Tưởng tượng một tin tặc ngồi ở bất kỳ đâu trên thế giới có thể tắt máy thở trong phòng ICU hoặc dừng dây chuyền sản xuất của nhà máy chỉ bằng vài cú click chuột. Đó không phải viễn tưởng mà là hiện thực đang đe dọa hàng nghìn bệnh viện và doanh nghiệp Việt Nam khi sử dụng các thiết bị chuyển đổi Serial-to-IP có lỗ hổng bảo mật. Nhóm nghiên cứu Forescout vừa phát hiện 20 lỗ hổng nghiêm trọng trong các sản phẩm của Lantronix và Silex, những nhà cung cấp hàng đầu thế giới về thiết bị kết nối công nghiệp. Điều đáng lo ngại nhất là các lỗ hổng này đã tồn tại trong im lặng suốt nhiều năm qua.

Khi cổng nối trở thành cửa ngõ tử thần

Serial-to-IP converter (thiết bị chuyển đổi cổng nối tiếp sang IP) là những "cây cầu" kỹ thuật không thể thiếu trong hạ tầng số hiện đại. Chúng kết nối các thiết bị cũ sử dụng giao tiếp serial truyền thống với mạng IP hiện đại, cho phép điều khiển và giám sát từ xa. Tại các bệnh viện, chúng kết nối máy thở, máy X-quang, hệ thống theo dõi bệnh nhân với mạng quản lý trung tâm. Trong các nhà máy, chúng là đầu não điều khiển robot, băng chuyền sản xuất, hệ thống SCADA.

Chúng tôi đánh giá đây là mục tiêu tấn công cực kỳ hấp dẫn với tin tặc bởi vị trí đặc biệt của chúng. Một khi bị xâm nhập, hacker có thể "nhảy" từ mạng IT thông thường sang môi trường OT (Operational Technology - công nghệ vận hành) nhạy cảm mà không bị phát hiện. Đây chính là chiến thuật tấn công "Living off the Land" - lợi dụng các công cụ hợp pháp để thực hiện mục đích bất chính, khiến việc phát hiện trở nên cực kỳ khó khăn.

Giải phẫu 20 lỗ hổng chết người

Trong số 20 CVE (Common Vulnerabilities and Exposures - mã định danh lỗ hổng bảo mật quốc tế) được công bố, nhiều lỗ hổng có điểm CVSS (Common Vulnerability Scoring System - hệ thống chấm điểm độ nguy hiểm) từ 8.0 trở lên, thuộc mức "nghiêm trọng". Các lỗ hổng này bao gồm buffer overflow (tràn bộ đệm), authentication bypass (bỏ qua xác thực), command injection (tiêm lệnh độc hại) và cross-site scripting (XSS). Đặc biệt nguy hiểm là lỗ hổng cho phép thực thi mã từ xa (Remote Code Execution) mà không cần xác thực.

Forescout đã mô tả chi tiết các kịch bản tấn công lý thuyết mà tin tặc có thể áp dụng. Chúng tôi phân tích thấy kẻ tấn công có thể khai thác các lỗ hổng này theo chuỗi (chaining attack) để leo thang đặc quyền, di chuyển ngang trong mạng và cuối cùng giành quyền kiểm soát toàn bộ hạ tầng quan trọng. Điều đáng lo ngại là nhiều lỗ hổng có thể được khai thác từ xa mà không cần truy cập vật lý, tạo điều kiện cho các cuộc tấn công APT (Advanced Persistent Threat) quy mô lớn.

Tác động khủng khiếp đến Việt Nam

Theo thống kê của Shodan - công cụ tìm kiếm thiết bị IoT, có hơn 15.000 thiết bị Serial-to-IP đang kết nối internet tại Việt Nam, chủ yếu tập trung ở TP.HCM, Hà Nội và các tỉnh công nghiệp như Bình Dương, Đồng Nai. Nhiều bệnh viện tuyến trung ương và các khu công nghiệp lớn đang sử dụng sản phẩm của Lantronix và Silex. Nếu bị tấn công thành công, hậu quả có thể thảm khốc: bệnh nhân có thể tử vong do máy móc y tế bị gián đoạn, dây chuyền sản xuất tê liệt gây thiệt hại hàng trăm tỷ đồng.

Cục An toàn thông tin (Bộ TT&TT) ghi nhận trong năm 2023 có 147 vụ tấn công vào hạ tầng quan trọng quốc gia, tăng 23% so với năm trước. Với việc phát hiện 20 lỗ hổng mới này, chúng tôi dự báo con số này sẽ tiếp tục tăng mạnh nếu không có biện pháp khắc phục kịp thời. Các chuyên gia an ninh mạng Việt Nam cảnh báo đây có thể là "cơn bão hoàn hảo" cho các nhóm tấn công có động機 chính trị hoặc kinh tế.

Lộ trình bảo vệ khẩn cấp

Trước mắt, các doanh nghiệp và bệnh viện cần thực hiện ngay "rà quét tài sản" để xác định chính xác số lượng và vị trí các thiết bị Serial-to-IP đang sử dụng. Công cụ miễn phí như Nmap hoặc các giải pháp chuyên nghiệp như Armis, Claroty có thể hỗ trợ quá trình này. Tiếp theo, cần cách ly (segment) các thiết bị này khỏi mạng internet công cộng, chỉ cho phép truy cập qua VPN hoặc mạng riêng ảo.

Về lâu dài, chúng tôi khuyến nghị triển khai giải pháp Zero Trust Network Access (ZTNA) - mô hình "không tin tưởng ai" yêu cầu xác thực liên tục cho mọi truy cập. Đồng thời, cần thiết lập hệ thống giám sát SOC (Security Operations Center) chuyên biệt cho môi trường OT, với khả năng phát hiện bất thường theo thời gian thực. Các nhà cung cấp Lantronix và Silex đã phát hành bản vá bảo mật, việc cập nhật firmware cần được thực hiện trong khung thời gian bảo trì để tránh gián đoạn hoạt động. Cuối cùng, cần xây dựng kế hoạch ứng phó sự cố chi tiết, bao gồm quy trình cách ly khẩn cấp và phương án vận hành thủ công khi hệ thống tự động bị tấn công.