Các nhà nghiên cứu an ninh mạng đã tiết lộ chi tiết về hai lỗ hổng nghiêm trọng ảnh hưởng đến mySCADA myPRO, một hệ thống Thu thập Dữ liệu và Giám sát Điều khiển (SCADA) được sử dụng trong các môi trường công nghệ vận hành (OT), có thể cho phép các tác nhân độc hại giành quyền kiểm soát các hệ thống dễ bị tấn công.

“Các lỗ hổng này, nếu bị khai thác, có thể cấp quyền truy cập trái phép vào các mạng điều khiển công nghiệp, có khả năng dẫn đến các gián đoạn hoạt động nghiêm trọng và tổn thất tài chính,” công ty an ninh Thụy Sĩ PRODAFT cho biết. Danh sách các thiếu sót đều được đánh giá 9.3 trên hệ thống tính điểm CVSS v4, như sau :

•

CVE-2025-20014 – Một lỗ hổng chèn lệnh hệ điều hành có thể cho phép kẻ tấn công thực thi các lệnh tùy ý trên hệ thống bị ảnh hưởng thông qua các yêu cầu POST được tạo đặc biệt chứa tham số version.

•

CVE-2025-20061 – Một lỗ hổng chèn lệnh hệ điều hành có thể cho phép kẻ tấn công thực thi các lệnh tùy ý trên hệ thống bị ảnh hưởng thông qua các yêu cầu POST được tạo đặc biệt chứa tham số email.

Việc khai thác thành công một trong hai lỗ hổng có thể cho phép kẻ tấn công chèn các lệnh hệ thống và thực thi mã tùy ý. Theo PRODAFT, cả hai lỗ hổng đều bắt nguồn từ việc không kiểm duyệt đầu vào của người dùng, do đó mở ra cánh cửa cho việc chèn lệnh. “Những lỗ hổng này làm nổi bật các rủi ro bảo mật dai dẳng trong các hệ thống SCADA và sự cần thiết của các biện pháp phòng thủ mạnh mẽ hơn,” công ty cho biết. “Việc khai thác có thể dẫn đến gián đoạn hoạt động, tổn thất tài chính và các nguy cơ về an toàn”. Các tổ chức được khuyến nghị áp dụng các bản vá mới nhất, thực thi phân đoạn mạng bằng cách cô lập các hệ thống SCADA khỏi các mạng CNTT, thực thi xác thực mạnh mẽ và theo dõi các hoạt động đáng ngờ

Security365