ผู้เชี่ยวชาญชี้แฮ็กเกอร์อาจสร้างความโกลาหลจากช่องโหว่ใน Smart City

ผู้เชี่ยวชาญจาก Threatcare และ IBM X-Force ได้ผนึกกำลังกันเพื่อศึกษาช่องโหว่ในเทคโนโลยีของ Smart City ที่อาจเปิดโอกาสให้แฮ็กเกอร์สร้างความโกลาหล ซึ่งจากการศึกษาผู้เล่นในเทคโนโลยี 3 บริษัทคือ Echelon, Libelium และ Battelle พบว่ามีช่องโหว่กว่า 17 รายการในผลิตภัณฑ์ 4 ประเภท โดยเป็นช่องโหว่ร้ายแรงจำนวน 8 รายการ

Credit: ShutterStock.com

บริษัท Echelon ถูกทดสอบในเราเตอร์รุ่น LON 100 และ 600 ซึ่งทำหน้าให้องค์กรสามารถติดตามและควบคุมอุปกรณ์ LonWorks เช่น ปั้ม วาวล์ มอเตอร์ เซนเซอร์ และแสง พบว่ามีช่องโหว่จำนวน 5 รายการ คือ 2 ช่องโหว่ระดับร้ายแรงที่ทำให้แฮ็กเกอร์สามารถบายพาสการพิสูจน์ตัวตน การใช้งาน Default Credential และรหัสผ่านแบบ Plaintext รวมถึงยังขาดการเข้ารหัสในการสื่อสาร โดยทาง ICS-CERT ได้ตีพิมพ์ Advisory เกี่ยวกับการค้นพบครั้งนี้เอาไว้ที่นี่

กรณีของบริษัท Libelium หรือผู้เชี่ยวชาญด้านฮาร์ดแวร์สำหรับเครือข่ายเซ็นเซอร์รับสัญญาณไร้สาย ทางทีมนักวิจัยพบว่า IoT Gateway ที่ชื่อ Meshlium ถูกออกแบบมาให้เซนเซอร์สามารถเชื่อมต่อไปยังแพลตฟอร์ม Cloud ใดๆ ก็ได้ โดยมีช่องโหว่ Pre-authentication Shell Injection จำนวน 4 รายการ และสุดท้ายกรณีของ Battelle ทางทีมงานพบช่องโหว่ในผลิตภัณฑ์ V2I Hub (Vehicle-to-infrastructure) ที่ใช้เพื่อการสื่อสารข้อมูลระหว่างสัญญาณควบคุมจราจรกับยานพาหนะพบกับช่องโหว่หลายรายการ เช่น SQL injection, Hardcoded Password, Cross-site-script (XSS) และไม่มีการปกป้องฟังก์ชันที่ละเอียดอ่อน รวมไปถึงปัญหาของ API อีกด้วย ซึ่งช่องโหว่หลักๆ ถูกจัดในระดับร้ายแรงและระดับสูง

นักวิจัยได้แจ้งเตือนผู้ผลิตเหล่าที่ได้รับผลกระทบเรียบร้อยแล้วและถูกแก้ไขแล้วเช่นกัน อย่างไรก็ตามแม้ว่าการค้นพบช่องโหว่เช่นนี้เหมือนเป็นเรื่องธรรมดาและยังไม่เคยพบหลักฐานว่าช่องโหว่ในอุปกรณ์ที่เกี่ยวข้องในโปรเจ็คนี้ถูกโจมตี แต่ที่น่ากังวลคือด้วยการใช้แพลตฟอร์มค้นหาอย่าง Shodan และ Censys สามารถแสดงระบบที่มีช่องโหว่และเชื่อมต่อผ่านอินเทอร์เน็ตได้หลายสิบหรือหลายร้อยระบบ มีทั้งจากยุโรปและเมืองหลักของสหรัฐฯ

จากข้อสรุปคือช่องโหว่เหล่านี้สามารถถูกใช้งานเพื่อทำให้เกิดหายนะอย่างใหญ่หลวงร้ายแรง“–นักวิจัยกล่าวทิ้งท้าย ผู้โจมตีสามารถใช้ช่องโหว่เพื่อแทรกแซงเซนเซอร์วัดระดับน้ำเพื่อทำให้เกิดความวุ่นวาย เช่น อาจจะทำให้ค่าระดับน้ำดูเหมือนปกติทั้งๆ ที่น้ำกำลังท่วม ควบคุมสัญญาณไฟจราจร และการแจ้งเตือนฉุกเฉินต่างๆ

ที่มา : https://www.securityweek.com/flaws-smart-city-systems-can-allow-hackers-cause-panic


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Cisco Talos เผย 3 กลุ่มแฮ็กเกอร์ที่มุ่งเจาะบริการระดับองค์กรเพื่อทำ Cryptomining

Cisco Talos ได้ทำรายงานศึกษาเจาะลึกถึงกลุ่มอาชญากรทางไซเบอร์ที่มุ่งเน้นเจาะระบบบริการระดับองค์ เช่น Jenkins, Hadoop, Jboss และ Struts2 เพื่อทำการแอบขุดเหมืองเงินดิจิทัล โดยแบ่งเป็น 3 กลุ่มหลักคือ Rocke, 8220 …

10 อันดับเหตุการณ์ Password FAILS ประจำปี 2018

รหัสผ่านถือเป็นเครื่องมือสำคัญที่ใช้ยืนยันตัวตนของผู้ใช้ รหัสผ่านที่ดีจึงควรถูกตั้งค่าให้มีความแข็งแกร่งและจัดเก็บให้เป็นอย่างดี บทความนี้ได้รวบรวมเหตุการณ์ความล้มเหลวของการใช้รหัสผ่านประจำปี 2018 ทั้งหมด 10 เหตุการณ์จากทั่วโลก สำหรับเป็นอุทาหรณ์และไม่ควรนำไปใช้เป็นเยี่ยงอย่าง ดังนี้