The Cybersecurity and Infrastructure Security Agency (CISA) แจ้งเตือนถึงช่องโหว่ใหม่ใน Rockwell Automation FactoryTalk ThinManager โดยการแจ้งเตือนมีหมายเลข ICSA-24-305-01 ซึ่งระบุถึงความเสี่ยงด้านความปลอดภัยที่ร้ายแรง ซึ่งอาจส่งผลกระทบกับผู้ใช้งานซอฟต์แวร์ โดยมีคะแนน CVSS v4 ที่ 9.3 โดยช่องโหว่เหล่านี้ทีมรักษาความปลอดภัยจำเป็นต้องให้ความสนใจ เพื่อป้องกันการโจมตีที่อาจเกิดขึ้นกับระบบควบคุมอุตสาหกรรม
ช่องโหว่ที่พบใน FactoryTalk ThinManager ของ Rockwell Automation ประกอบไปด้วย Missing Authentication for Critical Function และ Out-of-Bounds Read โดยปัญหาเหล่านี้สามารถเปิดโอกาสให้ผู้โจมตีจากภายนอกเข้ามาจัดการฐานข้อมูล หรือทำให้เกิด denial-of-service (DoS) ได้
หากการโจมตีสำเร็จจะก่อให้เกิดความเสี่ยงต่อผู้ใช้งาน โดยผู้โจมตีอาจส่งข้อความที่ถูกออกแบบมาเป็นพิเศษไปยังอุปกรณ์ FactoryTalk ThinManager ซึ่งอาจนำไปสู่ผลกระทบร้ายแรง เช่น การแก้ไขฐานข้อมูลโดยไม่ได้รับอนุญาต หรือการหยุดชะงักของบริการ
รายละเอียดทางเทคนิค
FactoryTalk ThinManager ของ Rockwell Automation มีการระบุว่าหลายเวอร์ชันมีความเสี่ยงต่อช่องโหว่ รวมถึงเวอร์ชัน
- 11.2.0 ถึง 11.2.9
- 12.0.0 ถึง 12.0.7
- 12.1.0 ถึง 12.1.8
- 13.0.0 ถึง 13.0.5
- 13.1.0 ถึง 13.1.3
- 13.2.0 ถึง 13.2.2
- 14.0.0
ช่องโหว่ระดับ critical รายการแรกคือ CVE-2024-10386 เป็นช่องโหว่ Missing Authentication for Critical Function (CWE-306) และมีคะแนน CVSS v3.1 ที่ 9.8 โดยช่องโหว่นี้ทำให้ผู้โจมตีที่สามารถเข้าถึงผ่านเครือข่าย สามารถส่งข้อความที่ออกแบบมาเป็นพิเศษไปยัง FactoryTalk ThinManager ซึ่งอาจส่งผลให้เกิด database manipulation ได้
ช่องโหว่ที่สอง CVE-2024-10387 เป็นช่องโหว่ Out-of-Bounds Read (CWE-125) และก่อให้เกิดความเสี่ยงต่อการโจมตีแบบ Denial-of-Service โดยช่องโหว่นี้เปิดโอกาสให้ผู้โจมตีที่สามารถเข้าถึงผ่านเครือข่าย สามารถส่งข้อความที่ออกแบบมาเป็นพิเศษเพื่อขัดขวางการทำงานของ FactoryTalk ThinManager ช่องโหว่นี้มีคะแนน CVSS v3.1 ที่ 7.5 และ CVSS v4 ที่ 8.7 ซึ่งแสดงให้เห็นถึงระดับความร้ายแรงของช่องโหว่
Rockwell Automation ได้รับทราบถึงช่องโหว่เหล่านี้ ซึ่งส่งผลกระทบอย่างมากต่อโครงสร้างพื้นฐานที่สำคัญ โดยเฉพาะในภาคการผลิต และกำลังถูกนำไปใช้งานทั่วโลก เพื่อจัดการกับความเสี่ยงที่เกี่ยวข้องกับช่องโหว่เหล่านี้ Rockwell Automation ได้ออกแพตช์สำหรับเวอร์ชันที่ได้รับผลกระทบบนเว็บไซต์สำหรับดาวน์โหลดของ FactoryTalk ThinManager และขอให้ผู้ใช้งานติดตั้งแพตซ์อัปเดตเหล่านี้โดยเร็ว
นอกจากนี้ ผู้ใช้งานควรดำเนินการปรับปรุงความปลอดภัยของเครือข่ายโดยการจำกัดการเชื่อมต่อไปยังพอร์ต TCP 2031 เฉพาะกับอุปกรณ์ที่จำเป็นต้องเชื่อมต่อกับ ThinManager เท่านั้น นอกจากนี้ยังแนะนำให้ปฏิบัติตามแนวทางของ Rockwell Automation เกี่ยวกับแนวปฏิบัติที่ดีที่สุดด้านความปลอดภัยเพื่อช่วยลดความเสี่ยงในระบบควบคุมอัตโนมัติในอุตสาหกรรม
คำแนะนำจาก CISA
ลดการเปิดเผยเครือข่ายสำหรับอุปกรณ์ระบบควบคุมทั้งหมด โดยให้มั่นใจว่าอุปกรณ์เหล่านี้ไม่สามารถเข้าถึงได้จากอินเทอร์เน็ต
แยกเครือข่ายระบบควบคุม และ remote devices ออกจากกันโดยใช้ไฟร์วอลล์
ใช้วิธีการที่ปลอดภัยสำหรับการเข้าถึงจากระยะไกล เช่น Virtual Private Networks (VPNs) โดยต้องมีการอัปเดตแพตซ์อย่างสม่ำเสมอ
ดำเนินการวิเคราะห์ผลกระทบ และการประเมินความเสี่ยงอย่างครอบคลุมก่อนที่จะดำเนินการตามมาตรการป้องกัน
ตรวจสอบ และนำคำแนะนำด้านความปลอดภัยจากแหล่งที่เชื่อถือได้มาปรับใช้เป็นประจำ
ที่มา : cyble
You must be logged in to post a comment.