หน่วยงานความมั่นคงทางไซเบอร์ของสหรัฐฯ CISA กำลังเตือนเกี่ยวกับช่องโหว่ร้ายแรง 2 รายการที่สามารถทำให้เกิดการข้ามการยืนยันตัวตนและการเรียกใช้โค้ดจากระยะไกลในผลิตภัณฑ์ Optigo Networks ONS-S8 Aggregation Switch ซึ่งถูกใช้งานในโครงสร้างพื้นฐานที่สำคัญ
ช่องโหว่เหล่านี้เกี่ยวข้องกับปัญหาการยืนยันตัวตนที่อ่อนแอ ซึ่งทำให้สามารถข้ามการตรวจสอบรหัสผ่านได้ และปัญหาการตรวจสอบความถูกต้องของข้อมูลผู้ใช้ ที่อาจนำไปสู่การเรียกใช้โค้ดจากระยะไกล การอัปโหลดไฟล์ที่เป็นอันตราย และการเข้าถึงโฟลเดอร์ที่ไม่ได้รับอนุญาต (Directory Traversal)
อุปกรณ์นี้ถูกใช้งานในโครงสร้างพื้นฐานที่สำคัญและหน่วยการผลิตทั่วโลก และเนื่องจากช่องโหว่นี้สามารถถูกโจมตีจากระยะไกลได้ด้วยความซับซ้อนต่ำ ความเสี่ยงจึงถูกประเมินว่าสูงมาก
ขณะนี้ยังไม่มีการแก้ไขปัญหาช่องโหว่ดังกล่าว ผู้ใช้งานจึงถูกแนะนำให้ใช้มาตรการลดความเสี่ยงที่ผู้จำหน่ายในแคนาดาเสนอแนะ
ช่องโหว่แรกได้รับการติดตามในรหัส CVE-2024-41925 และถูกจัดประเภทเป็นปัญหา PHP Remote File Inclusion (RFI) ซึ่งเกิดจากการตรวจสอบหรือการกรองเส้นทางไฟล์ที่ผู้ใช้ระบุไม่ถูกต้อง
ผู้โจมตีสามารถใช้ช่องโหว่นี้เพื่อทำการเข้าถึงโฟลเดอร์ที่ไม่ได้รับอนุญาต (Directory Traversal) ข้ามการยืนยันตัวตน และเรียกใช้โค้ดจากระยะไกล
ปัญหาที่สองที่ถูกติดตามในรหัส CVE-2024-45367 เป็นปัญหาการยืนยันตัวตนที่อ่อนแอซึ่งเกิดจากการบังคับใช้การตรวจสอบรหัสผ่านที่ไม่เหมาะสมในกลไกการยืนยันตัวตน
การโจมตีนี้ทำให้ผู้โจมตีสามารถเข้าถึงอินเทอร์เฟซการจัดการสวิตช์โดยไม่ได้รับอนุญาต เปลี่ยนการตั้งค่า เข้าถึงข้อมูลสำคัญ หรือขยายไปยังจุดอื่น ๆ ในเครือข่ายได้
ทั้งสองปัญหาถูกค้นพบโดยทีม Claroty Team82 และได้รับการจัดอันดับว่าร้ายแรง โดยมีคะแนน CVSS v4 อยู่ที่ 9.3 ช่องโหว่นี้มีผลกระทบต่อ ONS-S8 Spectra Aggregation Switch ทุกเวอร์ชันจนถึงเวอร์ชัน 1.3.7
การรักษาความปลอดภัยของสวิตช์ แม้ว่า CISA จะยังไม่พบหลักฐานว่าช่องโหว่เหล่านี้ถูกใช้โจมตีในขณะนี้
ผู้ดูแลระบบควรดำเนินการดังต่อไปนี้เพื่อลดความเสี่ยงจากช่องโหว่เหล่านี้:
- แยกการรับส่งข้อมูลการจัดการ ONS-S8 โดยวางไว้ใน VLAN เฉพาะ เพื่อแยกออกจากการรับส่งข้อมูลเครือข่ายทั่วไปและลดการเปิดเผย
- เชื่อมต่อกับ OneView ผ่าน NIC เฉพาะบนคอมพิวเตอร์ BMS เพื่อให้มั่นใจว่าการเข้าถึงเครือข่าย OT มีความปลอดภัยและเป็นเอกสิทธิ์
- ตั้งค่าไฟร์วอลล์เราเตอร์เพื่ออนุญาตเฉพาะอุปกรณ์ที่ระบุไว้เท่านั้น เพื่อจำกัดการเข้าถึง OneView เฉพาะกับระบบที่ได้รับอนุญาตและป้องกันการเข้าถึงที่ไม่ได้รับอนุญาต
- ใช้ VPN ที่ปลอดภัยสำหรับการเชื่อมต่อกับ OneView เพื่อให้มั่นใจว่าการสื่อสารมีการเข้ารหัสและป้องกันการดักฟังข้อมูลที่อาจเกิดขึ้น
- ปฏิบัติตามแนวทางความมั่นคงปลอดภัยทางไซเบอร์ของ CISA โดยการประเมินความเสี่ยง การดำเนินการรักษาความปลอดภัยแบบหลายชั้น (Defense-in-Depth) และการปฏิบัติตามแนวทางที่ดีที่สุดสำหรับการรักษาความปลอดภัยระบบควบคุมอุตสาหกรรม (ICS)
CISA แนะนำว่าองค์กรที่พบเห็นกิจกรรมที่น่าสงสัยในอุปกรณ์เหล่านี้ควรปฏิบัติตามมาตรการตอบโต้เหตุการณ์ที่เกิดขึ้นและรายงานเหตุการณ์ต่อหน่วยงานความมั่นคงไซเบอร์เพื่อให้สามารถติดตามและเชื่อมโยงกับเหตุการณ์อื่น ๆ ได้
Ref : bleepingcomputer
