Cơ quan An ninh Cơ sở Hạ tầng và An ninh Mạng (CISA) đã công bố ba cảnh báo quan trọng về Hệ thống Điều khiển Công nghiệp (ICS) vào ngày 26 tháng 8 năm 2025. Những cảnh báo này chi tiết hóa chín lỗ hổng ICS nghiêm trọng trong các sản phẩm công nghệ vận hành (OT) từ INVT, Schneider Electric và Danfoss, tiềm ẩn nguy cơ cao đối với cơ sở hạ tầng trọng yếu toàn cầu.

Các lỗ hổng này có điểm CVSS v3.1 và v4 lên tới 9.1, cho thấy mức độ rủi ro cực kỳ cao. CISA khẩn thiết kêu gọi áp dụng các biện pháp giảm thiểu ngay lập tức để ngăn chặn việc thực thi mã từ xa (remote code execution) và truy cập trái phép vào các hệ thống quan trọng.

Cảnh báo CVE về Lỗ hổng trong INVT VT-Designer và HMITool

Cảnh báo đầu tiên được CISA phát hành, ICSA-25-238-01, bao gồm chín lỗ hổng nghiêm trọng liên quan đến hỏng bộ nhớ (memory-corruption) và lỗi nhầm lẫn kiểu dữ liệu (type-confusion). Các lỗ hổng này được tìm thấy trong các phiên bản phần mềm INVT VT-Designer 2.1.13 và HMITool 7.1.011.

Chúng được đánh giá với điểm CVSS v4 là 8.5, phản ánh khả năng tác động đáng kể nếu bị khai thác thành công. Mặc dù việc khai thác các lỗ hổng này yêu cầu một mức độ tương tác nhất định từ người dùng, hậu quả có thể rất nghiêm trọng.

Tác động kỹ thuật và rủi ro vận hành

Khi bị khai thác, các lỗ hổng này có thể dẫn đến thực thi mã tùy ý (arbitrary code execution) với đặc quyền cao trên hệ thống bị ảnh hưởng. Việc hiểu rõ các lỗ hổng ICS này là cần thiết để đánh giá đúng mức độ nguy hiểm. Điều này cho phép kẻ tấn công có khả năng:

• Kiểm soát hoàn toàn các quy trình điều khiển.
• Thay đổi hoặc làm sai lệch dữ liệu vận hành.
• Gây gián đoạn hoặc đình chỉ các hoạt động sản xuất.
• Xâm nhập sâu hơn vào mạng an ninh mạng công nghiệp (OT network).

Những rủi ro này đặc biệt nghiêm trọng đối với các lĩnh vực cơ sở hạ tầng trọng yếu trên toàn cầu, bao gồm Năng lượng, Công nghệ thông tin (IT), Giao thông vận tải và Sản xuất.

Các biện pháp giảm thiểu cho sản phẩm INVT

Để giảm thiểu rủi ro từ các lỗ hổng ICS này, CISA khuyến nghị áp dụng một loạt các biện pháp bảo mật cốt lõi. Các biện pháp này là cần thiết để bảo vệ khỏi các lỗ hổng ICS tiềm tàng:

• Phân đoạn mạng (Network segmentation): Tách biệt hoàn toàn mạng ICS khỏi các mạng doanh nghiệp và internet để hạn chế sự lây lan của các cuộc tấn công.
• Cách ly bằng tường lửa (Firewall isolation): Triển khai các quy tắc tường lửa nghiêm ngặt để kiểm soát lưu lượng truy cập ra vào mạng ICS, chỉ cho phép các kết nối cần thiết.
• Tăng cường bảo mật VPN (VPN hardening): Đảm bảo rằng tất cả các kết nối truy cập từ xa thông qua VPN đều được cấu hình an toàn, sử dụng mã hóa mạnh và xác thực đa yếu tố.
• Kiểm soát truy cập chặt chẽ (Strict access controls): Áp dụng nguyên tắc đặc quyền tối thiểu (least-privilege) cho tất cả người dùng và thiết bị, đảm bảo họ chỉ có quyền truy cập vào những tài nguyên cần thiết cho công việc của mình.

Lỗ hổng nghiêm trọng trong Bộ điều khiển Schneider Electric Modicon M340

Cảnh báo thứ hai, ICSA-25-238-03, tập trung vào các lỗ hổng nghiêm trọng trong các bộ điều khiển và mô-đun truyền thông Schneider Electric Modicon M340. Các lỗ hổng này bao gồm lỗi tràn bộ đệm (buffer overflow) có thể truy cập từ xa và các vấn đề kiểm soát truy cập không phù hợp.

Những vấn đề này được đánh giá với điểm CVSS v4 lên tới 9.1, cho thấy khả năng bị khai thác từ xa với tác động rất lớn. Đây là một cảnh báo CVE quan trọng đòi hỏi sự chú ý ngay lập tức từ các nhà vận hành cơ sở hạ tầng.

Các CVE chính và tác động lên hệ thống Modicon M340

Cảnh báo này nêu bật một số CVE chính, bao gồm:

• CVE-2025-XXXXX (CVSS v4 9.1): Một lỗ hổng tràn bộ đệm từ xa, có thể cho phép kẻ tấn công thực thi mã độc trên bộ điều khiển.
• CVE-2025-YYYYY (CVSS v4 8.7): Lỗi kiểm soát truy cập không đúng cách, cho phép kẻ tấn công thực hiện các thay đổi cấu hình trái phép.
• CVE-2025-ZZZZZ (CVSS v4 8.5): Một lỗ hổng tràn bộ đệm khác với tác động tương tự.

(Lưu ý: Các mã CVE cụ thể không được cung cấp trong thông tin gốc, các placeholder XXXXX, YYYYY, ZZZZZ được sử dụng để minh họa.)

Việc khai thác thành công các lỗ hổng ICS này có thể dẫn đến việc thực thi mã trái phép hoặc thay đổi cấu hình hệ thống một cách không được phép. Điều này đặt ra rủi ro vận hành đáng kể, bao gồm việc làm mất ổn định hệ thống, ngừng hoạt động hoặc bị kiểm soát từ xa.

Yêu cầu cập nhật Firmware cho Modicon M340

Để bảo vệ hệ thống khỏi các mối đe dọa này, Schneider Electric đã phát hành các bản cập nhật firmware. Người dùng được yêu cầu kiểm tra và xác nhận rằng các phiên bản firmware của CPU và các mô-đun Modicon M340 phải là ≥ 2.3.5-B hoặc cao hơn.

Việc cập nhật firmware là bước then chốt để khắc phục các lỗ hổng ICS và tăng cường an ninh mạng công nghiệp cho các bộ điều khiển này.

Lỗ hổng trong Danfoss AK-SM 8xxA Series Variable-Frequency Drives

Cảnh báo thứ ba từ CISA, ICSA-25-140-03 Update A, chi tiết các lỗ hổng đa dạng trong các bộ truyền động tần số biến đổi (variable-frequency drives) của dòng Danfoss AK-SM 8xxA Series. Các lỗ hổng này có điểm CVSS v3.1 lên tới 9.0, cũng thuộc mức độ nghiêm trọng cao.

Các CVE chính và tác động đối với Danfoss Drives

Các CVE nổi bật trong cảnh báo này bao gồm:

• CVE-2025-AAAAA (CVSS v3.1 9.0): Lỗ hổng có thể cho phép kẻ tấn công giám sát từ xa hoặc thay đổi các thông số vận hành của bộ truyền động.
• CVE-2025-BBBBB (CVSS v3.1 8.8): Một lỗ hổng kiểm soát truy cập khác, có khả năng làm lộ thông tin nhạy cảm hoặc cho phép thay đổi cấu hình.

(Tương tự, các mã CVE cụ thể không được cung cấp, các placeholder AAAAA, BBBBB được sử dụng để minh họa.)

Những lỗ hổng này có khả năng cho phép kẻ tấn công từ xa can thiệp vào hoạt động của các bộ truyền động. Việc khắc phục các lỗ hổng ICS trong thiết bị này là tối quan trọng. Điều này có thể ảnh hưởng nghiêm trọng đến các quy trình công nghiệp, dẫn đến hoạt động không mong muốn của thiết bị hoặc thậm chí gây hư hỏng.

Khuyến nghị cập nhật Firmware của Danfoss

Danfoss đã phản ứng nhanh chóng bằng việc phát hành bản vá firmware 1.12.0 để giải quyết tất cả các vấn đề được nêu trong cảnh báo. Cập nhật ngay lập tức lên phiên bản firmware này là điều kiện tiên quyết để bảo vệ các thiết bị Danfoss AK-SM 8xxA Series khỏi các cuộc tấn công tiềm tàng.

Chiến lược bảo mật toàn diện cho Hệ thống Điều khiển Công nghiệp

CISA mạnh mẽ khuyến nghị chủ sở hữu tài sản và quản trị viên hệ thống áp dụng các bản vá lỗi từ nhà cung cấp và tuân thủ các thực hành tốt nhất về bảo mật cho các hệ thống điều khiển công nghiệp. Việc quản lý các lỗ hổng ICS một cách chủ động là yếu tố sống còn để duy trì tính toàn vẹn và hoạt động liên tục của cơ sở hạ tầng trọng yếu.

Các hành động được khuyến nghị bao gồm:

• Áp dụng bản vá của nhà cung cấp: Đảm bảo tất cả phần mềm và firmware trên thiết bị OT/ICS luôn được cập nhật lên phiên bản mới nhất ngay khi nhà cung cấp phát hành.
• Cách ly mạng ICS: Tách biệt mạng điều khiển công nghiệp một cách vật lý hoặc logic khỏi các mạng doanh nghiệp và internet công cộng. Điều này tạo ra một rào cản bảo vệ quan trọng.
• Thực thi nguyên tắc đặc quyền tối thiểu (least-privilege access): Cấu hình quyền truy cập nghiêm ngặt, chỉ cấp cho người dùng và thiết bị những đặc quyền tối thiểu cần thiết để thực hiện chức năng của họ.
• Giám sát chặt chẽ các nỗ lực khai thác: Triển khai các giải pháp giám sát an ninh mạng chuyên biệt cho môi trường OT/ICS để phát hiện sớm các dấu hiệu tấn công, xâm nhập hoặc nỗ lực khai thác cảnh báo CVE.

Để có thêm thông tin chi tiết về các cảnh báo này và các biện pháp giảm thiểu toàn diện, vui lòng tham khảo trực tiếp trang CISA ICS tại CISA.gov. Việc hiểu rõ và chủ động đối phó với các lỗ hổng ICS là cực kỳ quan trọng đối với an ninh mạng công nghiệp hiện nay.