Các nhà nghiên cứu an ninh mạng đã tiết lộ hai lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến các sản phẩm thiết bị đầu cuối từ xa (RTU) Red Lion Sixnet mà nếu bị khai thác thành công, có thể dẫn đến thực thi mã với quyền cao nhất.
Các lỗ hổng này, được theo dõi là CVE-2023-40151 và CVE-2023-42770, đều được đánh giá 10.0 trên hệ thống chấm điểm CVSS.
"Các lỗ hổng ảnh hưởng đến các RTU Red Lion SixTRAK và VersaTRAK, cho phép kẻ tấn công chưa xác thực thực thi các lệnh với đặc quyền root," các nhà nghiên cứu Claroty Team 82 cho biết trong một báo cáo được công bố vào thứ Ba.
Các RTU Sixnet của Red Lion cung cấp khả năng tự động hóa, điều khiển và thu thập dữ liệu tiên tiến trong các hệ thống điều khiển và tự động hóa công nghiệp, chủ yếu trong các ngành năng lượng, nước và xử lý nước thải, giao thông vận tải, tiện ích và sản xuất.
Các thiết bị công nghiệp này được cấu hình bằng một tiện ích của Windows có tên Sixnet IO Tool Kit, với một giao thức "Universal" độc quyền của Sixnet được sử dụng để giao tiếp và kích hoạt truyền thông giữa bộ công cụ và các RTU.
Ngoài ra, còn có một hệ thống phân quyền người dùng trên cơ chế này để hỗ trợ quản lý tệp, thiết lập/lấy thông tin trạm, lấy phiên bản kernel và boot của Linux, cùng nhiều chức năng khác, thông qua giao thức UDP.
Các Lỗ hổng được Xác định
- CVE-2023-42770 - Một lỗ hổng bỏ qua xác thực phát sinh do phần mềm Sixnet RTU lắng nghe cùng một cổng (số 1594) trong UDP và TCP, nhưng chỉ yêu cầu xác thực qua UDP, trong khi chấp nhận tin nhắn đến qua TCP mà không yêu cầu bất kỳ xác thực nào.
- CVE-2023-40151 - Một lỗ hổng thực thi mã từ xa (RCE) khai thác khả năng hỗ trợ tích hợp của Sixnet Universal Driver (UDR) cho việc thực thi lệnh shell của Linux để chạy mã tùy ý với đặc quyền root.
Do đó, kẻ tấn công có thể kết hợp cả hai lỗ hổng này để vượt qua các biện pháp bảo vệ xác thực, chạy lệnh và đạt được quyền thực thi mã từ xa.
"Đối với các RTU Red Lion SixTRAK và VersaTRAK Series có người dùng xác thực được bật (UDR-A), bất kỳ thông báo UDR nào của Sixnet nhận được qua TCP/IP, RTU sẽ chấp nhận thông báo mà không có thách thức xác thực," Red Lion cho biết trong một khuyến cáo được phát hành vào tháng 6 năm 2025. "Khi xác thực người dùng không được bật, shell có thể thực thi các lệnh với đặc quyền cao nhất."
Người dùng được khuyến nghị áp dụng các bản vá cho hai lỗ hổng này càng sớm càng tốt. Cũng nên bật xác thực người dùng trong Red Lion RTU và chặn quyền truy cập qua TCP vào các RTU bị ảnh hưởng.
Các Sản phẩm Bị Ảnh hưởng
- ST-IPm-8460: Firmware 6.0.202 trở lên
- ST-IPm-6350: Phiên bản Firmware 4.9.114 trở lên
- VT-mIPm-135-D: Phiên bản Firmware 4.9.114 trở lên
- VT-mIPm-245-D: Phiên bản Firmware 4.9.114 trở lên
- VT-IPm2m-213-D: Phiên bản Firmware 4.9.114 trở lên
- VT-IPm2m-113-D: Phiên bản Firmware 4.9.114 trở lên
"Các RTU của Red Lion rất nổi bật trong nhiều môi trường tự động hóa công nghiệp, và một kẻ tấn công có quyền truy cập vào các thiết bị cùng khả năng chạy lệnh ở cấp root sẽ tạo ra những khả năng đáng kể để gây gián đoạn hoặc hư hỏng quy trình," Claroty lưu ý.
