Bộ Thông tin và Truyền thông MINISTRY OF INFORMATION AND COMMUNICATIONS

Những lỗ hổng thực thi mã từ xa trong các sản phẩm công nghiệp của WECON

Một lượng đáng kể các lỗ hổng mới được tìm thấy gần đây trong các sản phẩm WECON có trụ sở tại Trung Quốc, nhưng các nhà cung cấp sản phẩm vẫn còn chậm trễ trong việc đưa ra các bản vá.

WECON là một hãng chuyên về thiết bị giao tiếp giữa người và máy (human-machine interfaces - HMIs), các khối điều khiển logic khả trình PLC (Programmable Logic Controllers) và máy tính công nghiệp (industrial PCs). Các sản phẩm của WECON được sử dụng trên toàn thế giới, đặc biệt trong các lĩnh vực sản xuất quan trọng, năng lượng, nước và nước thải.

Theo một cảnh báo mà Đơn vị Phản ứng nhanh Kiểm soát hệ thống mạng (ICS-CERT) thuộc Bộ An ninh nội địa Mỹ công bố gần đây, thì các nhà nghiên cứu của Mat Powell và Natnael Samson đã phát hiện ra nhiều lỗ hổng trong phần mềm PI Studio HMI của WECON. Danh sách các lỗ hổng bao gồm một lỗ hổng về tràn bộ đệm dựa trên ngăn xếp (stack-based buffer overflow) nghiêm trọng, cho phép thực thi mã từ xa; một lỗ hổng về ghi tràn (out-of-bounds write) có mức nghiêm trọng cao cho phép thực thi mã từ xa và hai lỗ hổng tiết lộ thông tin có mức nghiêm trọng trung bình.

Theo ICS-CERT, WECON đã có phản hồi về những lỗ hổng này, nhưng vẫn chưa đưa ra bất kỳ bản vá nào.

Năm nay, ICS-CERT đã công bố 4 cảnh báo mô tả các lỗ hổng bảo mật trong những sản phẩm của WECON, bao gồm một lỗ hổng có mức nghiêm trọng trung bình trong phần mềm lập trình theo biểu đồ hình thang PLC (PLC Editor ladder logic software) của công ty và một số lỗ hổng có mức nghiêm trọng và nghiêm trọng cao trong các ứng dụng LeviStudio.

Tất cả các lỗ hổng mà ICS-CERT đưa ra đều được Samson, Powell và các nhà nghiên cứu khác báo cáo thông qua Sáng kiến Zero Day (ZDI) của Trend Micro.

Trong thực tế, ZDI đã phát hành 116 cảnh báo trong năm 2018 và sẽ có hàng chục cảnh báo sẽ được công bố trong thời gian tới. Tuy nhiên, đáng chú ý là ZDI thường đưa ra nhiều cảnh báo cho một lỗ hổng bảo mật CVE (Common Vulnerabilities and Exposures) riêng vì mỗi cảnh báo đề cập tới một biến thể của lỗ hổng giống nhau.

Mặt khác, nhiều cảnh báo của ICS-CERT và phần lớn các cảnh báo của ZDI được công bố trước khi nhà cung cấp thiết bị đưa ra các bản vá.

Phần lớn các lỗ hổng bảo mật cho phép thực thi mã từ xa, nhưng vì các lỗ hổng này liên quan tới cách các ứng dụng bị ảnh hưởng sẽ xử lý các loại tệp tin cụ thể, theo đó tin tặc cần phải lôi kéo để người dùng mục tiêu mở một tệp tin được giả mạo đặc biệt để khởi động việc khai thác lỗ hổng.

(