พบช่องโหว่ด้านความปลอดภัยระดับ Critical ในระบบเครื่องปรับอากาศหลายรุ่นของ Mitsubishi Electric ซึ่งทำให้ผู้ไม่หวังดีสามารถ Bypass การยืนยันตัวตน และควบคุมอุปกรณ์ที่ได้รับผลกระทบจากระยะไกลได้
ช่องโหว่หมายเลข CVE-2025-3699 ถูกเปิดเผยโดย Mitsubishi Electric เมื่อวันที่ 26 มิถุนายน 2025 และมีคะแนน CVSS 9.8 ซึ่งแสดงถึงความรุนแรงของช่องโหว่นี้
การ Bypass การยืนยันตัวตนทำให้ระบบ HVAC ในอาคารตกอยู่ในความเสี่ยง
ช่องโหว่ดังกล่าวเกิดจากการขาดการยืนยันตัวตนของฟังก์ชันที่สำคัญในเว็บอินเทอร์เฟซของเครื่องปรับอากาศรุ่นที่ได้รับผลกระทบ
หากช่องโหว่นี้ถูกนำไปใช้งาน ผู้ไม่หวังดีสามารถเข้าถึงระบบโดยไม่ได้รับอนุญาต, จัดการการตั้งค่าระบบ, เปิดเผยข้อมูลสำคัญ และแก้ไขเฟิร์มแวร์ของอุปกรณ์ได้
เหตุการณ์นี้อาจส่งผลกระทบต่อการควบคุมอุณหภูมิในสำนักงาน, ศูนย์ข้อมูล หรืออาคารใด ๆ ที่ใช้ระบบเหล่านี้ ซึ่งก่อให้เกิดความเสี่ยงต่อความปลอดภัย, ความเป็นส่วนตัว และความต่อเนื่องในการดำเนินงาน
ผลิตภัณฑ์ที่ได้รับผลกระทบ
ช่องโหว่นี้ส่งผลกระทบกับเครื่องปรับอากาศของ Mitsubishi Electric หลายรุ่น ดังนี้
- G-50, G-50-W, G-50A, GB-50, GB-50A, GB-24A (เวอร์ชัน 3.37 และก่อนหน้า)
- G-150AD, AG-150A-A, AG-150A-J, GB-50AD, GB-50ADA-A, GB-50ADA-J (เวอร์ชัน 3.21 และก่อนหน้า)
- EB-50GU-A, EB-50GU-J (เวอร์ชัน 7.11 และก่อนหน้า)
- AE-200J, AE-200A, AE-200E, AE-50J, AE-50A, AE-50E, EW-50J, EW-50A, EW-50E, TE-200A, TE-50A, TW-50A (เวอร์ชัน 8.01 และก่อนหน้า)
- CMS-RMD-J (เวอร์ชัน 1.40 และก่อนหน้า)
Mitsubishi Electric ระบุว่า ความเสี่ยงจากการถูกโจมตีนั้นขึ้นอยู่กับวิธีการตั้งค่าของระบบ
หากตัวควบคุมเครื่องปรับอากาศถูกติดตั้งในเครือข่ายอินทราเน็ตที่ปลอดภัย หรือได้รับการป้องกันด้วย VPN ช่องโหว่นี้จะไม่สามารถถูกโจมตีจากอินเทอร์เน็ตได้
อย่างไรก็ตาม ระบบที่เชื่อมต่อกับเครือข่ายภายนอก โดยไม่มีการแยกส่วนที่เหมาะสม หรือการป้องกันด้วย VPN จะมีความเสี่ยงสูงมาก
ไม่มีแพตช์แก้ไข แต่มีวิธีการลดความเสี่ยง
ในปัจจุบันยังไม่มีเวอร์ชันที่ได้รับการแก้ไขสำหรับผลิตภัณฑ์ส่วนใหญ่ที่ได้รับผลกระทบ โดย Mitsubishi Electric กำลังพัฒนาเวอร์ชันปรับปรุงสำหรับบางรุ่น แต่ขอให้ลูกค้าดำเนินมาตรการลดความเสี่ยงในทันที
- จำกัดการเข้าถึงจากเครือข่าย และโฮสต์ที่ไม่น่าเชื่อถือ
- จำกัดการเข้าถึงทางกายภาพทั้งตัวระบบเครื่องปรับอากาศ และคอมพิวเตอร์ที่เชื่อมต่อกับระบบ
- ตรวจสอบให้แน่ใจว่าคอมพิวเตอร์ที่ใช้เข้าถึงระบบได้รับการป้องกันด้วยซอฟต์แวร์ป้องกันไวรัส, ระบบปฏิบัติการ และเว็บเบราว์เซอร์ที่อัปเดตล่าสุด
ช่องโหว่นี้ได้รับการรายงานโดย Mihály Csonka นักวิจัยด้านความปลอดภัย Mitsubishi Electric ซึ่งกำลังพัฒนาอัปเดตสำหรับบางรุ่น และแนะนำให้ลูกค้าทุกคนตรวจสอบการตั้งค่าระบบของตน และดำเนินมาตรการลดความเสี่ยงที่แนะนำเพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต
องค์กรที่ใช้ระบบเครื่องปรับอากาศของ Mitsubishi Electric ควรดำเนินการอย่างรวดเร็วเพื่อรักษาความปลอดภัยของเครือข่าย และปรึกษากับตัวแทนของ Mitsubishi Electric สำหรับคำแนะนำเพิ่มเติม
ที่มา : gbhackers
You must be logged in to post a comment.