Công bố này vừa được nêu ra tại hội nghị Security Analyst Summit 2025, đó là lỗ hổng zero-day nằm trong ứng dụng công khai của nhà thầu đối tác, mở đường cho việc truy cập trái phép vào hệ thống telematics – bộ não điều khiển và thu thập dữ liệu từ xe. Trong kịch bản tấn công thực tế, kẻ xấu có thể buộc xe sang số, tắt động cơ khi đang di chuyển, đe dọa trực tiếp đến an toàn tài xế và hành khách.

Theo Kaspersky, cuộc đánh giá bảo mật được thực hiện từ xa, tập trung vào các dịch vụ công khai của nhà sản xuất và nhà thầu. Các chuyên gia phát hiện một số cổng truy cập bị lộ trên Internet và một lỗ hổng SQL injection trong ứng dụng wiki, giúp họ trích xuất được dữ liệu người dùng và mật khẩu mã hóa. Một phần các mật khẩu này bị giải mã, từ đó truy cập được hệ thống theo dõi sự cố chứa thông tin cấu hình nhạy cảm của hạ tầng telematics, bao gồm tệp chứa password hash của người dùng máy chủ.

Ở phía hệ thống xe kết nối, nhóm chuyên gia phát hiện tường lửa bị cấu hình sai, để lộ máy chủ nội bộ.

Nhờ thông tin đăng nhập thu được, họ truy cập vào hệ thống tập tin, thậm chí có thể gửi lệnh cập nhật firmware đã chỉnh sửa tới bộ điều khiển telematics (TCU).

Hành động này cho phép truy cập vào mạng truyền thông nội bộ (CAN) – nơi điều phối động cơ, hộp số và cảm biến, đồng nghĩa với việc có thể kiểm soát nhiều chức năng quan trọng của xe.

Ông Artem Zinenko, Trưởng bộ phận Nghiên cứu và Đánh giá Lỗ hổng Bảo mật ICS CERT của Kaspersky, nhận định: “Các lỗ hổng này bắt nguồn từ những sai sót phổ biến như duy trì mật khẩu yếu, thiếu xác thực hai yếu tố và không mã hóa dữ liệu nhạy cảm. Chỉ một mắt xích yếu trong chuỗi cung ứng cũng có thể khiến toàn bộ hệ thống xe thông minh bị xâm phạm”.

Kaspersky kêu gọi các hãng xe tăng cường kiểm soát an ninh mạng, đặc biệt với hạ tầng đối tác bên thứ ba, để bảo đảm an toàn cho người dùng và duy trì niềm tin vào công nghệ xe kết nối.

Khuyến nghị của Kaspersky với nhà thầu và đối tác công nghệ trong lĩnh vực ô tô: Hạn chế quyền truy cập Internet đối với các dịch vụ web qua VPN, cách ly các dịch vụ khỏi mạng nội bộ doanh nghiệp

Tách riêng các dịch vụ web, để không liên quan tới mạng nội bộ doanh nghiệp

Thực thi chính sách mật khẩu nghiêm ngặt

Kích hoạt xác thực hai yếu tố (2FA)

Mã hóa dữ liệu nhạy cảm

Tích hợp hệ thống ghi nhật ký (logging) với nền tảng SIEM để theo dõi và phát hiện sự cố trong thời gian thực. (SIEM - Security Information and Event Management là hệ thống quản lý sự kiện và thông tin an ninh giúp phát hiện sớm các hành vi bất thường hoặc tấn công mạng) Đối với nhà sản xuất ô tô, Kaspersky khuyến nghị hạn chế truy cập nền tảng telematics (hệ thống thu thập và xử lý dữ liệu xe) từ mạng lưới kết nối của xe, chỉ cho phép các kết nối mạng nằm trong danh sách được cho phép, vô hiệu hóa cơ chế đăng nhập qua mật khẩu SSH, vận hành các dịch vụ với quyền hạn tối thiểu cần thiết, đảm bảo tính xác thực của các lệnh điều khiển gửi đến TCU (bộ điều khiển telematics trên xe) và tích hợp nền tảng SIEM.



