Tại hội nghị thượng đỉnh phân tích bảo mật Security Analyst Summit 2025, Kaspersky đã công bố kết quả cuộc đánh giá bảo mật (security audit). Kết quả cho thấy hiện đang xuất hiện một lỗ hổng bảo mật nghiêm trọng, có thể cho phép kẻ xấu truy cập trái phép vào hệ thống điều khiển từ xa của toàn bộ ô tô thuộc một hãng sản xuất.

Những ý chính:

  • Tại hội nghị Security Analyst Summit (SAS) 2025, Kaspersky công bố kết quả đánh giá bảo mật nghiêm trọng trong ngành công nghiệp ô tô.
  • Một lỗ hổng zero-day trong ứng dụng công khai của đơn vị nhà thầu đối tác cho phép kẻ tấn công truy cập trái phép và chiếm quyền điều khiển hệ thống telematics của toàn bộ xe thuộc một hãng sản xuất.
  • Theo Kaspersky, các vấn đề phổ biến như để dịch vụ web công khai, chính sách mật khẩu yếu, thiếu xác thực hai yếu tố (2FA) và lưu trữ dữ liệu nhạy cảm không mã hóa. Chỉ một mắt xích yếu từ bên thứ ba có thể làm sụp đổ toàn bộ hệ thống.

Bằng cách khai thác lỗ hổng zero-day trong một ứng dụng công khai của đơn vị nhà thầu đối tác, kẻ tấn công hoàn toàn có thể chiếm quyền điều khiển hệ thống telematics của phương tiện. Hành vi tấn công này đe dọa trực tiếp đến an toàn của tài xế và hành khách. Ví dụ, kẻ tấn công có thể buộc xe sang số hoặc tắt động cơ trong khi đang di chuyển. Phát hiện này một lần nữa gióng lên hồi chuông cảnh báo về những điểm yếu, nguy cơ an ninh mạng tiềm ẩn trong ngành công nghiệp ô tô, kêu gọi việc tăng cường các biện pháp bảo mật toàn diện.

Kaspersky phát hiện lỗ hổng bảo mật nghiêm trọng đe dọa tới sự an toàn của các phương tiện di chuyển

Về phía nhà sản xuất ô tô

Cuộc đánh giá bảo mật được thực hiện từ xa, tập trung vào các dịch vụ công khai của nhà sản xuất và hạ tầng của nhà thầu. Kaspersky đã xác định được một số cổng truy cập trực tuyến của hãng vô tình bị lộ ra trên Internet mà không có lớp bảo mật đầy đủ. 

Đầu tiên, thông qua một lỗ hổng zero-day kiểu SQL injection (SQLi) (kỹ thuật tấn công chèn mã độc vào câu lệnh SQL để truy xuất trái phép dữ liệu) trong ứng dụng wiki, các chuyên gia đã trích xuất được danh sách người dùng phía nhà thầu cùng với các password hash (phiên bản mã hóa một chiều của mật khẩu và không thể đọc trực tiếp).

Do chính sách bảo mật yếu, một số password hash này đã bị giải mã thành công, mở đường cho việc xâm nhập sâu hơn vào hệ thống theo dõi sự cố của nhà thầu (Hệ thống theo dõi này dùng để quản lý và theo dõi các tác vụ, lỗi hoặc sự cố trong dự án).

Góc quảng cáo
Kaspersky phát hiện lỗ hổng bảo mật nghiêm trọng đe dọa tới sự an toàn của các phương tiện di chuyển

Đáng chú ý, hệ thống này chứa các chi tiết cấu hình nhạy cảm về hạ tầng telematics của nhà sản xuất, bao gồm một tệp chứa password hash của người dùng trên một trong các máy chủ telematics của hãng. Ở các dòng xe hiện đại, hệ thống telematics còn có chức năng thu thập, truyền tải, phân tích và sử dụng dữ liệu từ phương tiện (như tốc độ, vị trí địa lý, tình trạng xe và hành vi người lái).

Về phía hệ thống xe kết nối

Ở phía hệ thống xe kết nối, Kaspersky phát hiện tường lửa bị cấu hình sai, làm lộ một số máy chủ nội bộ. Các chuyên gia đã sử dụng mật khẩu của tài khoản dịch vụ mà họ thu được trước đó để truy cập vào hệ thống tập tin của máy chủ. Tại đây, họ tiếp tục phát hiện thêm thông tin đăng nhập của một nhà thầu khác, mở ra toàn quyền kiểm soát hạ tầng telematics dùng để thu thập và quản lý dữ liệu từ các xe thông minh. 

Đáng báo động hơn, đội ngũ chuyên gia còn phát hiện một lệnh cập nhật firmware, cho phép tải phiên bản firmware đã bị chỉnh sửa vào bộ điều khiển telematics trên xe (Telematics Control Unit – TCU).

Điều này đồng nghĩa với việc họ có thể truy cập vào mạng truyền thông nội bộ của xe (mạng CAN – Controller Area Network), hệ thống chịu trách nhiệm kết nối và điều phối hoạt động giữa các bộ phận trên xe như động cơ và cảm biến. Sau khi có quyền truy cập vào mạng này, các chuyên gia có thể tác động đến nhiều chức năng quan trọng của xe như điều khiển động cơ hoặc hộp số. Trong tình huống thực tế, nếu bị khai thác, những lỗ hổng này có thể đe dọa trực tiếp đến an toàn của người lái và hành khách.

Kaspersky phát hiện lỗ hổng bảo mật nghiêm trọng đe dọa tới sự an toàn của các phương tiện di chuyển

Ông Artem Zinenko, Trưởng bộ phận Nghiên cứu và Đánh giá Lỗ hổng Bảo mật ICS CERT của Kaspersky nhận định: “Các lỗ hổng bảo mật này bắt nguồn từ những vấn đề khá phổ biến trong ngành công nghiệp ô tô. Cụ thể, đó là việc doanh nghiệp để các dịch vụ web có thể truy cập công khai trên Internet, duy trì chính sách mật khẩu yếu, thiếu lớp bảo mật xác thực hai yếu tố (2FA), và lưu trữ dữ liệu nhạy cảm mà không mã hóa.

Sự cố này cho thấy chỉ một mắt xích yếu trong hạ tầng của đối tác bên thứ ba cũng có thể dẫn đến việc toàn bộ hệ thống xe kết nối bị xâm phạm. Ngành công nghiệp ô tô cần đặt an ninh mạng lên ưu tiên hàng đầu, đặc biệt là trong việc kiểm soát và giám sát hệ thống của các bên thứ ba, nhằm bảo vệ an toàn cho người lái xe và duy trì niềm tin vào công nghệ xe kết nối”.

Kaspersky khuyến nghị các nhà thầu và đối tác công nghệ trong lĩnh vực ô tô nên 

  • Hạn chế quyền truy cập Internet đối với các dịch vụ web qua VPN, cách ly các dịch vụ khỏi mạng nội bộ doanh nghiệp
  • Tách riêng các dịch vụ web, để không liên quan tới mạng nội bộ doanh nghiệp
  • Thực thi chính sách mật khẩu nghiêm ngặt
  • Kích hoạt xác thực hai yếu tố (2FA) 
  • Mã hóa dữ liệu nhạy cảm
  • Tích hợp hệ thống ghi nhật ký (logging) với nền tảng SIEM để theo dõi và phát hiện sự cố trong thời gian thực. (SIEM – Security Information and Event Management là hệ thống quản lý sự kiện và thông tin an ninh giúp phát hiện sớm các hành vi bất thường hoặc tấn công mạng) 

Đối với nhà sản xuất ô tô, Kaspersky khuyến nghị hạn chế truy cập nền tảng telematics (hệ thống thu thập và xử lý dữ liệu xe) từ mạng lưới kết nối của xe, chỉ cho phép các kết nối mạng nằm trong danh sách được cho phép, vô hiệu hóa cơ chế đăng nhập qua mật khẩu SSH, vận hành các dịch vụ với quyền hạn tối thiểu cần thiết, đảm bảo tính xác thực của các lệnh điều khiển gửi đến TCU (bộ điều khiển telematics trên xe) và tích hợp nền tảng SIEM.

Góc quảng cáo

BÀI LIÊN QUANXEM THÊM