Cơ quan An ninh Cơ sở Hạ tầng và An ninh Mạng (CISA) đã phát hành một cảnh báo nghiêm trọng (ICSA-25-245-03) về một lỗ hổng CVE trong dòng biến tần năng lượng mặt trời SunPower PVS6. Lỗ hổng này cho phép kẻ tấn công trên các mạng lân cận chiếm quyền kiểm soát hoàn toàn thiết bị.

Với mức đánh giá 9.4 trên 10 theo thang CVSS v4, lỗ hổng xuất phát từ các thông tin xác thực được mã hóa cứng trong giao diện dịch vụ Bluetooth Low Energy (BLE). Điều này đặt ra một rủi ro cấp bách đối với hạ tầng năng lượng toàn cầu.

Chi tiết về CVE-2025-9696 và Cơ chế Khai thác

Lỗ hổng được theo dõi là CVE-2025-9696. Nguyên nhân là việc sử dụng các tham số mã hóa cứng và chi tiết giao thức công khai trong giao diện BLE. Một kẻ tấn công trong phạm vi Bluetooth (khoảng 50 mét trong điều kiện lý tưởng) có thể lợi dụng các thông tin xác thực này để truy cập cổng dịch vụ của thiết bị.

Khai thác thông tin xác thực mã cứng

Vì lỗ hổng này có thể bị khai thác với độ phức tạp thấp, không yêu cầu tương tác người dùng hoặc đặc quyền trước đó, nó tạo ra một mối đe dọa đáng kể đối với hạ tầng trọng yếu. CISA nhấn mạnh rằng dù cuộc tấn công không thể khởi động từ xa qua internet, nhiều hệ thống cài đặt vẫn để lộ giao diện Bluetooth mà không có phân đoạn mạng phù hợp. Điều này khiến các thiết bị nằm trong tầm với của các tác nhân độc hại.

Cảnh báo của CISA nêu rõ rằng các thông tin xác thực được mã hóa cứng cho phép giải mã và gửi các lệnh trái phép tới giao diện dịch vụ. Khi đã xâm nhập, kẻ tấn công có thể tải lên các bản firmware độc hại, cài đặt các backdoor dai dẳng, và cấu hình lại cài đặt tường lửa cùng mạng để duy trì quyền truy cập hoặc mở rộng tấn công sang các tài sản ICS khác.

Ảnh hưởng và Rủi ro Hệ thống

Tóm tắt điều hành của CISA cảnh báo rằng việc khai thác thành công điểm yếu này có thể cho phép kẻ thù thay thế firmware, thay đổi cài đặt lưới điện, vô hiệu hóa sản xuất điện, thiết lập các kênh SSH trái phép, và thao túng các thiết bị kết nối.

Với việc PVS6 được triển khai rộng rãi trong các hệ thống năng lượng mặt trời dân dụng và thương mại, việc khai thác lỗ hổng này có thể gây gián đoạn sản xuất điện, làm hỏng thiết bị, hoặc tạo điều kiện cho các cuộc tấn công rộng hơn vào các hệ thống kiểm soát công nghiệp (ICS). Đây là một lỗ hổng CVE nghiêm trọng ảnh hưởng trực tiếp đến an ninh năng lượng.

Các phiên bản bị ảnh hưởng

Các đơn vị SunPower PVS6 đang chạy phiên bản firmware 2025.06 build 61839 và các phiên bản cũ hơn đều được xác nhận là dễ bị tổn thương bởi lỗ hổng CVE này.

Khuyến nghị và biện pháp phòng ngừa từ CISA

SunPower chưa phản hồi công khai yêu cầu phối hợp từ CISA. Trong thời gian chờ đợi, CISA khuyến nghị các biện pháp phòng thủ sau:

• Đảm bảo tất cả các giao diện Bluetooth đều được bảo vệ vật lý và được phân đoạn mạng để ngăn chặn truy cập trái phép.
• Triển khai giám sát mạng mạnh mẽ để phát hiện hoạt động bất thường hoặc nỗ lực truy cập vào các thiết bị biến tần.
• Cập nhật firmware của thiết bị SunPower PVS6 ngay lập tức khi bản vá có sẵn từ nhà cung cấp.
• Kiểm tra các cấu hình thiết bị để đảm bảo không có dịch vụ không cần thiết nào đang chạy.

CISA cũng hướng dẫn các tổ chức đến cổng thông tin về các thực hành được khuyến nghị cho ICS để có thêm hướng dẫn, bao gồm “Cải thiện an ninh mạng hệ thống kiểm soát công nghiệp với chiến lược phòng thủ theo chiều sâu” và “Các chiến lược phát hiện và giảm thiểu xâm nhập mạng có mục tiêu”. Bạn có thể tìm thêm thông tin chi tiết trên trang khuyến nghị của CISA: CISA ICS Advisories.

Hướng dẫn khắc phục và báo cáo

Mặc dù CISA chưa nhận được báo cáo về việc khai thác tích cực nhắm mục tiêu vào CVE-2025-9696, cảnh báo nhấn mạnh rằng lỗ hổng vẫn nguy hiểm cho đến khi được vá. Các tổ chức cần coi đây là một nhiệm vụ khắc phục ưu tiên cao. Chủ sở hữu thiết bị SunPower PVS6 nên xác minh ngay lập tức phiên bản firmware và tìm kiếm các bản phát hành cập nhật từ SunPower để giải quyết lỗ hổng CVE này.

Để chống lại lừa đảo xã hội, người dùng nên tránh nhấp vào các liên kết hoặc tệp đính kèm không mong muốn và tham khảo các tài nguyên về lừa đảo và lừa đảo qua email của CISA. Khi CISA tiếp tục theo dõi các báo cáo sự cố, bất kỳ hoạt động độc hại nào được quan sát đều phải được báo cáo cho Đội Ứng phó Sự cố của CISA để đối chiếu và bảo vệ cộng đồng rộng lớn hơn. Việc theo dõi và cập nhật bản vá thường xuyên là rất quan trọng để đảm bảo an toàn thông tin cho hệ thống của bạn.