Công nghệ vận hành (OT) bao gồm các hệ thống phần cứng và phần mềm được thiết kế để giám sát, kiểm soát và quản lý các quy trình vật lý, thiết bị và cơ sở hạ tầng trên các lĩnh vực quan trọng bao gồm sản xuất, sản xuất năng lượng, mạng lưới giao thông và tiện ích công cộng. Không giống như Công nghệ thông tin (IT), tập trung vào xử lý dữ liệu và truyền thông, Công nghệ vận hành (OT) quản lý các quy trình vật lý trong thế giới thực. Điều này làm cho bảo mật OT trở nên cần thiết để đảm bảo an toàn, tính liên tục và tính toàn vẹn của cơ sở hạ tầng trọng yếu .
Trong những năm gần đây, môi trường OT ngày càng trở thành mục tiêu của các mối đe dọa mạng tinh vi. Các mối đe dọa này thường bao gồm phần mềm tống tiền, các nỗ lực truy cập trái phép, phá hoại cố ý cơ sở hạ tầng trọng yếu và khai thác các lỗ hổng trong hệ thống điều khiển công nghiệp (ICS). Các sự cố đáng chú ý gần đây nhấn mạnh bản chất quan trọng của các mối đe dọa này, ví dụ như cuộc tấn công ransomware Colonial Pipeline năm 2021, gây ra sự gián đoạn đáng kể đối với nguồn cung cấp nhiên liệu dọc theo Bờ Đông Hoa Kỳ và cuộc tấn công mạng năm 2022 vào mạng lưới vệ tinh của Viasat, ảnh hưởng nghiêm trọng đến cơ sở hạ tầng truyền thông trên khắp Châu Âu trong các cuộc xung đột địa chính trị gia tăng. Khi các hệ thống OT ngày càng được kết nối và tích hợp với cơ sở hạ tầng CNTT, chúng gặp phải các mối đe dọa an ninh mạng độc đáo có thể dẫn đến sự gián đoạn hoạt động nghiêm trọng và hậu quả kinh tế đáng kể.
Phát hiện lỗ hổng trong Schneider Modicon M241 PLC của OPSWAT Đơn vị 515
Schneider Electric là công ty hàng đầu thế giới về tự động hóa công nghiệp và quản lý năng lượng, cung cấp các giải pháp sáng tạo cho nhiều ngành công nghiệp khác nhau. Dòng sản phẩm Modicon PLC, cụ thể là Modicon M241, đã trở nên cực kỳ phổ biến nhờ khả năng quản lý hiệu quả các quy trình tự động hóa phức tạp. Được trang bị các công cụ lập trình trực quan và khả năng tích hợp liền mạch thông qua nền tảng EcoStruxure của Schneider, Modicon M241 PLC được triển khai rộng rãi trong các ngành công nghiệp đòi hỏi khả năng điều khiển tự động hóa chính xác và đáng tin cậy.
Xem xét việc áp dụng rộng rãi và vai trò quan trọng của PLC Schneider Modicon M241 trong các hoạt động công nghiệp, Đơn vị 515 của chúng tôi, bao gồm Lộc Nguyên, Đạt Phụng, Thái Đô và Minh Phạm, đã tiến hành đánh giá toàn diện về lỗ hổng của thiết bị này tại OPSWAT cơ sở hạ tầng trọng yếu Phòng thí nghiệm Bảo vệ (CIP). Phân tích của chúng tôi phát hiện ra một lỗ hổng bảo mật đáng kể, nếu bị khai thác, có thể gây tổn hại đến tính toàn vẹn của hệ thống và làm lộ dữ liệu nhạy cảm. Nhóm của chúng tôi đã chủ động liên hệ với Schneider Electric, báo cáo sự cố để hỗ trợ họ trong quá trình xác định và lập kế hoạch khắc phục, với mục tiêu tăng cường thế trận bảo mật tổng thể của môi trường OT .
Để phản hồi báo cáo của chúng tôi, Schneider Electric đã ban hành một khuyến cáo bảo mật thừa nhận lỗ hổng này trong PLC Modicon M241, cụ thể là CVE-2025-2875. Các khuyến cáo này nhằm mục đích thông báo cho các bên liên quan về các rủi ro bảo mật tiềm ẩn và cung cấp hướng dẫn rõ ràng về cách triển khai các biện pháp khắc phục phù hợp.
Trong blog này, chúng tôi cung cấp bản tóm tắt cấp cao về CVE-2025-2875, một lỗ hổng bảo mật được xác định trong thiết bị Modicon M241 của Schneider Electric. Không tiết lộ thông tin kỹ thuật chi tiết có thể tạo điều kiện cho việc sử dụng sai mục đích, chúng tôi nêu bật bản chất của lỗ hổng này, đánh giá các tác động tiềm ẩn của nó đối với môi trường công nghệ vận hành (OT) và đưa ra các khuyến nghị thực tế để giảm thiểu các rủi ro liên quan. Tổng quan này nhằm mục đích hỗ trợ các chuyên gia bảo mật và chủ sở hữu tài sản trong việc bảo vệ cơ sở hạ tầng trọng yếu .
Modicon M241 & Web nhúng Server
Modicon M241, do Schneider Electric phát triển, là bộ điều khiển logic lập trình vi mô (PLC) hiệu suất cao được thiết kế cho các tác vụ tự động hóa máy móc đòi hỏi khắt khe. Nó đặc biệt phù hợp với kiến trúc máy phức tạp và mô-đun, cung cấp lõi xử lý mạnh mẽ, giao diện truyền thông linh hoạt và các tùy chọn cấu hình có thể mở rộng để đáp ứng nhiều yêu cầu công nghiệp.
Một khả năng đáng chú ý của Modicon M241 là máy chủ web nhúng , cung cấp giao diện sẵn sàng sử dụng có thể truy cập trực tiếp thông qua bất kỳ trình duyệt web chuẩn nào. Tính năng này cho phép người dùng giám sát, cấu hình và tương tác với bộ điều khiển từ xa mà không cần phần mềm bổ sung hoặc thiết lập phức tạp.
Trong khi máy chủ web nhúng cải thiện đáng kể khả năng sử dụng, đặc biệt là trong các hoạt động từ xa, nó cũng gây ra rủi ro an ninh mạng tiềm ẩn nếu không được bảo mật đúng cách. Xác thực đầu vào không đúng cách hoặc thiếu kiểm soát xác thực có thể khiến hệ thống bị truy cập hoặc thao túng trái phép.
Nhận ra những lo ngại tiềm ẩn về bảo mật này, Đơn vị 515 của chúng tôi đã tiến hành đánh giá bảo mật toàn diện đối với máy chủ web nhúng của Modicon M241. Mục tiêu là xác định xem có bất kỳ lỗ hổng nào có thể khai thác được trong thành phần này có thể gây tổn hại đến tính toàn vẹn, tính khả dụng hoặc tính bảo mật của hệ thống hay không.
CVE-2025-2875: Tham chiếu được kiểm soát bên ngoài đến một tài nguyên trong một phạm vi khác
Phù hợp với mục tiêu này, Đơn vị 515 đã tiến hành phân tích chuyên sâu về máy chủ web nhúng Modicon M241. Phân tích này đã tiết lộ các tình huống cụ thể trong đó máy chủ web nhúng sẽ chấp nhận các yêu cầu truy cập tệp được tạo ra có chủ đích, do đó bỏ qua các hạn chế bảo mật đã định. Ngoài ra, việc kiểm tra toàn diện thiết bị đã cho phép xác định các đường dẫn tệp nội bộ trong PLC. Việc khai thác lỗ hổng này có khả năng cho phép kẻ tấn công chưa xác thực truy cập vào các tệp nội bộ nhạy cảm trên thiết bị, ảnh hưởng đáng kể đến tính bảo mật của hệ thống.
Lỗ hổng đã được tiết lộ cho Schneider Electric thông qua một quy trình tiết lộ có trách nhiệm và các biện pháp giảm thiểu và khắc phục thích hợp đã được thực hiện kể từ đó. Để bảo vệ khách hàng của Schneider và ngăn ngừa việc sử dụng sai mục đích tiềm ẩn, OPSWAT đã cố ý che giấu thông tin kỹ thuật chi tiết liên quan đến lỗ hổng này.
Dòng thời gian CVE-2025-2875
Phù hợp với các thông lệ tiết lộ có trách nhiệm và OPSWAT cam kết bảo vệ cơ sở hạ tầng trọng yếu Đơn vị 515 đã nhanh chóng báo cáo lỗ hổng bảo mật này cho Schneider Electric thông qua kênh liên hệ bảo mật chính thức của họ để hỗ trợ điều tra và lập kế hoạch khắc phục:
- Ngày 20 tháng 2 năm 2025: Đơn vị 515 đã gửi báo cáo lỗ hổng bảo mật tới Schneider Electric, nêu chi tiết về lỗ hổng bảo mật trong thiết bị Modicon M241.
- Ngày 21 tháng 2 năm 2025: Schneider Electric xác nhận đã nhận được báo cáo và bắt đầu một cuộc điều tra nội bộ. Một ID theo dõi trường hợp đã được chỉ định để phối hợp theo dõi.
- Ngày 20 tháng 3 năm 2025: Sau khi phân tích chi tiết, Schneider Electric đã xác nhận lỗ hổng bảo mật này là có thật và bắt đầu xây dựng kế hoạch khắc phục.
- Ngày 13 tháng 5 năm 2025: Schneider Electric đã công bố một khuyến cáo công khai cùng với hướng dẫn khắc phục sự cố đã xác định. Một mã định danh CVE, CVE-2025-2875, đã được chỉ định cho lỗ hổng này.
Khắc phục
Chúng tôi đặc biệt khuyến nghị các tổ chức sử dụng thiết bị PLC Schneider Electric Modicon M241 làm theo hướng dẫn chính thức do Schneider Electric cung cấp để khắc phục lỗ hổng này, có sẵn tại đây: Tài liệu tư vấn bảo mật của Schneider .
Để giảm thiểu hiệu quả các lỗ hổng như CVE-2025-2875, các tổ chức nên áp dụng chiến lược phòng thủ toàn diện theo chiều sâu, bao gồm:
- Vulnerability detection thông qua quét CVE liên tục: Quét mạng thường xuyên để tìm lỗ hổng như CVE-2025-2875
- Giám sát các hành vi bất thường: Đánh dấu sự gia tăng bất thường về tần suất giao tiếp với Schneider Modion M241 PLC, điều này có thể gợi ý về nỗ lực đánh cắp dữ liệu trái phép đang diễn ra
- Xác định các kết nối thiết bị trái phép: hệ thống sẽ phát hiện khi có thiết bị trái phép/không hợp lệ kết nối với PLC
- Phân đoạn mạng: Việc cô lập các thiết bị bị ảnh hưởng có thể giúp ngăn chặn sự lây lan của các cuộc tấn công, do đó giảm thiểu tác động.
- Phòng chống xâm nhập: ngay lập tức xác định và chặn các lệnh độc hại/không được chấp thuận vào PLC, sau đó bảo vệ hiệu quả các hoạt động bình thường của PLC
OPSWAT MetaDefender OT Security giải quyết những nhu cầu này bằng cách phát hiện CVE, liên tục giám sát mạng để tìm ra hành vi bất thường và xác định các kết nối trái phép. Sử dụng AI, nó học các mẫu lưu lượng bình thường, thiết lập hành vi cơ bản và triển khai các chính sách để cảnh báo các bất thường. Điều này cho phép phản hồi tức thời, có thông tin đối với các mối đe dọa tiềm ẩn.
Trong trường hợp tấn công khai thác CVE-2025-2875, MetaDefender OT Security tích hợp với MetaDefender Industrial Firewall để phát hiện, cảnh báo và chặn các liên lạc đáng ngờ dựa trên các quy tắc đã đặt. MetaDefender Industrial Firewall sử dụng AI để tìm hiểu các mẫu lưu lượng thường xuyên và thực thi các chính sách để ngăn chặn các kết nối trái phép.
Video sau đây minh họa cách OPSWAT MetaDefender OT Security và MetaDefender Industrial Firewall chủ động giảm thiểu lỗ hổng này và ngăn chặn truy cập trái phép trong môi trường OT:
Ngoài việc phòng ngừa, OPSWAT MetaDefender OT Security cũng trao quyền cho các tổ chức giám sát các dấu hiệu khai thác theo thời gian thực thông qua khả năng hiển thị tài sản liên tục và đánh giá lỗ hổng. Bằng cách tận dụng khả năng theo dõi kiểm kê tài sản và đánh giá lỗ hổng tiên tiến, nền tảng của chúng tôi cung cấp khả năng phát hiện mối đe dọa chủ động và tạo điều kiện cho các hành động khắc phục nhanh chóng, hiệu quả.
Video sau đây trình bày cách MetaDefender OT Security xác định hiệu quả các thiết bị dễ bị tấn công và nhanh chóng cung cấp biện pháp khắc phục cho các lỗ hổng đã xác định:
