Hệ thống điều khiển công nghiệp ICS (Industrial Control System) với đặc trưng là tổ hợp nhiều phương tiện kỹ thuật và nền tảng phần mềm khác nhau đến từ nhiều nhà sản xuất, nhà cung cấp khác nhau với những giao thức truyền thông và mã hoá dữ liệu độc quyền. Việc đồng bộ hoá kết nối truyền thông và dữ liệu đặc biệt quan trọng cho xu hướng chuyển đổi số, nhà máy thông minh, kết nối IT-OT (Information Technology- Operational Technology), những xu hướng tất yếu của nền sản xuất công nghiệp ngày nay. Khi mà đối với đa số doanh nghiệp sản xuất thì mục đích hàng đầu vẫn là sản xuất an toàn với chi phí thấp nhất, đáp ứng kế hoạch sản xuất của họ thì việc thay thế đồng nhất các phương tiện kỹ thuật và các nền tảng phần mềm là một việc làm tốn kém rất nhiều chi phí, không có tính khả thi kinh tế. OPC (Open Platform Communication) kết hợp với các giải pháp an ninh mạng OT sẽ là một hướng đi hiệu quả, đơn giản cho xu hướng chuyển đổi số của nền sản xuất hiện nay.

Vừa qua, Volexity và Microsoft có công bố các bài phân tích về các chiến dịch tấn công sử dụng các lỗ hổng 0-day nhắm đến các phiên bản Exchange Server on-prem. Theo như báo cáo của MS, các cuộc tấn công liên quan đến Microsoft Exchange sử dụng 0-day bao gồm CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 và CVE -2021-27065. Ảnh hưởng tới các phiên bản MS Exchange Server 2013,2016 và 2019. Thông qua các hành vi, cách thức, các command ghi nhận trên hệ thống SIEM, chúng tôi đã thực hiện forensic ngay trước khi lỗ hổng được công bố.

Hệ thống giao thông thông minh đã sẵn sàng đóng vai trò quan trọng trong phát triển đô thị, được các chính phủ khác nhau ở Châu Âu, Châu Mỹ, Châu Á quan tâm và đang tích cực đầu tư phát triển. ITS là một hệ sinh thái khổng lồ, phức tạp, được kết nối với nhau với hàng triệu thiết bị đầu cuối và người dùng cuối. Quy mô, độ phức tạp và chức năng của hệ sinh thái này tạo ra các bề mặt tấn công lớn và đôi khi không thể dự đoán trước được. Cần có các giải pháp bảo mật an ninh mạng phù hợp để đảm bảo hệ thống ITS hoạt động an toàn, nâng cao hiệu quả giao thông, giảm thiểu tác động đến môi trường, thúc đẩy phát triển kinh tế.  

Lỗ hổng Insecure Deserialization trong PHP hay với một tên gọi khác là PHP Object Injection có thể giúp kẻ tấn câng thực hiện các loại tấn công khác nhau, chẳng hạn như Code Injection, SQL Injection, Path Traversal, DDoS …, tùy thuộc vào ngữ cảnh. Lỗ hổng này xảy ra khi dữ liệu đầu vào không được kiểm tra đúng cách trước khi được chuyển đến hàm PHP unserialize. Với các lớp phương thức Magic method cùng các POP chain giúp cho đối tượng tấn công thực thi lỗi này.

Hệ thống truyền thông công nghiệp với tính chất mở, tích hợp nhiều thiết bị với nhiều giao thức truyền thông khác nhau trên cùng một hệ thống điều khiển. Tiếp theo phần 1 bài báo cáo nghiên cứu về mã độc Industroyer/CrashOverride, trong phần 2 này chúng tôi sẽ đi sâu phân tích các  Payload của mã độc này nhắm mục tiêu vào các giao thức truyền thông công nghiệp, các thiết bị công nghiệp cụ thể là các giao thức IEC 60870-5-101, IEC 60870-5-104, OPC DA và IEC 61850, thiết bị Relay bảo vệ SIPROTEC của Siemens.