นักวิจัยของ Cyble ได้ระบุช่องโหว่ในผลิตภัณฑ์สามรายการที่ใช้ในโครงสร้างพื้นฐานที่สำคัญ ซึ่งควรได้รับความสนใจอย่างเร่งด่วนจากทีมรักษาความปลอดภัย
รายงานช่องโหว่ประจำสัปดาห์ของระบบการควบคุมอุตสาหกรรม/เทคโนโลยีเชิงปฏิบัติงาน (ICS/OT) ของ Cyble ประจำวันที่ 1-7 ตุลาคม ได้ตรวจสอบช่องโหว่ 10 รายการในผลิตภัณฑ์ ICS/OT ห้ารายการ โดยระบุว่าผลิตภัณฑ์จาก Mitsubishi Electric, TEM และ Delta Electronics ว่ามีความสำคัญสูงสุดสำหรับการอัปเดตแพตช์ และการลดผลกระทบ
ช่องโหว่ใน TEM Opera Plus FM Family Transmitter
ผู้โจมตีสามารถใช้ช่องโหว่ใน Opera Plus FM Family Transmitters (CVE-2024-41987 และ CVE-2024-41988) โดยใช้ข้อผิดพลาดด้านการยืนยันตัวตนสำหรับฟังก์ชันที่สำคัญ และช่องโหว่ Cross-Site Request Forgery (CSRF) เนื่องจากมีการเผยแพร่ proof of concept (PoC) ออกสู่สาธารณะแล้ว
CISA ได้ออกคำแนะนำเกี่ยวกับช่องโหว่เหล่านี้เมื่อวันที่ 3 ตุลาคม 2024 และมีการบันทึก CVE ในวันเดียวกันโดยระบุว่า TEM ไม่ตอบสนองต่อคำขอความร่วมมือจากหน่วยงานในการจัดการกับช่องโหว่ดังกล่าว เช่นเดียวกับ Gjoko Krstic ผู้พัฒนา PoC รายงานว่าไม่ได้รับการตอบกลับจากบริษัทเช่นกัน
เครื่องส่งสัญญาณเหล่านี้ถูกใช้งานทั่วโลกในภาคการสื่อสาร โดยเวอร์ชัน 35.45 ได้รับผลกระทบจากช่องโหว่ดังกล่าว
CISA แนะนำแนวทางแก้ไขดังนี้
- ลดการเปิดเผยเครือข่ายสำหรับอุปกรณ์ระบบควบคุม และระบบทั้งหมด ตรวจสอบให้แน่ใจว่าอุปกรณ์ และระบบควบคุมไม่สามารถเข้าถึงได้จากอินเทอร์เน็ต
- วางเครือข่ายระบบควบคุม และอุปกรณ์ระยะไกลไว้ด้านหลังไฟร์วอลล์ และแยกเครือข่ายระบบควบคุมออกจากเครือข่ายธุรกิจ
- ใช้การเข้าถึงระยะไกลด้วยวิธีที่ปลอดภัยยิ่งขึ้น หากจำเป็นต้องเข้าถึงจากระยะไกล ควรใช้ VPN หรือวิธีที่ปลอดภัยอื่น ๆ โดยต้องอัปเดต VPN เป็นเวอร์ชันล่าสุด และอุปกรณ์ที่เชื่อมต่อก็ต้องมีความปลอดภัยเช่นกัน
ช่องโหว่ใน Mitsubishi Electric MELSEC iQ-F FX5-OPC
Mitsubishi Electric’s MELSEC iQ-F FX5-OPC communication units ได้รับผลกระทบจากช่องโหว่ NULL pointer dereference (CVE-2024-0727) ซึ่งผู้ไม่หวังดีสามารถใช้ประโยชน์จากช่องโหว่นี้เพื่อสร้างการโจมตีแบบ Denial-of-service (DoS) โดยการหลอกให้ผู้ใช้งานจริงนำเข้าทรัพยากรที่มีการสร้างขึ้นมาเป็นพิเศษในรูปแบบ PKCS#12 certificate ปัญหานี้เกิดจากช่องโหว่ของ OpenSSL ซึ่งบริษัทได้ชี้แจงรายละเอียดในคำแนะนำเมื่อวันที่ 1 ตุลาคม
Mitsubishi Electric ไม่มีแผนที่จะแก้ไขช่องโหว่นี้ และแนะนำแนวทางแก้ไขดังต่อไปนี้
- ใช้งานภายใน LAN และบล็อกการเข้าถึงจากเครือข่าย และโฮสต์ที่ไม่น่าเชื่อถือผ่านไฟร์วอลล์
- จำกัดการเข้าถึงทางกายภาพของผลิตภัณฑ์, คอมพิวเตอร์ และอุปกรณ์เครือข่ายที่อยู่ภายในเครือข่ายเดียวกัน
- ใช้ไฟร์วอลล์ หรือ VPN เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตในกรณีที่ต้องการการเข้าถึงอินเทอร์เน็ต
- ใช้ฟังก์ชัน IP filter เพื่อบล็อกการเข้าถึงจากโฮสต์ที่ไม่น่าเชื่อถือ สำหรับรายละเอียดเกี่ยวกับฟังก์ชัน IP filter สามารถดูได้ในคู่มือ: MELSEC iQ-F FX5 OPC UA Module User’s Manual “4.4 IP Filter”
- ห้ามนำเข้า certificates ที่ไม่น่าเชื่อถือ
ช่องโหว่ใน Delta Electronics DIAEnergie
ช่องโหว่ SQL Injection (CVE-2024-43699 และ CVE-2024-42417) ในระบบการจัดการพลังงานอุตสาหกรรม DIAEnergie ของ Delta Electronics อาจทำให้ผู้โจมตีที่ไม่ได้รับการยืนยันตัวตนสามารถใช้ประโยชน์จากปัญหานี้เพื่อเข้าถึงข้อมูลบันทึกที่มีอยู่ในผลิตภัณฑ์ที่ถูกโจมตีได้
เวอร์ชัน v1.10.01.008 และเวอร์ชันก่อนหน้าได้รับผลกระทบจากช่องโหว่ดังกล่าว และ Delta Electronics แนะนำให้ผู้ใช้งานทำการอัปเกรดเป็นเวอร์ชัน v1.10.01.009
Optigo Networks และ Subnet Solutions
ผลิตภัณฑ์ของ Optigo Networks (CVE-2024-41925 และ CVE-2024-45367) และ Subnet Solutions PowerSYSTEM Center (CVE-2020-28168, CVE-2021-3749, และ CVE-2023-45857) ก็เป็นจุดสนใจในคำแนะนำด้านความปลอดภัยล่าสุดด้วยเช่นกัน โดย Cyble แนะนำให้มีการอัปเดตแพตช์สำหรับช่องโหว่ใน Optigo ONS-S8 Spectra Aggregation Switch เมื่อสัปดาห์ที่แล้ว
คำแนะนำ และการลดผลกระทบ
- ควรติดตามคำแนะนำการอัปเดตแพตช์ และการแจ้งเตือนที่ออกโดยผู้ผลิต และหน่วยงานของรัฐ
- ปฏิบัติตามแนวทางการจัดการช่องโหว่ตามความเสี่ยง เพื่อลดความเสี่ยงจากการโจมตีสินทรัพย์ และปรับใช้นโยบาย Zero-Trust
- นักวิเคราะห์ข้อมูลข่าวกรองด้านภัยคุกคามควรร่วมสนับสนุนกระบวนการจัดการแพตช์ภายในองค์กร โดยการติดตามช่องโหว่ที่สำคัญอย่างต่อเนื่อง ซึ่งมีการเผยแพร่ใน KEV Catalog ของ CISA หรือช่องโหว่ที่ถูกใช้ในการโจมตีจริง รวมถึงช่องโหว่ที่มีการพยายามโจมตีบนอินเทอร์เน็ต
- พัฒนากลยุทธ์การจัดการแพตช์ที่ครอบคลุม ควรสร้างกลยุทธ์การจัดการแพตช์ที่รวมถึงการจัดการสินค้าคงคลัง, การประเมินแพตช์, การทดสอบ, การปรับใช้ และการตรวจสอบ ทำให้กระบวนการเป็นอัตโนมัติเมื่อเป็นไปได้ เพื่อให้แน่ใจว่ามีความสม่ำเสมอ และประสิทธิภาพในการดำเนินงาน
- ดำเนินการแบ่งส่วนเครือข่ายอย่างเหมาะสม เพื่อป้องกันไม่ให้ผู้โจมตีทำการค้นพบ และโจมตีต่อไปภายในระบบได้ และลดการเปิดเผยทรัพย์สินที่สำคัญ
- การตรวจสอบระบบอย่างสม่ำเสมอ การประเมินช่องโหว่ และการทดสอบการเจาะระบบ (pen-testing) เป็นสิ่งสำคัญในการค้นหาช่องโหว่ด้านความปลอดภัยที่ผู้โจมตีอาจใช้ประโยชน์
- การมอนิเตอร์ และบันทึกข้อมูลตลอดเวลาเป็นเครื่องมือสำคัญในการตรวจจับความผิดปกติในเครือข่ายตั้งแต่ต้น ๆ
- ใช้ Software Bill of Materials (SBOM) ช่วยให้สามารถตรวจสอบได้อย่างชัดเจนเกี่ยวกับส่วนประกอบแต่ละตัว, ไลบรารี และช่องโหว่ที่เกี่ยวข้อง
- ควรมีการติดตั้งการควบคุมทางกายภาพเพื่อป้องกันไม่ให้บุคคลที่ไม่ได้รับอนุญาตเข้าถึงอุปกรณ์, ส่วนประกอบ, อุปกรณ์เสริม และเครือข่ายของคุณ
- ควรมีการจัดทำแผนการตอบสนองต่อเหตุการณ์ที่ชัดเจน โดยระบุขั้นตอนในการตรวจจับ, ตอบสนอง และกู้คืนจากเหตุการณ์ด้านความปลอดภัย
ที่มา : cyble
You must be logged in to post a comment.