ADPT

ผู้เชี่ยวชาญเตือนพบการโจมตีช่องโหว่ระบบ Access Control ในอาคาร

SonicWall ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยทางไซเบอร์ได้ออกมาเตือนถึงการค้นพบการโจมตีระบบ Access Control จาก Nortek Security&Control (NSC) เพื่อใช้เป็นฐานการโจมตี DDoS

credit : https://applied-risk.com/

สำหรับผลิตภัณฑ์ที่ตกเป็นเหยื่อของแฮ็กเกอร์ในครั้งนี้คือ Linear eMerge E3 จาก NSC หรือฮาร์ดแวร์ที่ป้องกันการเข้าถึงในอาคารโดยใช้ Credential หรือ Smart Card (เครื่องแตะบัตรที่เราใช้กันในออฟฟิศหรือโรงงานนั่นเอง) ประเด็นคือเมื่อปีก่อนผู้เชี่ยวชาญจาก Applied Risk ได้ออกมาเปิดเผยช่องโหว่ของ Linear eMerge E3 กว่า 10 รายการ (ตามรูปด้านบน) ซึ่ง 6 รายการมีความรุนแรงสูงแต่ NSC ล้มเหลวในการแก้ไขและต่อมาผู้เชี่ยวชาญจึงเผยโค้ด PoC

โดยช่องโหว่ที่ทีมงาน SonicWall รายงานคือ CVE-2019-7256 ที่มีความรุนแรง 10/10 ที่สามารถทำให้แฮ็กเกอร์จากทางไกลทำ Command Injection และ Execution ด้วยสิทธิระดับ Root ได้เพียงแค่สร้าง Http Request แบบพิเศษเข้ามาโจมตี

อย่างไรก็ตามแม้จะพบจำนวนของ Linear eMerge E3 ไม่มากนักหากค้นหาผ่าน Shodan เพียง 2,375 ตัวแต่ก็เป็นดัชนีที่บอกได้ว่าระบบ IoT นั้นมีความเสี่ยงจากการโจมตีเสมอ ดังนั้นถ้ามีใครใช้งาน Linear eMerge E3 ก็ควรอัปเดต (หากมีแพตช์) หรือปิดกั้นระบบที่คล้ายกันไม่ให้เข้าถึงได้ผ่านอินเทอร์เน็ตนะครับ

ที่มา :  https://www.zdnet.com/article/hackers-are-hijacking-smart-building-access-systems-to-launch-ddos-attacks/


About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Bitdefender ออก Universal Decryptor สำหรับเหยื่อของแรนซัมแวร์ REvil/Sodinokibi

Bitdefender ออก Universal Decryptor สำหรับผู้ประสบภัยจากแรนซัมแวร์ REvil/Sodinokibi ที่ถูกโจมตีก่อนวันที่ 13 กรกฏาคมที่ผ่านมา

Palo Alto Network เปิดตัวผลิตภัณฑ์ใหม่ส่งการป้องกันระดับองค์กรผ่าน อุปกรณ์ใช้งานในบ้าน ‘Okyo Garde’

เมื่อการทำงานเกิดขึ้นจากที่บ้าน ดังนั้นความเสี่ยงขององค์กรก็เกิดขึ้นจากที่บ้านด้วยเช่นกัน ซึ่งไอเดียใหม่ของ Palo Alto Networks คือการออกโซลูชันใหม่ไปตั้งไว้ที่บ้านที่มีการป้องกันระดับองค์กร