Một lỗ hổng CVE nghiêm trọng đã được phát hiện trong thiết bị Amp’ed RF BT-AP 111 Bluetooth Access Point. Lỗ hổng này cho phép những kẻ tấn công chưa xác thực có thể truy cập đầy đủ quyền quản trị thông qua giao diện quản trị dựa trên HTTP của thiết bị.

Sự sơ suất về bảo mật quan trọng này làm suy yếu các biện pháp phòng thủ cơ bản. Nó đẩy các hệ thống triển khai vào nguy cơ thay đổi cấu hình trái phép, chặn bắt dữ liệu và xâm nhập mạng.

Phân tích Lỗ hổng CVE Nghiêm trọng trong Amp’ed RF BT-AP 111

BT-AP 111 là một cầu nối Bluetooth-to-Ethernet. Thiết bị này hỗ trợ tối đa bảy kết nối Bluetooth đồng thời và có khả năng Universal Plug and Play (UPnP) ở phía Ethernet.

Giao diện web quản trị của thiết bị có thể truy cập trên cổng 80. Giao diện này được thiết kế để cấu hình các hồ sơ Bluetooth, thông số mạng và cài đặt serial-over-Bluetooth qua một lớp trừu tượng serial UART.

Tuy nhiên, các thử nghiệm đã tiết lộ rằng giao diện này thiếu bất kỳ hình thức đăng nhập, thách thức mật khẩu hoặc mã thông báo kiểm soát truy cập nào. Điều này tạo ra một lỗ hổng CVE nghiêm trọng.

Do đó, bất kỳ ai có thể tiếp cận thiết bị qua mạng đều có thể ngay lập tức xem, sửa đổi hoặc xóa tất cả các cài đặt cấu hình.

Cơ chế Khai thác và Tác động của Lỗ hổng CVE-2025-9994

Trong thực tế, điều này có nghĩa là một kẻ tấn công kết nối với mạng LAN cục bộ—hoặc thông qua VPN cấu hình sai, hoặc cổng Ethernet bị lộ—có thể thay đổi các thông số ghép nối Bluetooth, tắt mã hóa.

Kẻ tấn công cũng có thể định tuyến lại lưu lượng truy cập qua các proxy độc hại, hoặc thậm chí thay đổi máy chủ cập nhật firmware. Lỗ hổng này được định danh là CVE-2025-9994.

Những hành động như vậy có thể tạo điều kiện cho việc nghe lén man-in-the-middle, ghép nối thiết bị trái phép và cài đặt mã độc hại dai dẳng. Khả năng này dẫn đến việc chiếm quyền điều khiển hoàn toàn thiết bị.

Sự thiếu vắng xác thực cũng mở ra cánh cửa cho việc khóa cấu hình, tấn công từ chối dịch vụ (denial-of-service), và sau đó là di chuyển ngang qua mạng.

Vi phạm Tiêu chuẩn và Hướng dẫn An ninh Mạng

Hướng dẫn của NIST luôn yêu cầu xác thực là một kiểm soát cơ bản cho các thiết bị cung cấp giao diện từ xa hoặc cận trường.

Hướng dẫn về Bảo mật Bluetooth của NIST (SP 800-121 Rev. 2) chỉ định Cấp độ Dịch vụ 2 yêu cầu xác thực. Cấp độ Dịch vụ 1 khuyến nghị cả xác thực và ủy quyền cho các chức năng quản trị.

Hơn nữa, NIST SP 800-124 Rev. 1 khuyên rằng tất cả các thiết bị phải thực thi kiểm soát truy cập mạnh mẽ trước khi để lộ các tài nguyên cấu hình hoặc quản trị.

Bằng cách bỏ qua ngay cả rào cản xác thực cơ bản nhất, BT-AP 111 đã vi phạm các thực tiễn tốt nhất được thiết lập này, khiến các nhà vận hành không có lớp phòng thủ chuyên sâu đáng tin cậy.

Các tiêu chuẩn ngành nhấn mạnh rằng các thiết bị nhúng—ngay cả những thiết bị chủ yếu được thiết kế để giao tiếp tầm gần—phải xử lý các giao diện quản trị với sự nghiêm ngặt tương tự như các thiết bị mạng truyền thống.

Việc BT-AP 111 không thực hiện được điều này không chỉ vi phạm hướng dẫn mà còn khiến các tổ chức phải đối mặt với các hệ quả về quy định và tuân thủ nếu các kiểm soát bảo mật được coi là không đủ. Điều này gây ra rủi ro bảo mật đáng kể.

Để biết thêm chi tiết về lỗ hổng CVE này, bạn có thể tham khảo báo cáo của CERT/CC tại: CERT/CC Vulnerability Note VU#763183.

Các Biện pháp Giảm thiểu và Phòng vệ

Hiện tại, CERT/CC chưa nhận được bất kỳ phản hồi nào từ nhà cung cấp về việc cập nhật firmware hoặc bản vá bảo mật để khắc phục lỗ hổng xác thực này.

Khi không có biện pháp khắc phục trong thiết bị, các quản trị viên phải sử dụng các kiểm soát cấp độ mạng để hạn chế sự tiếp xúc với lỗ hổng CVE này.

Cô lập Mạng và Kiểm soát Truy cập

• Rất khuyến nghị rằng các tổ chức nên đặt bất kỳ thiết bị BT-AP 111 nào đằng sau các VLAN được kiểm soát truy cập hoặc các phân đoạn cách ly không thể truy cập được bởi người dùng không đáng tin cậy.
• Việc triển khai các quy tắc tường lửa nghiêm ngặt để chặn cổng 80 trên thiết bị khỏi tất cả trừ các trạm quản lý đáng tin cậy có thể ngăn chặn hiệu quả truy cập trái phép.

Phát hiện và Giám sát

Trong các môi trường mà việc cô lập là không khả thi, hãy xem xét triển khai hệ thống ngăn chặn xâm nhập (IPS) nội tuyến. Cấu hình IPS để phát hiện các yêu cầu HTTP đến các điểm cuối quản lý BT-AP 111 đã biết và loại bỏ lưu lượng truy cập đó.

Các quét mạng định kỳ nên bao gồm kiểm tra sự hiện diện của các giao diện BT-AP 111 không xác thực. Điều này giúp đảm bảo rằng các thiết bị mới được thêm vào không vô tình để lộ giao diện dễ bị tổn thương, giảm thiểu rủi ro bảo mật.

Cho đến khi Amp’ed RF phát hành một bản cập nhật quản lý có xác thực, biện pháp phòng thủ khả thi duy nhất chống lại việc chiếm quyền điều khiển hoàn toàn là phân đoạn mạng toàn diện kết hợp với giám sát cảnh giác các triển khai cầu nối Bluetooth.

Lỗ hổng CVE này đã được Souvik Kandar báo cáo. Tài liệu tư vấn và bài viết kỹ thuật được biên soạn bởi Timur Snoke.