Công nghệ Lê Huy

Trang chủ

Về chúng tôi

Dịch vụ

Tin tức

Liên hệ

Bảo mậtIoT

Lỗ hổng EnOcean SmartServer đe dọa hệ thống tự động hóa tòa nhà

30 tháng 4, 2026·2 phút đọc

Các nhà nghiên cứu Claroty phát hiện hai lỗ hổng nghiêm trọng trên nền tảng IoT EnOcean SmartServer, cho phép kẻ tấn công thực thi mã từ xa và chiếm quyền kiểm soát hệ thống quản lý tòa nhà.

Lỗ hổng EnOcean SmartServer đe dọa hệ thống tự động hóa tòa nhà

Các lỗ hổng bảo mật mới được phát hiện trong nền tảng IoT EnOcean SmartServer có thể bị kẻ tấn công khai thác để xâm nhập từ xa vào các hệ thống quản lý tòa nhà.

EnOcean SmartServer là một cổng thông tin đa giao thức và bộ điều khiển cạnh được thiết kế để thống nhất tự động hóa tòa nhà bằng cách kết nối các thiết bị công nghiệp với các nền tảng quản lý dựa trên đám mây. Giải pháp này thường được triển khai tại các tòa nhà thông minh, nhà máy và trung tâm dữ liệu.

Minh họa lỗ hổng ICSMinh họa lỗ hổng ICS

Các nhà nghiên cứu tại Claroty, công ty chuyên về bảo mật cho các hệ thống ICS (Hệ thống điều khiển công nghiệp) và hệ thống vật lý-kyber, đã phát hiện ra rằng SmartServer bị ảnh hưởng bởi một lỗ hổng bỏ qua bảo mật được theo dõi là CVE-2026-22885 và một lỗi thực thi mã từ xa là CVE-2026-20761.

Chi tiết kỹ thuật và tác động

Những lỗ hổng này có thể bị kẻ tấn công từ xa khai thác thông qua các thiết bị EnOcean tiếp xúc với Internet. Mục tiêu của cuộc tấn công là bỏ qua các biện pháp bảo vệ bộ nhớ, làm rò rỉ bộ nhớ và thực thi các lệnh tùy ý trên hệ thống.

Claroty giải thích cơ chế hoạt động của lỗi: "Bằng cách khai thác việc xác thực không đúng đầu liệu gói tin, kẻ tấn công có thể kiểm soát một đối số được chuyển đến lệnh gọi hệ thống tích hợp của thiết bị và đạt được sự chiếm đoạt hoàn toàn thiết bị dựa trên Linux, thu được đặc quyền root và thực thi mã tùy ý."

Trong môi trường thực tế, các tác nhân đe dọa có thể lợi dụng sơ hở này để kiểm soát toàn bộ hệ thống quản lý và tự động hóa tòa nhà, gây ra những gián đoạn nghiêm trọng về vận hành.

Giải pháp khắc phục

EnOcean đã được thông báo về các lỗ hổng này và đã phát hành bản cập nhật SmartServer 4.6 update 2 (phiên bản 4.60.023) để vá lỗi. Người dùng được khuyến cáo cập nhật ngay lập tức để bảo vệ hệ thống.

Cần lưu ý rằng các lỗ hổng bảo mật này cũng ảnh hưởng đến các thiết bị i.LON đời cũ. Hiện tại, Claroty đã công bố các chi tiết kỹ thuật và mã khai thác khái niệm (PoC) để giúp cộng đồng bảo mật hiểu rõ hơn về rủi ro.

Bài viết được tổng hợp và biên soạn bằng AI từ các nguồn tin tức công nghệ. Nội dung mang tính tham khảo. Xem bài gốc ↗

Bài viết liên quan

📰

Phần mềm

Tự xây dựng WebAssembly Runtime trong 5 ngày để thoát khỏi gánh nặng chi phí đám mây

30 tháng 4, 2026

Meta bị cáo buộc trả đũa nhân viên Kenya sau khi họ tố phải xem nội dung nhạy cảm từ kính thông minh

Phần cứng

Meta bị cáo buộc trả đũa nhân viên Kenya sau khi họ tố phải xem nội dung nhạy cảm từ kính thông minh

30 tháng 4, 2026

📰

Công nghệ

Hơn một nửa các cược "rủi ro cao" trên Polymarket đều thắng lợi

30 tháng 4, 2026

← Quay lại tin tức