สำนักงานความมั่นคงปลอดภัยไซเบอร์ และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ได้เผยแพร่คำแนะนำด้านความปลอดภัยจำนวน 5 ข้อเกี่ยวกับระบบควบคุมอุตสาหกรรม (ICS) เมื่อวันที่ 29 พฤษภาคม 2025 โดยระบุถึงช่องโหว่สำคัญในระบบอัตโนมัติในระบบอุตสาหกรรม และโครงสร้างพื้นฐานที่ใช้งานกันอย่างแพร่หลาย
คำแนะนำเหล่านี้ แสดงให้เห็นถึงช่องโหว่ร้ายแรงที่ส่งผลกระทบต่อระบบ access control ของ Siemens, แผงควบคุมความปลอดภัยจากอัคคีภัย, อุปกรณ์ตรวจวัดสภาพแวดล้อม และซอฟต์แวร์ระบบการถ่ายภาพทางการแพทย์ ซึ่งอาจขัดขวางการทำงานที่สำคัญ และเป็นอันตรายต่อความปลอดภัยสาธารณะได้
ช่องโหว่ในระบบควบคุมอุตสาหกรรม (ICS) ที่กระจายอยู่ในหลายภาคส่วน
คำแนะนำทั้ง 5 ข้อครอบคลุมระบบควบคุมอุตสาหกรรมหลากหลายประเภทที่ใช้ในโครงสร้างพื้นฐานสำคัญ โดย ICSA-25-148-01 มุ่งเป้าไปที่ระบบควบคุมการเข้าถึงอิเล็กทรอนิกส์ Siemens SiPass
ระบบ Siemens SiPass มีช่องโหว่ CVE-2022-31807 ซึ่งเป็นช่องโหว่การตรวจสอบ cryptographic signature ที่ไม่เหมาะสม โดยมีคะแนน CVSS v4 อยู่ที่ 8.2 ซึ่งสามารถทำให้เกิดการโจมตีแบบ firmware manipulation ได้
โดย ICSA-25-148-02 ระบุถึงช่องโหว่ในแพลตฟอร์ม SiPass Integrated ขั้นสูง
แพลตฟอร์ม SiPass Integrated มีช่องโหว่ CVE-2022-31812 ซึ่งเป็นช่องโหว่แบบ out-of-bounds read ที่มีคะแนน 8.7 ใน CVSS v4 ซึ่งสามารถทำให้ผู้โจมตีที่ไม่ผ่านการยืนยันตัวตนสามารถโจมตีแบบ Denial-of-Service จากภายนอกได้
ICSA-25-148-03 มุ่งเน้นไปที่แผงป้องกันอัคคีภัย Consilium Safety CS5000 ที่ใช้ในงานด้านความปลอดภัยทางทะเล และอุตสาหกรรม
ช่องโหว่ที่ดังกล่าวมีหมายเลข CVE-2025-41438 (การตั้งค่าเริ่มต้นที่ไม่ปลอดภัย) และ CVE-2025-46352 (hard-coded credentials) ซึ่งทั้งคู่มีคะแนน 9.3 ใน CVSS v4
ช่องโหว่เหล่านี้เกี่ยวข้องกับบัญชีผู้ใช้เริ่มต้น และรหัสผ่านแบบฮาร์ดโค้ด ซึ่งอาจทำให้ผู้โจมตีสามารถเข้าควบคุมระบบจากระยะไกลได้โดยสมบูรณ์
ICSA-25-148-04 ครอบคลุมอุปกรณ์ตรวจวัดสภาพแวดล้อม Instantel Micromate ที่ใช้ในภาคการก่อสร้าง, เหมืองแร่, น้ำมัน และก๊าซ
Instantel Micromate มีช่องโหว่หมายเลข CVE-2025-1907 ซึ่งเป็นช่องโหว่การไม่มีระบบยืนยันตัวตน โดยมีคะแนน CVSS v4 อยู่ที่ 9.3 เช่นกัน ทำให้สามารถดำเนินการคำสั่งที่ไม่ได้ผ่านการตรวจสอบได้
สุดท้าย ICSMA-25-148-01 เป็นคำแนะนำด้านความปลอดภัยทางการแพทย์ สำหรับซอฟต์แวร์ Santesoft Sante DICOM Viewer Pro ที่ใช้ในระบบถ่ายภาพทางการแพทย์
ซอฟต์แวร์นี้มีช่องโหว่ CVE-2025-5307 ซึ่งเป็นช่องโหว่ memory corruption ที่อาจนำไปสู่การเรียกใช้โค้ดที่เป็นอันตราย ซึ่งอาจก่อให้เกิดอันตรายอย่างยิ่ง โดยเฉพาะเมื่อพิจารณาถึงสภาพแวดล้อมทางการแพทย์ที่มีความสำคัญต่อชีวิต
การลดความเสี่ยง
CISA เน้นย้ำถึงความสำคัญอย่างยิ่งในการดำเนินการตามแนวทางลดความเสี่ยงที่ผู้ผลิตแนะนำโดยทันที
Siemens ได้ออกแพตช์แก้ไขสำหรับระบบ SiPass ทั้งสองระบบ พร้อมคำแนะนำเฉพาะเจาะจงเพื่อเปิดใช้งานการสื่อสาร TLS และปฏิบัติตามแนวทางด้านความปลอดภัยในการปฏิบัติงาน
อย่างไรก็ตาม แผงป้องกันอัคคีภัย Consilium Safety CS5000 มีข้อจำกัดเฉพาะ เนื่องจากไม่มีแผนออกแพตช์แก้ไขสำหรับเวอร์ชันปัจจุบัน โดยผู้ผลิตแนะนำให้อัปเกรดไปใช้ผลิตภัณฑ์รุ่นใหม่ ที่ผลิตหลังวันที่ 1 กรกฎาคม 2024
สำหรับ Instantel Micromate แนะนำให้ผู้ใช้งานกำหนดรายการ IP Address ที่ได้รับอนุญาต เพื่อจำกัดการเข้าถึงในระหว่างที่รอการอัปเดตเฟิร์มแวร์
ภาคการแพทย์ถือว่าเร่งด่วนเป็นพิเศษ โดย Santesoft DICOM Viewer จำเป็นต้องอัปเกรดเป็นเวอร์ชัน 14.2.2 เพื่อป้องกันความเสี่ยงในการเปิดเผยข้อมูลผู้ป่วย และการหยุดชะงักของระบบการวินิจฉัย
CISA แนะนำให้ดำเนินมาตรการป้องกันอย่างรอบด้าน ซึ่งรวมถึงการทำ network segmentation, การตั้งค่าการป้องกันด้วย Firewall, การใช้ VPN สำหรับการเข้าถึงจากระยะไกล และการตรวจสอบอย่างต่อเนื่อง
องค์กรควรประเมินผลกระทบอย่างละเอียดก่อนนำมาตรการป้องกันไปใช้งาน และควรจัดทำรายการสินทรัพย์ให้เป็นปัจจุบัน เพื่อให้แน่ใจว่าครอบคลุมช่องโหว่ทั้งหมด
การเผยแพร่คำแนะนำเน้นย้ำถึงความท้าทายด้านความปลอดภัยทางไซเบอร์ที่เปลี่ยนแปลงไปซึ่งโครงสร้างพื้นฐานที่สำคัญต้องเผชิญ ในขณะที่การเปลี่ยนแปลงทางดิจิทัลรวดเร็วขึ้นในภาคอุตสาหกรรมต่าง ๆ
ที่มา : cybersecuritynews
You must be logged in to post a comment.