Breaking News

ผู้เชี่ยวชาญชี้แฮ็กเกอร์อาจสร้างความโกลาหลจากช่องโหว่ใน Smart City

ผู้เชี่ยวชาญจาก Threatcare และ IBM X-Force ได้ผนึกกำลังกันเพื่อศึกษาช่องโหว่ในเทคโนโลยีของ Smart City ที่อาจเปิดโอกาสให้แฮ็กเกอร์สร้างความโกลาหล ซึ่งจากการศึกษาผู้เล่นในเทคโนโลยี 3 บริษัทคือ Echelon, Libelium และ Battelle พบว่ามีช่องโหว่กว่า 17 รายการในผลิตภัณฑ์ 4 ประเภท โดยเป็นช่องโหว่ร้ายแรงจำนวน 8 รายการ

Credit: ShutterStock.com

บริษัท Echelon ถูกทดสอบในเราเตอร์รุ่น LON 100 และ 600 ซึ่งทำหน้าให้องค์กรสามารถติดตามและควบคุมอุปกรณ์ LonWorks เช่น ปั้ม วาวล์ มอเตอร์ เซนเซอร์ และแสง พบว่ามีช่องโหว่จำนวน 5 รายการ คือ 2 ช่องโหว่ระดับร้ายแรงที่ทำให้แฮ็กเกอร์สามารถบายพาสการพิสูจน์ตัวตน การใช้งาน Default Credential และรหัสผ่านแบบ Plaintext รวมถึงยังขาดการเข้ารหัสในการสื่อสาร โดยทาง ICS-CERT ได้ตีพิมพ์ Advisory เกี่ยวกับการค้นพบครั้งนี้เอาไว้ที่นี่

กรณีของบริษัท Libelium หรือผู้เชี่ยวชาญด้านฮาร์ดแวร์สำหรับเครือข่ายเซ็นเซอร์รับสัญญาณไร้สาย ทางทีมนักวิจัยพบว่า IoT Gateway ที่ชื่อ Meshlium ถูกออกแบบมาให้เซนเซอร์สามารถเชื่อมต่อไปยังแพลตฟอร์ม Cloud ใดๆ ก็ได้ โดยมีช่องโหว่ Pre-authentication Shell Injection จำนวน 4 รายการ และสุดท้ายกรณีของ Battelle ทางทีมงานพบช่องโหว่ในผลิตภัณฑ์ V2I Hub (Vehicle-to-infrastructure) ที่ใช้เพื่อการสื่อสารข้อมูลระหว่างสัญญาณควบคุมจราจรกับยานพาหนะพบกับช่องโหว่หลายรายการ เช่น SQL injection, Hardcoded Password, Cross-site-script (XSS) และไม่มีการปกป้องฟังก์ชันที่ละเอียดอ่อน รวมไปถึงปัญหาของ API อีกด้วย ซึ่งช่องโหว่หลักๆ ถูกจัดในระดับร้ายแรงและระดับสูง

นักวิจัยได้แจ้งเตือนผู้ผลิตเหล่าที่ได้รับผลกระทบเรียบร้อยแล้วและถูกแก้ไขแล้วเช่นกัน อย่างไรก็ตามแม้ว่าการค้นพบช่องโหว่เช่นนี้เหมือนเป็นเรื่องธรรมดาและยังไม่เคยพบหลักฐานว่าช่องโหว่ในอุปกรณ์ที่เกี่ยวข้องในโปรเจ็คนี้ถูกโจมตี แต่ที่น่ากังวลคือด้วยการใช้แพลตฟอร์มค้นหาอย่าง Shodan และ Censys สามารถแสดงระบบที่มีช่องโหว่และเชื่อมต่อผ่านอินเทอร์เน็ตได้หลายสิบหรือหลายร้อยระบบ มีทั้งจากยุโรปและเมืองหลักของสหรัฐฯ

จากข้อสรุปคือช่องโหว่เหล่านี้สามารถถูกใช้งานเพื่อทำให้เกิดหายนะอย่างใหญ่หลวงร้ายแรง“–นักวิจัยกล่าวทิ้งท้าย ผู้โจมตีสามารถใช้ช่องโหว่เพื่อแทรกแซงเซนเซอร์วัดระดับน้ำเพื่อทำให้เกิดความวุ่นวาย เช่น อาจจะทำให้ค่าระดับน้ำดูเหมือนปกติทั้งๆ ที่น้ำกำลังท่วม ควบคุมสัญญาณไฟจราจร และการแจ้งเตือนฉุกเฉินต่างๆ

ที่มา : https://www.securityweek.com/flaws-smart-city-systems-can-allow-hackers-cause-panic




About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

โปรแกรม GPU-Z รุ่นใหม่สามารถตรวจจับการ์ด NVIDIA ปลอมได้

GPU-Z คือโปรแกรมที่สามารถบอกรายละเอียดเกี่ยวกับการ์ดกราฟฟิคว่ามีสถานะเป็นอย่างไร โดยในเวอร์ชันล่าสุด GPU-Z สามารถตรวจจับการ์ดกราฟฟิคค่าย NVIDIA ปลอมได้ด้วย

IBM เปิดตัว Security Platform ใหม่สามารถเชื่อมต่อข้อมูลจากหลาย Vendor ได้ไว้ที่เดียว

IBM ได้เปิดตัว Cloud Platform ใหม่ที่ชื่อ ‘Security Connect’ ซึ่งสามารถนำเอาข้อมูลจากเครื่องมือของผู้ผลิตรายต่างๆ ผสานเข้าความสามารถด้าน AI จาก IBM ที่มีอยู่แล้วเพื่อตอบโจทย์ด้านความมั่นคงปลอดภัยเพราะ IBM ได้เล็งเห็นมานานแล้วว่าปัจจุบันนี้ผู้ใช้งานต้องจัดการเครื่องมือของผู้ผลิตหลายเจ้า