnh hưởng.

Do đó, các tổ chức và cá nhân cần cảnh giác cao độ. Việc kiểm tra và cập nhật firmware định kỳ cho tất cả các thiết bị USB là rất quan trọng để giảm thiểu rủi ro từ những lỗ hổng zero-day tiềm ẩn khác.

Cập nhật và Biện pháp Giảm thiểu

Lenovo đã hợp tác chặt chẽ với SigmaStar để giải quyết lỗ hổng zero-day này. Họ đã nhanh chóng phát hành các công cụ cài đặt firmware được cập nhật với xác thực chữ ký phù hợp, ngăn chặn việc ghi đè firmware độc hại.

Người dùng webcam bị ảnh hưởng nên truy cập trang web hỗ trợ chính thức của Lenovo. Tại đó, họ có thể tìm thấy các bản cập nhật bảo mật để giảm thiểu các lỗ hổng này. Việc hành động kịp thời là rất quan trọng.

Công ty đã cung cấp phiên bản firmware 4.8.0 cho cả hai mẫu bị ảnh hưởng (Lenovo 510 FHD và Lenovo Performance FHD). Các bản cập nhật này có sẵn thông qua các kênh hỗ trợ chính thức của họ. Việc áp dụng bản vá bảo mật này là cực kỳ quan trọng để bảo vệ hệ thống khỏi các cuộc tấn công BadUSB.

Khám phá này nhấn mạnh bề mặt tấn công ngày càng mở rộng trong các môi trường điện toán hiện đại. Các thiết bị ngoại vi đáng tin cậy có thể trở thành vector tấn công tinh vi. Điều này đòi hỏi các thực hành bảo mật cảnh giác và cập nhật firmware thường xuyên cho tất cả các thiết bị.