SEC Consult เตือนอุปกรณ์กว่าล้านชิ้นมี Hard-coded SSH/TLS Private Key; เป็นอุปกรณ์ Cisco 26,000 ชิ้น

SEC Consult ได้ตรวจพบการ Hard-coded SSH Host Key และ HTTPS Certificate ในอุปกรณ์นับล้านชิ้นทั่วโลกทั้ง Router, Modem, IP Camera, VoIP Phone และอุปกรณ์อื่นๆ อีกมากมาย โดยในจำนวนนั้นเป็นอุปกรณ์ WAN Router, Firewall, CCTV Camera และ Switch ของ Cisco รวมกว่า 25 ผลิตภัณฑ์ที่ขายไปโดยบริษัท Telstra ซึ่งเป็น Telco ในประเทศออสเตรเลีย รวมถึงยังมีผลิตภัณฑ์จากผู้ผลิตชั้นนำรายอื่นๆ อีกหลายรายด้วยกัน

Credit: ShutterStock.com
Credit: ShutterStock.com

ปัญหา Hard-coded Key นี้จะส่งผลต่อผู้ใช้งานว่า Traffic ระหว่างผู้ใช้งานและอุปกรณ์เหล่านี้จะสามารถถูกถอดรหัสและทำการโจมตีแบบ Man-in-the-Middle ได้ ซึ่งการ Hard-coded ลักษณะนี้มักจะเกิดจากการ OEM จากผู้ผลิตรายเดียวกัน ทำให้ผลิตภัณฑ์จากผู้ผลิตต่างรายก็อาจใช้ Key เดียวกันได้ โดยมีรายชื่อของผู้ผลิตที่ได้รับผลกระทบนี้ที่เปิดเผยออกมาแล้วได้แก่ Huawei, Zhone, ZTE, ZyXEL, Cisco, General Electric, Ubiquiti Networks, Motorola, Linksys, TP-LINK, Seagate, Vodafone, Deutsche Telekom และ Alcatel-Lucent

ปัจจุบันนี้ยังไม่มี Firmware ที่ออกมาแก้ไขปัญหานี้แต่อย่างใด และทางแก้ที่ผู้ใช้งานสามารถทำได้เองก็คือการเข้าไปเปลี่ยน Key ในตัวอุปกรณ์ด้วยตัวเอง ซึ่งก็ถือว่ายุ่งยากเกินกว่าที่ผู้ใช้งานทั่วไปจะทำได้เอง และคงกลายเป็นบทเรียนครั้งใหญ่ของเหล่าผู้ผลิตเหล่านี้ไปเลยทีเดียว

ที่มา: http://www.theregister.co.uk/2015/11/27/nine_percent_of_encrypted_traffic_open_to_hijack_from_shared_keys/ , http://www.networkworld.com/article/3009139/millions-of-embedded-devices-use-the-same-hard-coded-ssh-and-tls-private-keys.html#tk.rss_all


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Guest Post] 5 แนวโน้มธุรกิจไทย หลังประกาศใช้กม.คุ้มครองข้อมูลส่วนบุคคล

ปีนี้นอกจากภาคธุรกิจต้องฟื้นฟูกิจการจากพิษโควิดแล้ว การบังคับใช้กฎหมายคุ้มครองข้อมูลส่วนบุคคล หรือ พ.ร.บ.คุ้มครองข้อมูลส่วนบุคคล พ.ศ.2562 ซึ่งจะมีผลบังคับใช้ใน 1 มิถุนายนนี้ กำลังเริ่มเป็นที่จับตาของภาคธุรกิจไทยเชื่อมโยงไปถึงธุรกิจโลก เพราะทุกที่กำลังจับตาดูว่าไทยจะใช้กฎหมายนี้อย่างจริงจังขนาดไหน เพื่อเชื่อมโยงกับการคุ้มครองข้อมูลส่วนบุคคลของแต่ละประเทศที่บังคับกันอย่างจริงจังแล้ว โดยเฉพาะในสหภาพยุโรปซึ่งหากการบังคับใช้ไม่เกิดผลจริงจัง การกีดกันทางการค้าคงมีผลตามมา

Cisco ประกาศแพตช์ช่องโหว่ร้ายแรงให้ StarOS

พบช่องโหว่ร้ายแรงที่คนร้ายสามารถลอบรันโค้ดใน Redundancy Configuration manager(RCM) ที่ใช้ในซอฟต์แวร์ StarOS