CDIC 2023

SEC Consult เตือนอุปกรณ์กว่าล้านชิ้นมี Hard-coded SSH/TLS Private Key; เป็นอุปกรณ์ Cisco 26,000 ชิ้น

SEC Consult ได้ตรวจพบการ Hard-coded SSH Host Key และ HTTPS Certificate ในอุปกรณ์นับล้านชิ้นทั่วโลกทั้ง Router, Modem, IP Camera, VoIP Phone และอุปกรณ์อื่นๆ อีกมากมาย โดยในจำนวนนั้นเป็นอุปกรณ์ WAN Router, Firewall, CCTV Camera และ Switch ของ Cisco รวมกว่า 25 ผลิตภัณฑ์ที่ขายไปโดยบริษัท Telstra ซึ่งเป็น Telco ในประเทศออสเตรเลีย รวมถึงยังมีผลิตภัณฑ์จากผู้ผลิตชั้นนำรายอื่นๆ อีกหลายรายด้วยกัน

Credit: ShutterStock.com
Credit: ShutterStock.com

ปัญหา Hard-coded Key นี้จะส่งผลต่อผู้ใช้งานว่า Traffic ระหว่างผู้ใช้งานและอุปกรณ์เหล่านี้จะสามารถถูกถอดรหัสและทำการโจมตีแบบ Man-in-the-Middle ได้ ซึ่งการ Hard-coded ลักษณะนี้มักจะเกิดจากการ OEM จากผู้ผลิตรายเดียวกัน ทำให้ผลิตภัณฑ์จากผู้ผลิตต่างรายก็อาจใช้ Key เดียวกันได้ โดยมีรายชื่อของผู้ผลิตที่ได้รับผลกระทบนี้ที่เปิดเผยออกมาแล้วได้แก่ Huawei, Zhone, ZTE, ZyXEL, Cisco, General Electric, Ubiquiti Networks, Motorola, Linksys, TP-LINK, Seagate, Vodafone, Deutsche Telekom และ Alcatel-Lucent

ปัจจุบันนี้ยังไม่มี Firmware ที่ออกมาแก้ไขปัญหานี้แต่อย่างใด และทางแก้ที่ผู้ใช้งานสามารถทำได้เองก็คือการเข้าไปเปลี่ยน Key ในตัวอุปกรณ์ด้วยตัวเอง ซึ่งก็ถือว่ายุ่งยากเกินกว่าที่ผู้ใช้งานทั่วไปจะทำได้เอง และคงกลายเป็นบทเรียนครั้งใหญ่ของเหล่าผู้ผลิตเหล่านี้ไปเลยทีเดียว

ที่มา: http://www.theregister.co.uk/2015/11/27/nine_percent_of_encrypted_traffic_open_to_hijack_from_shared_keys/ , http://www.networkworld.com/article/3009139/millions-of-embedded-devices-use-the-same-hard-coded-ssh-and-tls-private-keys.html#tk.rss_all


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

nForce Secure เปิดตัวบริการ “Secure-IR Services” พร้อมโซลูชัน Cybersecurity ที่สนับสนุนด้วยเทคโนโลยี AI

เทคโนโลยี AI ณ วินาทีนี้เรียกได้ว่าเป็นส่วนหนึ่งในชีวิตประจำวันเป็นที่เรียบร้อย ถึงแม้ว่า AI จะมีคุณประโยชน์หลากหลาย แต่ในทางกลับกัน AI ก็อาจถูกผู้ไม่ประสงค์ดีนำไปใช้สร้างความเดือดร้อนได้เช่นกัน  ไม่ว่าจะเป็นการนำมาสร้างมัลแวร์ (Malware) หรือการใช้เขียนอีเมลฟิชชิ่ง (Phishing) เพื่อโจมตีบนโลกไซเบอร์ …

Bangkok MSP เตรียมเปิดตัว Securonix ผู้นำด้านบริการ Cloud SIEM +UEBA ในประเทศไทย ณ งาน CDIC 2023