หน่วยงานด้านความปลอดภัยทางไซเบอร์ของสหรัฐฯ (CISA) ออกคำเตือนเกี่ยวกับช่องโหว่ระดับ Critical 2 รายการที่ทำให้สามารถ bypass การยืนยันตัวตน และการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ในผลิตภัณฑ์สวิตช์ Optigo Networks ONS-S8 Aggregation ซึ่งมักถูกใช้ในโครงสร้างพื้นฐานที่สำคัญ
ช่องโหว่ดังกล่าวเกี่ยวข้องกับปัญหาการตรวจสอบสิทธิ์ที่ไม่รัดกุม ที่มีการอนุญาตให้ bypass ข้อกำหนดด้านรหัสผ่าน และปัญหาการตรวจสอบข้อมูลที่ผู้ใช้กรอก ซึ่งอาจทำให้เกิดการเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกล และการสุ่มอัปโหลดไฟล์ รวมไปถึงการเข้าถึงไดเรกทอรี
อุปกรณ์นี้ใช้ในโครงสร้างพื้นฐานที่สำคัญ และหน่วยการผลิตทั่วโลก โดยเมื่อพิจารณาแล้วพบว่าช่องโหว่สามารถถูกโจมตีจากระยะไกลได้ โดยมีความซับซ้อนของการโจมตีต่ำ และค่อนข้างมีความเสี่ยงสูง
ปัจจุบันนี้ยังไม่มีวิธีแก้ไขใด ๆ จึงแนะนำให้ผู้ใช้งาน ใช้มาตรการลดผลกระทบที่ทาง Vendor แนะนำ
ช่องโหว่แรกหมายเลข CVE-2024-41925 เป็นช่องโหว่ PHP Remote File Inclusion (RFI) ที่เกิดจากการตรวจสอบ หรือการจัดการเส้นทางไฟล์ที่ผู้ใช้ระบุไม่ถูกต้อง
ผู้โจมตีสามารถใช้ช่องโหว่นี้เพื่อดำเนินการสำรวจไดเรกทอรี bypass การยืนยันตัวตน และรันโค้ดที่เป็นอันตรายจากระยะไกลตามที่ต้องการได้
ช่องโหว่ที่สองหมายเลข CVE-2024-45367 เป็นช่องโหว่การตรวจสอบสิทธิ์ที่ไม่รัดกุม ซึ่งเกิดจากการบังคับใช้การตรวจสอบรหัสผ่านที่ไม่เหมาะสมบนกลไกการยืนยันตัวตน
การใช้ประโยชน์จากช่องโหว่เหล่านี้ทำให้ผู้โจมตีสามารถเข้าถึงอินเทอร์เฟซการจัดการสวิตช์โดยที่ไม่ได้รับอนุญาต อีกทั้งยังสามารถเปลี่ยนแปลงการกำหนดค่า และเข้าถึงข้อมูลที่สำคัญ รวมไปถึงการโจมตีต่อไปภายในเครือข่าย
Claroty Team82 เป็นผู้ค้นพบช่องโหว่ทั้งสองรายการ และได้รับการจัดระดับว่าเป็นช่องโหว่ระดับ Critical โดยมีคะแนน CVSS v4 อยู่ที่ 9.3 โดยช่องโหว่ดังกล่าวส่งผลกระทบต่อ ONS-S8 Spectra Aggregation Switch ทุกเวอร์ชันจนถึงเวอร์ชัน 1.3.7
การรักษาความปลอดภัยในส่วนของสวิตช์
แม้ว่า CISA จะยังไม่พบสัญญาณของการโจมตีโดยใช้ช่องโหว่เหล่านี้ แต่แนะนำให้ผู้ดูแลระบบดำเนินการดังต่อไปนี้เพื่อลดความเสี่ยงที่อาจถูกโจมตี
1. แยกการรับส่งข้อมูลการจัดการ ONS-S8 โดยแยกไว้ในส่วนของ VLAN เฉพาะ เพื่อแยกออกจากการรับส่งข้อมูลของเครือข่ายปกติ และลดความเสี่ยงจากการถูกโจมตี
2. เชื่อมต่อกับ OneView ผ่าน NIC เฉพาะบนคอมพิวเตอร์ BMS เท่านั้น เพื่อให้มั่นใจถึงการเข้าถึงที่ปลอดภัย และตั้งค่าเฉพาะสำหรับการจัดการเครือข่าย OT
3. กำหนดค่าไฟร์วอลล์ของเราเตอร์เพื่อทำ whitelist ของอุปกรณ์เฉพาะ และจำกัดการเข้าถึง OneView เฉพาะระบบที่ได้รับอนุญาตเท่านั้น รวมไปถึงป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต
4. ใช้ VPN ที่ปลอดภัยสำหรับการเชื่อมต่อทั้งหมดกับ OneView เพื่อให้แน่ใจว่าการเชื่อมต่อมีการเข้ารหัส และป้องกันการ intercept ข้อมูลที่อาจเกิดขึ้น
5. ปฏิบัติตามคำแนะนำด้านความปลอดภัยทางไซเบอร์ของ CISA โดยการประเมินความเสี่ยง การใช้ระบบรักษาความปลอดภัยแบบหลายชั้น (defense-in-depth) และยึดมั่นปฏิบัติตามแนวทางความปลอดภัยของ ICS
CISA แนะนำให้องค์กรต่าง ๆ ที่พบพฤติกรรมที่น่าสงสัยบนอุปกรณ์เหล่านี้ ปฏิบัติตามโปรโตคอลการละเมิดข้อมูล และรายงานเหตุการณ์ดังกล่าวต่อหน่วยงานด้านความปลอดภัยทางไซเบอร์ เพื่อที่จะสามารถติดตาม และเชื่อมโยงกับเหตุการณ์อื่น ๆ ได้
ที่มา :bleepingcomputer.com
You must be logged in to post a comment.