ในการแจ้งเตือนรหัส TA18-106A ซึ่งเกิดจากความร่วมมือของหน่วยงาน FBI, DHS และ NCSC ของสหรัฐอเมริกาได้ออกมาแจ้งเตือนถึงการที่รัฐบาลรัสเซียได้หนุนหลังให้มีการโจมตีเจาะช่องโหว่ของอุปกรณ์ Router, Switch, Firewall, IDS และอื่นๆ ทั่วโลก โดยมีการรายงานถึงกลวิธี, เทคนิค และกระบวนการที่ถูกใช้ในการโจมตีครั้งนี้

ทั้งนี้ในรายงานนี้ก็ได้ระบุด้วยว่าทางรัฐบาลสหรัฐนั้นตรวจพบการโจมตีที่สนับสนุนโดยรัสเซียมาตั้งแต่ปี 2015 แล้ว โดยเป้าหมายในการโจมตีหลักๆ ถูกแบ่งออกเป็น 3 กลุ่ม ดังนี้
-
การเจาะช่องโหว่ใน Protocol เก่าๆ และเหล่าองค์กรที่ไม่ดูแลด้าน Security ของตนเอง
-
การโจมตี Router เพื่อเข้าตรวจสอบและควบคุม Traffic ต่างๆ รวมถึงระบบ Industrial Control System (ICS)
-
การเจาะอุปกรณ์ Network ต่างๆ โดยตรง เนื่องจากเป็นอุปกรณ์ที่เหล่าผู้ใช้งานมักไม่ดูแลให้ปลอดภัย ไม่แก้ไขอะไรตราบเท่าที่ยังใช้งานได้ รวมถึงหากอุปกรณ์เหล่านี้ผู้ผลิตไม่สนับสนุนการใช้งานแล้ว ผู้ใช้งานก็มักยังคงใช้งานต่อไปเพื่อประหยัดค่าใช้จ่าย
ทั้งนี้เมื่ออุปกรณ์เหล่านี้ถูกเจาะได้สำเร็จแล้ว ผู้ใช้งานก็มักจะไม่รู้ตัว และไม่มีการเปลี่ยนอุปกรณ์เหล่านี้ออกจากเครือข่ายด้วย โดยทาง US-CERT ได้เตือนให้เฝ้าระวัง Protocol และเครื่องมือต่างๆ ดังต่อไปนี้เป็นพิเศษ
-
Telnet
-
SNMP
-
TFTP
-
SMI
-
SIET
-
GRE Tunneling
ส่วนการรับมือเบื้องต้น ทาง US-CERT ได้ระบุแนวทางเอาไว้ดังนี้
สำหรับทุกองค์กร เจ้าของธุรกิจ และเหล่าผู้ให้บริการ
-
เลิกใช้ Management Protocol ทั้งหมดที่ไม่ได้มีการเข้ารหัส เช่น Telnet จากภายนอกองค์กร
-
ป้องกันไม่ให้ Management Interface ของอุปกรณ์ Networkd ใดๆ เชื่อมต่อกับ Internet ได้โดยตรง เปิดให้เชื่อมต่อได้เฉพาะกับเครื่องในวง Whitelist ใน LAN เท่านั้น
-
ปิด Protocol เก่าๆ ที่ไม่ปลอดภัยและไม่มีการเข้ารหัสทิ้งให้หมด เช่น Telnet, SNMPv1/v2c หันไปใช้ SSH และ SNMPv3 แทน พร้อมคอยดูแลให้ Protocol เหล่านี้อัปเดตล่าสุดอยู่เสมอเพื่อความปลอดภัย หากอุปกรณ์ที่ใช้งานอยู่ไม่รองรับ SNMPv3 ให้เลิกใช้งาน แล้วไปลงทุนกับอุปกรณ์ที่ใหม่กว่าแทน
-
เปลี่ยนรหัสผ่านแบบ Default ของอุปกรณ์ Network ทั้งหมดให้เป็นรหัสผ่านที่อยู่ในข่าย Strong และห้ามใช้รหัสผ่านเดียวกันในหลายอุปกรณ์ หากเป็นไปได้ให้ใช้ Two-factor Authentication โดยใช้ Public-Private Key แทน
-
ระบุในสัญญากับเหล่า ISP ให้ทำการดูแลอัปเดตอุปกรณ์ต่างๆ ที่นำมาให้ใช้งานในสัญญาเช่าให้ปลอดภัยอยู่เสมอด้วย และต้องเปลี่ยนอุปกรณ์เมื่ออุปกรณ์เหล่านั้น Vendor เลิกสนับสนุนแล้ว
-
ปิดการใช้งาน TFTP ที่มีปลายทางอยู่บน Internet ทั้งหมด
-
ตรวจสอบว่า Firmware และ OS ของอุปกรณ์นั้นมาจากแหล่งที่น่าเชื่อถือได้และพัฒนาโดย Vendor เสมอ
สำหรับ ISP
-
ห้ามใช้ Protocol หรือ Service ซึ่งโบราณ, ไม่เข้ารหัส หรือใช้งานได้โดยไม่ต้องยืนยันตัวตนไม่ว่าจะบนอุปกรณ์ที่ไซต์ลูกค้าหรือภายใน Core Network ก็ตาม และต้องใส่ข้อบังคับเหล่านี้ลงไปในสัญญาจัดซื้อด้วย
-
ปิด Protocol ซึ่งโบราณ, ไม่เข้ารหัส หรือใช้งานได้โดยไม่ต้องยืนยันตัวตนทั้งหมดบนทุกอุปกรณ์ทิ้ง ใช้ Protocol ที่เข้ารหัสแทนและอัปเดตเสมอให้ปลอดภัย
-
วางแผนเปลี่ยนอุปกรณ์เก่าๆ ที่ Vendor เลิกให้การสนับสนุนแล้วทันที
-
อัปเดต Software และ Security Patch ที่ติดตั้งใช้งานในไซต์ลูกค้าอยู่เสมอ หากไม่สามารถทำเองได้ให้ติดต่อลูกค้าเพื่อชี้แจงและส่งวิธีการอัปเดตให้ลูกค้าโดยตรง
นอกจากนี้ก็ยังมีแนวทางสำหรับเหล่าผู้ผลิตอุปกรณ์ และรายละเอียดเชิงลึกต่างๆ อีกด้วย สำหรับรายละเอียดฉบับเต็ม สามารถศึกษาได้ที่ https://www.us-cert.gov/ncas/alerts/TA18-106A ครับ แนะนำให้อ่านกันทุกท่านเลยนะครับ