CDIC 2023

หลายล้านอุปกรณ์ IoT ใช้ Private Key ร่วมกัน เสี่ยงถูกโจมตีแบบ Man-in-the-Middle

SEC Consult บริษัทผู้ให้คำปรึกษาทางด้านความปลอดภัยของยุโรป ได้ออกมาเปิดเผยผลการตรวจสอบอุปกรณ์ Internet of Things หรือ Embedded Device หลายล้านชิ้นทั่วโลก พบว่าอุปกรณ์เหล่านี้มีการใช้ TLS และ SSH Private Key ร่วมกัน ส่งผลให้ถ้า Key หลุดรอดไปถึงมือแฮ็คเกอร์ แฮ็คเกอร์สามารถโจมตีแบบ Man-in-the-middle อุปกรณ์อื่นๆในเครือเดียวกันได้ทันที

Credit: Anna Bardocz/ShutterStock
Credit: Anna Bardocz/ShutterStock

อุปกรณ์ IoT กว่า 4,000,000 เครื่องใช้ Privae Key ร่วมกัน 230 แบบ

SEC Consult ได้ทำการวิเคราะห์เฟิร์มแวร์ของอุปกรณ์ IoT เช่น Router, Modem, IP Camera, VoIP Phone และอื่นๆ กว่า 4,000 รุ่น จาก 70 แบรนด์ทั่วโลก พบว่ามีการใช้ Private Key สำหรับ SH และ HTTPS แตกต่างกันเพียงแค่ 580 แบบ หลายอุปกรณ์ IoT ยี่ห้อเดียวกันส่วนใหญ่จะมีการแชร์ Private Key ร่วมกัน หรือบางครั้งก็มีการแชร์ร่วมกับยี่ห้ออื่นด้วยเช่นกัน แต่พบเป็นส่วนน้อย

จากการตรวจสอบ Key ทั้ง 580 แบบด้วยการสแกนระบบอินเทอร์เน็ตสาธารณะ พบว่ามี Key 230 แบบที่ถูกใช้งานโดยอุปกรณ์ที่เชื่อมต่ออินเทอร์เน็ตกว่า 4,000,000 เครื่อง โดยแบ่งเป็น

  • 3,200,000 เครื่อง มีการใช้ TLS Private Key ร่วมกัน 150 แบบ
  • 900,000 เครื่อง มีการใช้ SSH Private Key ร่วมกัน 80 แบบ

พึงระลึกไว้ว่า Key เหล่านี้ได้มากจากการสแกนระบบอินเทอร์เน็ตทั่วๆไป ไม่ได้ใช้การแฮ็คหรือหลอกลวงข้อมูลจากผู้ใช้แต่อย่างใด สำหรับ Key ที่เหลืออีก 350 แบบนั้น ไม่พบการใช้งานบนอินเทอร์เน็ต ซึ่งเป็นไปได้ที่อาจถูกใช้งานเฉพาะภายในบริษัทหรือองค์กรแต่เพียงอย่างเดียว

เสี่ยงถูกขโมยรหัสผ่านจากการโจมตีแบบ Man-in-the-Middle

ผลลัพธ์ของการใช้ Key ร่วมกัน คือ ถ้าแฮ็คเกอร์สามารถดัก Private Key ของอุปกรณ์ใดอุปกรณ์หนึ่งได้ แฮ็คเกอร์สามารถโจมตีแบบ Man-in-the-Middle กับอุปกรณ์อื่นๆในเครือเดียวกันได้ทันที กล่าวคือ แฮ็คเกอร์สามารถดักจับข้อมูลกลางทางระหว่างอุปกรณ์ IoT กับเครื่องเซิฟเวอร์ เพื่อแอบดูและแก้ไขเปลี่ยนแปลงข้อมูลก่อนที่จะส่งไปยังเป้าหมายตามความต้องการของตนได้

โดยเฉพาะ TLS Private Key ที่ใช้เข้ารหัสการสื่อสารระหว่างผู้ใช้และเว็บไซต์ ถ้าหลุดรอดไปถึงมือแฮ็คเกอร์ หมายความว่าแฮ็คเกอร์สามารถแกะรหัสข้อมูลเพื่อขโมยชื่อผู้ใช้ รหัสผ่าน ร่วมไปถึงข้อมูลสำคัญอื่นๆได้ทันที

Credit: BoBaa22/ShutterStock
Credit: BoBaa22/ShutterStock

คำแนะนำสำหรับเจ้าของผลิตภัณฑ์และผู้ใช้งาน

SEC Consult ให้คำแนะนำแก่เจ้าของผลิตภัณฑ์ IoT และ Embedded Device ว่า ควรมีการใช้ Key สำหรับเข้ารหัสที่แตกต่างกันสำหรับแต่ละอุปกรณ์ ซึ่ง Key เหล่านี้สามารถสร้างแบบสุ่มได้ขณะอยู่ในไลน์การผลิต หรือตอนเปิดเครื่องใช้งานครั้งแรก สำหรับอุปกรณ์ที่ใช้งานอยู่แล้ว เจ้าของผลิตภัณฑ์ควรออกเฟิร์มแวร์อัพเดทเพื่อแก้ปัญหาดังกล่าว

สำหรับผู้ใช้งานอุปกรณ์ IoT ทางที่ดีที่สุดคือสร้าง Key สำหรับใช้เข้ารหัสขึ้นมาใหม่ แต่วิธีนี้จำเป็นต้องใช้ความรู้เชิงเทคนิคพอสมควร ซึ่งอาจเกินความสามารถของคนทั่วไป

ที่มา: http://www.networkworld.com/article/3009139/millions-of-embedded-devices-use-the-same-hard-coded-ssh-and-tls-private-keys.html


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[โปรพิเศษรอบ Early Bird] คอร์สเรียน ‘Incident Response’ จาก Sosecure เรียนออนไลน์ เน้นลงมือจริง 3 วันเต็ม

Incident Response เป็นหนึ่งในหัวข้อหลักของแผนการที่ทุกองค์กรควรมือ คำถามคือทุกวันนี้องค์กรหรือบริษัทที่ท่านมีส่วนรวมมีแผนรับมือเหล่านี้ได้ดีเพียงใด ครอบคลุมความเสี่ยงและเคยผ่านสถานการณ์จริงมาได้ดีแค่ไหน ซึ่งหากปฏิบัติตามแผนได้ดีก็อาจจะช่วยลดผลกระทบของความเสียหายได้อย่างมีนัยสำคัญ ด้วยเหตุนี้เองจึงอยากขอเชิญชวนผู้สนใจทุกท่านมาเพิ่มพูนความรู้ในคอร์สสุดพิเศษจาก Sosecure โดยเนื้อหาจะกล่าวถึง Framework, Incident Response และ Incident Handling …

[โปรพิเศษรอบ Early Bird] คอร์สเรียน ‘Threat Hunting’ จาก Sosecure เรียนออนไลน์ เน้นลงมือจริง 3 วันเต็ม

การต่อกรกับภัยคุกคามทางไซเบอร์ไม่จำเป็นที่จะต้องเป็นฝ่ายตั้งรับเท่านั้น และหากทำได้ดีเราก็สามารถลงมือตอบสนองก่อนเกิดเหตุได้เช่นกัน ยิ่งทำได้เร็วเท่าไหร่ยิ่งดี ซึ่งทีม Threat Hunting มีบทบาทอย่างมากในการทำงานร่วมกับระบบ SoC ซึ่งสามารถใช้ข้อมูลภัยคุกคามจากทั่วทุกมุมโลกมาช่วยตรวจจับการโจมตีที่เกิดขึ้นได้  คำถามคือแล้วในงานเหล่านี้ควรมีทักษะเกี่ยวข้องในด้านไหนบ้าง Sosecure ขอชวนผู้สนใจในสายงานด้าน Cybersecurity ที่ต้องการรู้ลึก ทำได้จริง …