Một lỗ hổng CVE nghiêm trọng đã được phát hiện trong các hệ thống Daikin Security Gateway, có khả năng cho phép kẻ tấn công bỏ qua xác thực và giành quyền truy cập trái phép vào các hệ thống điều khiển công nghiệp (ICS). Lỗ hổng này, được định danh là CVE-2025-10127, đe dọa các tổ chức trên toàn cầu phụ thuộc vào cơ sở hạ tầng bảo mật của Daikin để bảo vệ các hoạt động quan trọng trong ngành năng lượng. Đây là một cảnh báo nghiêm trọng về an ninh mạng đối với cơ sở hạ tầng quan trọng.

Phân Tích Chi Tiết Lỗ Hổng CVE-2025-10127 và Nguy Cơ Bảo Mật

CVE-2025-10127 bắt nguồn từ một cơ chế khôi phục mật khẩu yếu kém, cho phép kẻ tấn công trái phép hoàn toàn bỏ qua quá trình xác thực. Các nhà nghiên cứu bảo mật đã phát hiện ra rằng Daikin Security Gateway chứa một cơ chế bỏ qua ủy quyền thông qua lỗ hổng khóa do người dùng kiểm soát. Điều này cho phép kẻ tấn công truy cập vào các hệ thống mà không cần bất kỳ thông tin đăng nhập hoặc xác thực trước đó nào.

Chi Tiết Kỹ Thuật về Lỗ Hổng

Lỗ hổng được phân loại dưới CWE-640 (Weak Password Recovery Mechanism for Forgotten Password – Cơ chế khôi phục mật khẩu yếu cho mật khẩu bị quên). Điều này ngụ ý rằng quy trình thiết lập lại hoặc khôi phục mật khẩu trong Daikin Security Gateway không đủ mạnh, cho phép kẻ tấn công thao túng các bước để giành quyền truy cập hợp lệ hoặc bỏ qua hoàn toàn yêu cầu xác thực.

Cụ thể, lỗ hổng CVE này ảnh hưởng đến các hệ thống Daikin Security Gateway chạy App version 100 và Frm version 214. Sự tồn tại của một công cụ khai thác (Proof of Concept – PoC) công khai đã được phát hiện bởi CISA, do nhà nghiên cứu bảo mật Gjoko Krstic tạo ra, làm tăng đáng kể nguy cơ khai thác và nhấn mạnh tính cấp bách của các biện pháp phòng vệ.

Đánh Giá Mức Độ Nghiêm Trọng (CVSS)

Lỗ hổng mang theo những hậu quả bảo mật nghiêm trọng, được thể hiện qua điểm số CVSS 3.1 là 9.8 (Critical) và CVSS 4.0 là 8.8 (High). Điểm số cao này nhấn mạnh khả năng bị khai thác cao và tác động tàn khốc của lỗ hổng đối với các hệ thống bị ảnh hưởng.

• Vector Tấn Công (Attack Vector): Mạng (Network). Kẻ tấn công có thể khai thác lỗ hổng từ xa qua mạng mà không cần truy cập vật lý vào thiết bị. Điều này mở rộng phạm vi tấn công tới bất kỳ hệ thống nào có thể tiếp cận qua mạng.
• Độ Phức Tạp (Attack Complexity): Thấp (Low). Yêu cầu kỹ năng và tài nguyên tối thiểu để thực hiện cuộc tấn công thành công. Điều này làm cho lỗ hổng dễ dàng bị khai thác bởi nhiều loại tác nhân đe dọa.
• Quyền Hạn Yêu Cầu (Privileges Required): Không (None). Kẻ tấn công không cần bất kỳ quyền hạn nào trên hệ thống mục tiêu. Điều này loại bỏ một rào cản đáng kể đối với việc khai thác.
• Tương Tác Người Dùng (User Interaction): Không (None). Cuộc tấn công có thể được thực hiện mà không cần sự tương tác của người dùng bị ảnh hưởng, khiến nó trở nên đặc biệt nguy hiểm đối với các hệ thống phơi nhiễm và khó bị phát hiện sớm.

Việc khai thác thành công lỗ hổng CVE này có thể dẫn đến sự xâm phạm hoàn toàn tính bảo mật (Confidentiality), tính toàn vẹn (Integrity) và tính khả dụng (Availability) của các hệ thống bị ảnh hưởng. Trong bối cảnh hệ thống điều khiển công nghiệp, điều này có nghĩa là kẻ tấn công có thể không chỉ truy cập dữ liệu nhạy cảm mà còn sửa đổi các thông số vận hành quan trọng, hoặc thậm chí làm ngừng hoạt động toàn bộ hệ thống. Để tìm hiểu thêm về các cảnh báo từ CISA liên quan đến ICS, có thể tham khảo tại CISA ICS Advisories, một nguồn thông tin đáng tin cậy về các mối đe dọa trong môi trường công nghiệp.

Kịch Bản Khai Thác và Tác Động Hệ Thống

Sự tồn tại của các công cụ khai thác công khai làm cho lỗ hổng CVE-2025-10127 trở nên đặc biệt đáng lo ngại. Các hệ thống bị ảnh hưởng được triển khai rộng rãi trên toàn cầu trong cơ sở hạ tầng ngành năng lượng, tiềm ẩn nguy cơ gây ra gián đoạn quy mô lớn và ảnh hưởng nghiêm trọng đến các dịch vụ thiết yếu.

Khả Năng Khai Thác Thực Tế và Hậu Quả

Với độ phức tạp tấn công thấp, không yêu cầu quyền hạn hay tương tác người dùng, kẻ tấn công có thể dễ dàng tận dụng lỗ hổng này. Một khi đã bỏ qua được cơ chế xác thực và giành quyền kiểm soát một Daikin Security Gateway, họ có thể thực hiện nhiều hành động độc hại:

• Truy cập và Đánh cắp Dữ liệu: Truy cập vào các dữ liệu độc quyền, thông tin cấu hình hệ thống, nhật ký hoạt động và dữ liệu vận hành nhạy cảm từ các thiết bị ICS được kết nối. Điều này có thể dẫn đến rò rỉ thông tin cạnh tranh hoặc thông tin hoạt động quan trọng.
• Sửa đổi Cấu hình Hệ thống: Thay đổi các thiết lập quan trọng của hệ thống điều khiển, dẫn đến hoạt động sai lệch, hiệu suất kém hoặc thậm chí là hư hại vật lý cho thiết bị.
• Gây Gián đoạn Hoạt động: Thực hiện các lệnh để ngừng hoạt động các quy trình công nghiệp, từ đó ảnh hưởng đến sản xuất, phân phối năng lượng hoặc các dịch vụ thiết yếu khác. Một hệ thống bị xâm nhập có thể gây ra thời gian ngừng hoạt động đáng kể, thiệt hại kinh tế và ảnh hưởng đến an toàn.
• Chèn Mã Độc: Sử dụng quyền truy cập có được để chèn mã độc hoặc phần mềm độc hại khác vào mạng ICS, thiết lập chỗ đứng lâu dài hoặc chuẩn bị cho các cuộc tấn công tiếp theo.

Đây là một rủi ro đáng kể đối với các tổ chức phụ thuộc vào Daikin Security Gateway để bảo vệ tài sản công nghiệp của họ. Khả năng kẻ tấn công chiếm quyền điều khiển mà không cần xác thực là một kịch bản xâm nhập mạng cực kỳ nguy hiểm.

Rủi Ro Đối Với Cơ Sở Hạ Tầng Năng Lượng

Ngành năng lượng là một mục tiêu chiến lược và hấp dẫn đối với các tác nhân đe dọa, bao gồm cả các nhóm APT, do tính chất quan trọng của các dịch vụ mà nó cung cấp. Việc một lỗ hổng CVE như thế này có thể bị khai thác để tấn công các hệ thống điều khiển trong ngành này là cực kỳ đáng báo động. Các cuộc tấn công thành công không chỉ gây thiệt hại về tài chính và gián đoạn hoạt động, mà còn có thể đe dọa an toàn công cộng, môi trường và an ninh quốc gia. Nó đặt ra một thách thức lớn cho an ninh mạng trong các hệ thống ICS.

Phản Ứng từ Nhà Cung Cấp và Khuyến Nghị Phòng Ngừa

Trong một động thái bất thường, Daikin đã tuyên bố rằng họ sẽ không khắc phục lỗ hổng CVE-2025-10127 này và sẽ chỉ phản hồi trực tiếp các yêu cầu của từng người dùng. Quyết định này đặt gánh nặng bảo vệ hoàn toàn lên vai các tổ chức đang sử dụng các hệ thống bị ảnh hưởng. Điều này càng làm tăng thêm tầm quan trọng của việc triển khai và duy trì các biện pháp phòng ngừa chủ động và mạnh mẽ.

Các Biện Pháp Phòng Vệ Khẩn Cấp để Ngăn Chặn Xâm Nhập

CISA đặc biệt khuyến nghị thực hiện các biện pháp phòng thủ để giảm thiểu rủi ro khai thác. Các tổ chức cần triển khai một chiến lược an ninh mạng mạnh mẽ, đặc biệt cho các hệ thống điều khiển công nghiệp:

• Cách Ly Mạng (Network Segmentation): Đảm bảo các thiết bị hệ thống điều khiển không thể truy cập được trực tiếp từ internet. Chúng cần được đặt phía sau tường lửa (firewall) được cấu hình chặt chẽ và được cách ly vật lý hoặc logic khỏi các mạng doanh nghiệp và các mạng không đáng tin cậy khác. Việc sử dụng mạng phi quân sự (DMZ) có kiểm soát chặt chẽ cho các dịch vụ cần thiết cũng là một lựa chọn.
• Giảm Thiểu Phơi Nhiễm Mạng: Hạn chế tối đa việc phơi bày mạng cho tất cả các hệ thống điều khiển. Chỉ cho phép các kết nối cần thiết và áp dụng nguyên tắc đặc quyền tối thiểu (least privilege). Thường xuyên kiểm tra các cổng mở và dịch vụ đang chạy để loại bỏ những gì không cần thiết.
• Sử Dụng VPN An Toàn: Khi cần truy cập từ xa vào hệ thống ICS, phải sử dụng các phương pháp an toàn như Mạng Riêng Ảo (VPN) đã được cập nhật với các bản vá bảo mật mới nhất và cấu hình mạnh mẽ. Tuy nhiên, cần nhận thức rằng VPN chỉ an toàn khi các thiết bị được kết nối cũng an toàn và được bảo vệ. Lịch sử đã cho thấy nhiều cuộc tấn công thành công nhắm vào các lỗ hổng VPN, ví dụ như những gì đã xảy ra với ransomware Fog và tấn công SonicWall VPN, cho thấy tầm quan trọng của việc duy trì VPN và các thiết bị liên quan được vá lỗi hoàn chỉnh.
• Triển Khai Chiến Lược Phòng Thủ Chiều Sâu (Defense-in-Depth): Áp dụng nhiều lớp kiểm soát bảo mật để bảo vệ hệ thống. Điều này bao gồm tường lửa ở nhiều cấp độ, hệ thống phát hiện xâm nhập (IDS/IPS) để giám sát lưu lượng bất thường, quản lý danh tính và quyền truy cập (IAM) nghiêm ngặt, cũng như các giải pháp giám sát an ninh liên tục.
• Phân Tích Tác Động Kỹ Lưỡng: Tiến hành phân tích tác động kỹ lưỡng trước khi triển khai bất kỳ biện pháp phòng thủ nào để đảm bảo chúng không ảnh hưởng đến tính khả dụng và hiệu suất của hoạt động hệ thống điều khiển.
• Tuân Thủ Thực Hành Tốt Nhất: Các tổ chức nên tuân thủ các thực hành tốt nhất về an ninh mạng do CISA khuyến nghị cho các hệ thống điều khiển công nghiệp và thực hiện các chiến lược phòng thủ chủ động cho các tài sản ICS của mình. Điều này bao gồm việc thường xuyên đánh giá lỗ hổng, kiểm tra an ninh và lập kế hoạch ứng phó sự cố.

Việc Daikin từ chối cung cấp bản vá cho lỗ hổng CVE-2025-10127 đặt ra một thách thức lớn và làm tăng rủi ro cho các hệ thống đang sử dụng. Do đó, các biện pháp chủ động và một chiến lược an ninh mạng toàn diện là vô cùng cần thiết để bảo vệ các hệ thống Daikin Security Gateway khỏi bị khai thác. Các quản trị viên hệ thống cần kiểm tra ngay lập tức các phiên bản phần mềm Daikin Security Gateway của mình và thực hiện triệt để các biện pháp giảm thiểu rủi ro được đề xuất để tránh một cuộc xâm nhập mạng tiềm tàng.