Một lỗ hổng CVE nghiêm trọng đã được phát hiện trong các mô-đun Ethernet ControlLogix của Rockwell Automation. Lỗ hổng này có khả năng cho phép những kẻ tấn công từ xa thực thi mã độc trên các hệ thống điều khiển công nghiệp (ICS).

Chi tiết kỹ thuật về lỗ hổng CVE-2025-7353

Lỗ hổng CVE này, được định danh là CVE-2025-7353, ảnh hưởng đến nhiều mô-đun truyền thông ControlLogix. Nó mang mức độ nghiêm trọng CVSS 9.8/10, biểu thị rủi ro cao nhất đối với các hệ thống bị ảnh hưởng.

Rockwell Automation đã công bố chi tiết về lỗ hổng CVE này vào ngày 14 tháng 8 năm 2025. Việc phát hiện diễn ra trong quá trình kiểm tra nội bộ định kỳ của hãng. Thông tin chính thức và khuyến nghị bảo mật có thể tham khảo tại: Rockwell Automation Security Advisory SD1732.

Nguyên nhân gốc rễ và cơ chế khai thác của lỗ hổng CVE

Lỗ hổng CVE-2025-7353 xuất phát từ một tác nhân gỡ lỗi (debugger agent) dựa trên nền web. Tác nhân này vẫn được kích hoạt trên các thiết bị đã phát hành. Điều này vô tình tạo ra một vectơ tấn công cho các tác nhân độc hại.

Lỗ hổng được phân loại theo CWE-1188: Initialization of a Resource with an Insecure Default. Mã phân loại này cho thấy chức năng gỡ lỗi web đã được cấu hình không an toàn trong môi trường sản xuất.

Khi kẻ tấn công kết nối với trình gỡ lỗi web dễ bị tổn thương bằng một địa chỉ IP cụ thể, chúng có thể truy cập trái phép. Quyền truy cập này cho phép thực hiện các thao tác như trích xuất bộ nhớ (memory dumps), sửa đổi bộ nhớ hệ thống, và kiểm soát luồng thực thi của các quy trình công nghiệp quan trọng. Đây là một cơ chế tiềm ẩn cho việc chiếm quyền điều khiển hệ thống.

Phạm vi ảnh hưởng và rủi ro an ninh mạng nghiêm trọng

Các hệ thống bị ảnh hưởng bao gồm một số mô-đun truyền thông Ethernet ControlLogix. Đây là những thành phần thiết yếu trong các môi trường tự động hóa công nghiệp. Các mô-đun này chịu trách nhiệm giao tiếp giữa các bộ điều khiển logic khả trình (PLC) và các thiết bị nối mạng khác. Chúng đóng vai trò cốt lõi trong hệ thống kiểm soát quy trình và sản xuất.

Chuỗi vector CVSS cho thấy lỗ hổng CVE này có thể bị khai thác từ xa qua kết nối mạng. Điều đáng chú ý là nó không yêu cầu xác thực hay tương tác người dùng. Điều này làm cho nó đặc biệt nguy hiểm đối với các hệ thống công nghiệp được kết nối internet. Khả năng remote code execution (RCE) là một rủi ro đáng kể. Nó cho phép kẻ tấn công thực thi mã tùy ý và có thể dẫn đến việc chiếm quyền điều khiển hoàn toàn hệ thống.

Mặc dù lỗ hổng CVE-2025-7353 chưa được thêm vào cơ sở dữ liệu Known Exploited Vulnerabilities (KEV) của CISA. Điều này cho thấy chưa có xác nhận về việc khai thác tích cực trên thực tế. Tuy nhiên, với bản chất nghiêm trọng của lỗi và tiềm năng remote code execution, các chuyên gia bảo mật khuyến nghị xem đây là một nỗ lực vá lỗi có mức độ ưu tiên cao. Một hệ thống bị xâm nhập qua lỗ hổng CVE này có thể gây ra hậu quả nghiêm trọng, ảnh hưởng đến hoạt động sản xuất và an toàn.

Biện pháp khắc phục và khuyến nghị bảo mật tức thì

Rockwell Automation đã phát hành phiên bản firmware 12.001 để khắc phục triệt để lỗ hổng CVE-2025-7353 trên tất cả các mô-đun ControlLogix bị ảnh hưởng.

Hiện tại, không có giải pháp khắc phục tạm thời (workaround) nào được cung cấp cho lỗ hổng CVE này. Do đó, việc triển khai bản vá bảo mật ngay lập tức là chiến lược phòng thủ chính. Các tổ chức đang vận hành các hệ thống ControlLogix bị ảnh hưởng cần ưu tiên cập nhật lên phiên bản firmware đã được khắc phục để loại bỏ hoàn toàn rủi ro bảo mật.

Việc áp dụng bản vá bảo mật này là điều tối cần thiết để bảo vệ hệ thống khỏi các cuộc tấn công tiềm tàng. Việc Rockwell Automation phát hiện lỗ hổng CVE thông qua quy trình kiểm tra bảo mật nội bộ của họ. Điều này thể hiện cam kết mạnh mẽ của hãng đối với việc xác định lỗ hổng một cách chủ động và minh bạch với khách hàng, góp phần nâng cao an toàn thông tin cho hệ thống công nghiệp.