Tin tặc chỉ cần vài cú click chuột là có thể chiếm quyền kiểm soát hàng nghìn thiết bị công nghiệp trên khắp thế giới. Forescout Research Vedere Labs vừa công bố phát hiện chấn động: 22 lỗ hổng bảo mật nghiêm trọng trong các thiết bị chuyển đổi serial-to-IP (serial-to-Ethernet converter) của Lantronix và Silex. Nhóm lỗ hổng được đặt mật danh BRIDGE:BREAK này đe dọa trực tiếp gần 20.000 thiết bị đang kết nối internet toàn cầu. Chúng tôi đánh giá đây là một trong những phát hiện bảo mật nghiêm trọng nhất năm 2024 đối với lĩnh vực IoT công nghiệp.

Kẻ thù nguy hiểm ẩn nấp trong thiết bị "vô hại"

Serial-to-IP converter (thiết bị chuyển đổi cổng nối tiếp sang IP) vốn được coi là những "người lính thầm lặng" trong hệ thống công nghiệp. Chúng có nhiệm vụ kết nối các thiết bị cũ sử dụng cổng serial với mạng Ethernet hiện đại, cho phép điều khiển và giám sát từ xa. Tuy nhiên, chính sự "trong suốt" này lại khiến chúng trở thành mục tiêu lý tưởng cho tin tặc.

Forescout Research Vedere Labs đã tiến hành quét toàn bộ không gian internet và phát hiện con số đáng báo động: gần 20.000 thiết bị chuyển đổi serial-to-Ethernet đang lộ diện công khai. Trong số này, phần lớn sử dụng sản phẩm của Lantronix và Silex - hai thương hiệu được tin dùng rộng rãi trong ngành công nghiệp, y tế và giao thông. Chúng tôi cho rằng con số thực tế có thể cao hơn nhiều vì không phải thiết bị nào cũng được cấu hình để phản hồi quét từ bên ngoài.

Phẫu thuật 22 "vết nứt" trong lớp giáp công nghiệp

Các lỗ hổng BRIDGE:BREAK không chỉ đơn thuần là những sơ suất lập trình thông thường. Chúng tạo thành một chuỗi tấn công hoàn chỉnh, cho phép kẻ tấn công thực hiện từ thu thập thông tin đến chiếm quyền kiểm soát hoàn toàn. CVE (Common Vulnerabilities and Exposures - mã định danh lỗ hổng bảo mật quốc tế) được gán cho các lỗ hổng này dao động từ mức độ trung bình đến nghiêm trọng.

Đặc biệt nguy hiểm là khả năng thao túng dữ liệu truyền qua thiết bị. Tin tặc có thể chặn, sửa đổi hoặc thậm chí làm gián đoạn hoàn toàn luồng thông tin giữa hệ thống điều khiển trung tâm và thiết bị đầu cuối. Điều này đồng nghĩa với việc một cuộc tấn công có thể "mù" hệ thống giám sát, khiến các sự cố nghiêm trọng không được phát hiện kịp thời. Buffer overflow, command injection và authentication bypass chỉ là một vài trong số các kỹ thuật tấn công mà tin tặc có thể khai thác.

Bão tố đang ập đến ngành công nghiệp Việt Nam

Việt Nam đang trong giai đoạn chuyển đổi số mạnh mẽ với hàng loạt dự án smart city, nhà máy thông minh và hệ thống IoT quy mô lớn. Theo báo cáo của Cục An toàn thông tin, số lượng thiết bị IoT tại Việt Nam tăng trưởng 35% mỗi năm. Trong bối cảnh này, các thiết bị chuyển đổi serial-to-IP đóng vai trò then chốt trong việc "hồi sinh" hàng nghìn thiết bị công nghiệp cũ.

Chúng tôi ước tính có ít nhất vài trăm thiết bị thuộc diện bị ảnh hưởng đang hoạt động tại các khu công nghiệp, bệnh viện và hệ thống giao thông thông minh trên cả nước. Một cuộc tấn công thành công có thể gây ra hiệu ứng domino: từ sai lệch dữ liệu sản xuất, gián đoạn hệ thống y tế đến tê liệt giao thông đô thị. Thiệt hại kinh tế có thể lên đến hàng trăm tỷ đồng chưa kể tác động đến uy tín và an toàn con người.

Lá chắn cuối cùng: Hành động ngay hôm nay

Thời gian không đợi ai khi lỗ hổng đã được công bố rộng rãi. Các doanh nghiệp Việt Nam cần thực hiện ngay "chiến dịch tự vệ" với ba bước then chốt. Đầu tiên, rà soát toàn bộ thiết bị Lantronix và Silex trong hạ tầng, đặc biệt chú ý đến các model UDS1100, UDS2100, EDS1100, EDS2100 của Lantronix và SDS và EDS series của Silex. Thứ hai, cập nhật firmware lên phiên bản mới nhất ngay khi nhà sản xuất phát hành bản vá.

Quan trọng không kém là triển khai các biện pháp bảo vệ lớp mạng. Cấu hình firewall để chặn truy cập trực tiếp từ internet đến các thiết bị này, sử dụng VPN để truy cập từ xa và thiết lập network segmentation để cô lập thiết bị nhạy cảm. Chúng tôi khuyến nghị các doanh nghiệp liên hệ ngay với đơn vị tích hợp hệ thống để được hỗ trợ kỹ thuật chuyên sâu. Trong thời đại số, việc chậm trễ một ngày có thể đồng nghĩa với việc mở cửa cho tin tặc cả một tháng.