Khi bước chân vào một nhà máy sản xuất hay một trạm biến áp, bạn sẽ thấy hàng nghìn thiết bị đang “nói chuyện” với nhau không ngừng nghỉ. Những cuộc hội thoại này không sử dụng các ngôn ngữ mạng quen thuộc như HTTP hay HTTPS của văn phòng, mà sử dụng các giao thức công nghiệp chuyên dụng như Modbus, S7comm, hay BACnet.

Tuy nhiên, có một sự thật đáng lo ngại: Phần lớn các giao thức này được thiết kế từ hàng chục năm trước – thời điểm mà khái niệm “an ninh mạng” còn chưa tồn tại. Chúng được xây dựng với mục tiêu duy nhất là độ trễ thấp và tính tin cậy vật lý, hoàn toàn bỏ qua yếu tố bảo mật.

Trong bài viết này, chúng ta sẽ cùng bóc tách các lỗ hổng chí mạng của 3 giao thức ICS/SCADA phổ biến nhất hiện nay và cách kẻ tấn công có thể khai thác chúng.

1. Modbus TCP: “Ông Lão” Không Phòng Vệ

Được ra mắt từ năm 1979, Modbus là giao thức công nghiệp phổ biến nhất thế giới nhờ tính đơn giản và dễ triển khai. Phiên bản chạy trên nền Ethernet (Modbus TCP, sử dụng cổng mặc định 502) hiện vẫn là xương sống của rất nhiều hệ thống quản lý năng lượng, xử lý nước và dây chuyền lắp ráp.

Các lỗ hổng bảo mật cốt lõi:

  • Hoàn toàn không mã hóa (Cleartext): Mọi dữ liệu truyền đi qua Modbus TCP đều ở dạng văn bản thô. Bất kỳ ai có quyền truy cập vào đường truyền mạng đều có thể dùng các công cụ sniffing (như Wireshark) để đọc được toàn bộ trạng thái hoạt động của nhà máy.
  • Không có cơ chế xác thực (No Authentication): Đây là lỗ hổng nguy hiểm nhất. Modbus không hề yêu cầu mật khẩu hay chứng thư số khi kết nối. Thiết bị PLC mặc định tin tưởng 100% vào bất kỳ gói tin nào gửi đến cổng 502.

Kịch bản tấn công thực tế:

Nếu một kẻ tấn công xâm nhập được vào mạng nội bộ (mạng Level 2 theo Purdue Model), hắn chỉ cần gửi một gói tin Modbus ghi đè giá trị (lệnh Write Single Register – Function Code 06) để thay đổi ngưỡng nhiệt độ của một lò hơi, hoặc ép một van xả áp phải đóng lại. PLC sẽ thực thi lệnh này ngay lập tức mà không hề nghi ngờ, có thể dẫn đến cháy nổ vật lý nghiêm trọng.

2. S7comm: Khi Niềm Tin Bị Lợi Dụng (Siemens)

S7comm (và phiên bản nâng cấp S7comm-plus) là giao thức độc quyền của gã khổng lồ Siemens, chạy trên cổng TCP 102. Nó được dùng để thiết lập kết nối giữa các phần mềm lập trình (như TIA Portal), hệ thống SCADA WinCC và các dòng PLC nổi tiếng như S7-300, S7-400, S7-1200, S7-1500.

Các lỗ hổng bảo mật cốt lõi:

  • Yếu tố xác thực lỏng lẻo ở các dòng đời cũ: Trên các dòng S7-300/400 và các phiên bản firmware cũ của S7-1200, giao thức S7comm không hề mã hóa các lệnh điều khiển quan trọng.
  • Nhạy cảm với tấn công lặp lại (Replay Attack): Vì thiếu cơ chế chống lặp lại (Anti-replay), kẻ tấn công chỉ cần bắt (capture) lại gói tin ra lệnh khởi động/dừng PLC của kỹ sư vận hành hợp lệ, sau đó phát lại (replay) gói tin đó vào mạng để điều khiển PLC theo ý muốn mà không cần biết nội dung gói tin viết gì.

Kịch bản tấn công thực tế:

Kẻ tấn công gửi một gói tin S7comm chứa lệnh CPU Stop tới PLC đang điều khiển băng chuyền. Ngay lập tức, PLC chuyển sang trạng thái dừng, toàn bộ dây chuyền sản xuất bị tê liệt mà người vận hành không hiểu nguyên nhân tại sao, vì trên màn hình giám sát không hề hiển thị cảnh báo lỗi phần cứng.

3. BACnet: Điểm Yếu Trong Tự Động Hóa Tòa Nhà (Smart Building)

Nếu Modbus và S7comm thống trị nhà máy, thì BACnet (thường chạy trên cổng UDP 47808) là ông vua của hệ thống quản lý tòa nhà (BMS). Nó điều khiển mọi thứ từ hệ thống điều hòa không khí trung tâm (HVAC), thang máy, hệ thống chiếu sáng cho đến camera giám sát của các tòa nhà văn phòng và trung tâm dữ liệu (Datacenter).

Các lỗ hổng bảo mật cốt lõi:

  • Sử dụng UDP không tin cậy: Khác với TCP, giao thức UDP của BACnet/IP không có quá trình bắt tay (handshake). Điều này khiến nó cực kỳ dễ bị giả mạo địa chỉ IP nguồn (IP Spoofing).
  • Thiếu khả năng phân quyền: Bất kỳ thiết bị nào trên mạng BACnet đều có thể gửi lệnh quảng bá (Broadcast) để yêu cầu tất cả các thiết bị khác báo cáo cấu hình hoặc thực hiện lệnh.

Kịch bản tấn công thực tế:

Thông qua một thiết bị IoT thông minh bị hack (như camera hành lang hoặc bộ điều khiển đèn), kẻ tấn công có thể gửi lệnh BACnet giả mạo để tắt toàn bộ hệ thống làm mát (HVAC) của một phòng máy chủ chứa dữ liệu nhạy cảm. Nhiệt độ phòng tăng cao đột ngột sẽ kích hoạt cơ chế tự bảo vệ và làm sập toàn bộ hệ thống máy chủ của doanh nghiệp.

4. Giải Pháp Phòng Thủ Nào Cho Các Giao Thức “Trần Trụi” Này?

Vì không thể dễ dàng thay thế toàn bộ phần cứng PLC hay viết lại giao thức của nhà sản xuất, các chuyên gia an ninh mạng OT buộc phải sử dụng các biện pháp phòng thủ bù đắp (Compensating Controls):

  1. Phân vùng mạng nghiêm ngặt (Network Segmentation): Áp dụng mô hình Purdue để cô lập hoàn toàn lưu lượng của các giao thức này trong các vùng mạng riêng biệt, ngăn chặn tuyệt đối việc truy cập trực tiếp từ mạng văn phòng (IT) xuống.
  2. Giám sát thụ động (Passive Monitoring): Do tính chất nhạy cảm của các giao thức này, tuyệt đối không dùng các công cụ scan chủ động dồn dập. Thay vào đó, hãy lắng nghe lưu lượng qua cổng SPAN/TAP để phát hiện sớm các lệnh lạ. (Để biết cách thiết lập chi tiết, bạn có thể đọc lại bài viết trước của chúng tôi: Hướng dẫn thiết lập giám sát thụ động an toàn cho mạng OT).
  3. Sử dụng các giao thức bảo mật thế hệ mới: Dần chuyển đổi sang các phiên bản nâng cấp có hỗ trợ mã hóa và xác thực như Modbus TLS, S7comm-plus (với Security Level được kích hoạt), hoặc BACnet/SC (Secure Connect).

Lời Kết: Hãy Chủ Động Bảo Vệ Trước Khi Sự Cố Xảy Ra

Hiểu rõ điểm yếu của các giao thức công nghiệp chính là bước đi đầu tiên giúp bạn xây dựng được một chiến lược phòng thủ mạng nhà máy hiệu quả. Nếu bạn là một kỹ sư hệ thống, chuyên gia IT hoặc quản trị viên mạng muốn tiến sâu vào mảng bảo mật hạ tầng trọng yếu này, việc trang bị kiến thức chuẩn hóa quốc tế là vô cùng cấp thiết.

Khóa Học Đề Xuất Dành Cho Bạn:

Để làm chủ các kỹ thuật phân tích gói tin công nghiệp, thiết kế kiến trúc phòng thủ và phát hiện các hành vi bất thường trên giao thức Modbus, S7comm, BACnet, hãy đăng ký ngay khóa học:

👉 EC-Council ICS/SCADA Cyber Security – Chương trình đào tạo chuẩn quốc tế giúp bạn nắm vững tư duy và công cụ phòng thủ mạng công nghiệp thực chiến.

  • Liên hệ tư vấn & đăng ký lớp học: Zalo 0948432780 để nhận lộ trình chi tiết và ưu đãi học phí mới nhất!

Leave a Reply

Your email address will not be published. Required fields are marked *

Trending