Cyble Research and Intelligence Labs (CRIL) พบช่องโหว่จำนวนมากในรายงานข่าวกรองช่องโหว่ของระบบควบคุมอุตสาหกรรม (ICS) ประจำสัปดาห์ รายงานนี้ครอบคลุมเกี่ยวกับช่องโหว่ระดับ Critical ที่ถูกเปิดเผยระหว่างวันที่ 10 ถึง 16 กันยายน 2024
CISA ได้ออกคำแนะนำด้านความปลอดภัย 29 รายการที่เกี่ยวกับระบบควบคุมอุตสาหกรรม (ICS) ในช่วงสัปดาห์ที่ผ่านมา โดยคำแนะนำเหล่านี้ได้เน้นถึงช่องโหว่ที่สำคัญ 8 รายการในผลิตภัณฑ์จากผู้ผลิตหลายราย เช่น Rockwell Automation, Siemens และ Viessmann Climate Solutions
ช่องโหว่ที่สำคัญประกอบไปด้วย Command Injection และ Heap-Based Overflow ซึ่งอาจส่งผลกระทบอย่างรุนแรงต่อโครงสร้งพื้นฐานที่สำคัญ
ช่องโหว่ ICS ประจำสัปดาห์
1. CVE-2024-45824: Command injection – Rockwell Automation
ช่องโหว่ระดับ critical ที่พบใน Rockwell Automation FactoryTalk View Site Edition จนถึงเวอร์ชัน 14.0 ช่องโหว่นี้เกี่ยวข้องกับฟังก์ชันการทำงานที่ไม่ระบุรายละเอียด มีคะแนน CVSS อยู่ที่ 9.8 การใช้ประโยชน์จากช่องโหว่นี้ต้องการ network conditions แต่ไม่ต้องการสิทธิ์ หรือการโต้ตอบจากผู้ใช้ และสามารถใช้ประโยชน์จากช่องโหว่ได้ง่าย
การบรรเทาผลกระทบ : อัปเกรดซอฟต์แวร์ที่ได้รับผลกระทบจะช่วยแก้ไขช่องโหว่ได้
2. CVE-2024-35783: Execution with Unnecessary Privileges – Siemens
ช่องโหว่ระดับ critical มีคะแนน CVSS อยู่ที่ 9.1 ใน Siemens SIMATIC BATCH, SIMATIC Information Server (2020, 2022), SIMATIC PCS 7, SIMATIC Process Historian (2020, 2022) และ SIMATIC WinCC (Runtime Professional, SCADA Software) ช่องโหว่นี้พบใน DB Server component และทำให้สามารถถูกโจมตีได้ผ่านเครือข่าย และสามารถใช้ประโยชน์จากช่องโหว่ได้ง่าย แต่ต้องการสิทธิ์สูง
การบรรเทาผลกระทบ : อัปเกรดซอฟต์แวร์ที่ได้รับผลกระทบจะช่วยแก้ไขช่องโหว่ได้
3. CVE-2023-44373: Improper Neutralization of Special Elements – Siemens
ช่องโหว่ในอุปกรณ์ Siemens ที่ฟิลด์อินพุตไม่ได้รับการตรวจสอบข้อมูลที่กรอกเข้ามาอย่างเหมาะสม ทำให้ผู้โจมตีที่ผ่านการยืนยันตัวตน และมีสิทธิ์ผู้ดูแลระบบ สามารถแทรกโค้ด หรือเข้าถึง root shell ได้ โดยการใช้ประโยชน์จากการตรวจสอบ special elements ที่ไม่สมบูรณ์ ทำให้เกิดการโจมตีแบบ command injection จากการขาดการตรวจสอบข้อมูลที่กรอกจากฝั่งเซิร์ฟเวอร์ อุปกรณ์ที่ได้รับผลกระทบได้แก่ Siemens RUGGEDCOM และ SCALANCE M-800/S615 family
การบรรเทาผลกระทบ : อัปเดตเฟิร์มแวร์เป็นเวอร์ชันล่าสุด โดยเฉพาะเวอร์ชัน 3.0.2 หรือสูงกว่า
4. CVE-2024-45032: Authorization Bypass – Siemens Industrial Edge Management
Siemens Industrial Edge Management Pro และ Industrial Edge Management Virtual ช่องโหว่ระดับ critical ในส่วนประกอบ Device Token Handler ช่องโหว่นี้ทำให้ผู้โจมตีสามารถ bypass การตรวจสอบสิทธิ์ได้ ช่องโหว่นี้มีคะแนน CVSS 10.0 การใช้ประโยชน์จากช่องโหว่นี้สามารถทำได้ผ่านเครือข่าย และสามารถใช้ประโยชน์จากช่องโหว่ได้ง่าย โดยไม่ต้องการสิทธิ์ หรือการโต้ตอบจากผู้ใช้
การบรรเทาผลกระทบ : อัปเดตระบบที่ได้รับผลกระทบ
- Industrial Edge Management Pro: เวอร์ชัน 1.9.5 และเวอร์ชันใหม่กว่า
- Industrial Edge Management Virtual: เวอร์ชัน 2.3.1-1 และเวอร์ชันใหม่กว่า
5. CVE-2023-46850: Use after free – Siemens
ช่องโหว่ใน OpenVPN (เวอร์ชัน 2.6.0 ถึง 2.6.6) เป็นช่องโหว่ use-after-free ซึ่งอาจทำให้เกิดการทำงานที่ไม่ถูกต้อง, การรั่วไหลของหน่วยความจำ (memory leaks) หรือการรันโค้ดจากระยะไกล เมื่อมีการส่ง network buffers ไปยังอุปกรณ์เครือข่ายเดียวกัน ช่องโหว่นี้มีคะแนน CVSS 9.8 และต้องการการเข้าถึงเครือข่าย แต่ไม่ต้องการสิทธิ์พิเศษ หรือการโต้ตอบจากผู้ใช้
การบรรเทาผลกระทบ : วิธีที่มีประสิทธิภาพที่สุดในการลดความเสี่ยงจากช่องโหว่ CVE-2023-46850 คือการติดตั้งการอัปเดตซอฟต์แวร์ล่าสุดจาก Siemens
6. CVE-2024-33698: Heap-based Buffer Overflow – Siemens User Management Components
ช่องโหว่ระดับ critical ในผลิตภัณฑ์ของ Siemens หลายรายการ รวมถึง SIMATIC Information Server 2022 และ 2024, SIMATIC PCS neo, SINEC NMS และ Totally Integrated Automation Portal ปัญหาอยู่ในส่วนประกอบการจัดการผู้ใช้ (User Management Components - UMC) และถูกจัดประเภทเป็น heap-based buffer overflow ช่องโหว่นี้มีคะแนน CVSS 9.8 และการใช้ประโยชน์จากช่องโหว่นี้ต้องการการเข้าถึงเครือข่าย แต่ไม่ต้องการสิทธิ์พิเศษ หรือการโต้ตอบจากผู้ใช้
การบรรเทาผลกระทบและวิธีแก้ปัญหา : Siemens ได้ระบุวิธีแก้ปัญหา และการบรรเทาผลกระทบเฉพาะ โดยมีรายละเอียดดังต่อไปนี้ที่ผู้ใช้สามารถนำมาใช้เพื่อลดความเสี่ยงได้
- CVE-2024-33698
- ฟิลเตอร์พอร์ต 4002 และ 4004 เพื่ออนุญาตให้รับการเชื่อมต่อเฉพาะจากที่อยู่ IP ของเครื่องที่รัน UMC และต้องอยู่ในเครือข่ายเดียวกัน
- นอกจากนี้ หากไม่ได้ใช้เครื่อง RT server สามารถฟิลเตอร์พอร์ต 4004 ได้
- วิธีการแก้ไขหรือบรรเทาผลกระทบที่เฉพาะเจาะจงสำหรับผลิตภัณฑ์สามารถดูได้ในส่วนของผลิตภัณฑ์ที่ได้รับผลกระทบ และแนวทางแก้ไข
7. CVE-2023-45852: Command Injection – Viessmann Climate Solutions SE
ช่องโหว่ command injection ในเฟิร์มแวร์ Viessmann Vitogate 300 (เวอร์ชัน 2.1.3.0) เป็นช่องที่ทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนสามารถใช้ประโยชน์จากช่องโหว่นี้โดยการใช้ shell metacharacters ลงในพารามิเตอร์ ipaddr ใน JSON data สำหรับ "put" method ใน /cgi-bin/vitogate.cgi ซึ่งทำให้ผู้โจมตีสามารถ bypass การตรวจสอบสิทธิ์ และสามารถรันคำสั่งที่ต้องการได้ ซึ่งทำให้ระบบเสี่ยงต่อการถูกโจมตี ช่องโหว่นี้มีคะแนน CVSS 9.8 ความรุนแรงระดับ critical และช่องโหว่นี้ไม่ต้องการการโต้ตอบจากผู้ใช้ หรือสิทธิ์เฉพาะใด ๆ และสามารถใช้ประโยชน์จากช่องโหว่นี้ได้ผ่านเครือข่าย และสามารถใช้ประโยชน์จากช่องโหว่ได้ง่าย
การบรรเทาผลกระทบ : อัปเดตเป็นเวอร์ชันล่าสุดเพื่อแก้ไขปัญหา
8. CVE-2023-5222: Use of Hardcoded Credentials – Viessmann Climate Solutions SE
ช่องโหว่ระดับ critical (คะแนน CVSS: 9.8) ในเฟิร์มแวร์ Viessmann Vitogate 300 จนถึงเวอร์ชัน 2.1.3.0 โดยเฉพาะในฟังก์ชัน isValidUser ของ /cgi-bin/vitogate.cgi ใน Web Management Interface ช่องโหว่นี้เกิดจากการใช้รหัสผ่านที่ตั้งไว้ล่วงหน้า (hard-coded password) ทำให้สามารถใช้ประโยชน์จากช่องโหว่นี้ผ่านเครือข่ายได้ง่าย โดยไม่ต้องการการโต้ตอบจากผู้ใช้ หรือสิทธิ์พิเศษ รายละเอียดเกี่ยวกับการใช้ประโยชน์จากช่องโหว่นี้สามารถค้นหาได้จากสาธารณะ ในขณะที่ทางผู้ผลิตยังไม่มีการตอบกลับ หรือดำเนินการเกี่ยวกับช่องโหว่
คำแนะนำ และการบรรเทาผลกระทบ
- ดำเนินการแยกเครือข่าย เพื่อแยกเครือข่าย ICS ออกจากเครือข่ายของบริษัท และเครือข่ายอินเทอร์เน็ต ใช้ไฟร์วอลล์ และ DMZ เพื่อควบคุม traffic และจำกัดการเข้าถึง
- เปิดใช้งาน MFA สำหรับการเข้าถึงระบบ ICS และจำกัดสิทธิ์ผู้ใช้เป็นแบบ least privilege เพื่อลดความเสี่ยงที่จะเกิดความเสียหายจากการเข้าถึงที่ไม่เหมาะสม
- ทำการอัปเดตฮาร์ดแวร์ และซอฟต์แวร์ ICS ทั้งหมดให้เป็นเวอร์ชันล่าสุดอยู่เสมอเพื่อป้องกันช่องโหว่ที่ถูกเปิดเผย
- ติดตั้งเครื่องมือการตรวจสอบความปลอดภัยอย่างครอบคลุมเพื่อตรวจจับ และแจ้งเตือนพฤติกรรมที่น่าสงสัย
- ใช้วิธีการเข้าถึงจากระยะไกลที่ปลอดภัย เช่น VPN และการเข้ารหัสที่รัดกุม เพื่อลดการเข้าถึงจากระยะไกลโดยตรง และติดตามเซสชันการเข้าถึงจากระยะไกลเพื่อค้นหาภัยคุกคามที่อาจเกิดขึ้น
ที่มา : cyble.com
You must be logged in to post a comment.