US-CERT เตือน! รัสเซียหนุนหลังการโจมตีอุปกรณ์ Network ทั่วโลก พร้อมเผยแนวทางระวังตัวสำหรับ Vendor, ISP, องค์กร และผู้ใช้งาน

ในการแจ้งเตือนรหัส TA18-106A ซึ่งเกิดจากความร่วมมือของหน่วยงาน FBI, DHS และ NCSC ของสหรัฐอเมริกาได้ออกมาแจ้งเตือนถึงการที่รัฐบาลรัสเซียได้หนุนหลังให้มีการโจมตีเจาะช่องโหว่ของอุปกรณ์ Router, Switch, Firewall, IDS และอื่นๆ ทั่วโลก โดยมีการรายงานถึงกลวิธี, เทคนิค และกระบวนการที่ถูกใช้ในการโจมตีครั้งนี้

 

Credit: US-CERT

 

ทั้งนี้ในรายงานนี้ก็ได้ระบุด้วยว่าทางรัฐบาลสหรัฐนั้นตรวจพบการโจมตีที่สนับสนุนโดยรัสเซียมาตั้งแต่ปี 2015 แล้ว โดยเป้าหมายในการโจมตีหลักๆ ถูกแบ่งออกเป็น 3 กลุ่ม ดังนี้

  • การเจาะช่องโหว่ใน Protocol เก่าๆ และเหล่าองค์กรที่ไม่ดูแลด้าน Security ของตนเอง
  • การโจมตี Router เพื่อเข้าตรวจสอบและควบคุม Traffic ต่างๆ รวมถึงระบบ Industrial Control System (ICS)
  • การเจาะอุปกรณ์ Network ต่างๆ โดยตรง เนื่องจากเป็นอุปกรณ์ที่เหล่าผู้ใช้งานมักไม่ดูแลให้ปลอดภัย ไม่แก้ไขอะไรตราบเท่าที่ยังใช้งานได้ รวมถึงหากอุปกรณ์เหล่านี้ผู้ผลิตไม่สนับสนุนการใช้งานแล้ว ผู้ใช้งานก็มักยังคงใช้งานต่อไปเพื่อประหยัดค่าใช้จ่าย

ทั้งนี้เมื่ออุปกรณ์เหล่านี้ถูกเจาะได้สำเร็จแล้ว ผู้ใช้งานก็มักจะไม่รู้ตัว และไม่มีการเปลี่ยนอุปกรณ์เหล่านี้ออกจากเครือข่ายด้วย โดยทาง US-CERT ได้เตือนให้เฝ้าระวัง Protocol และเครื่องมือต่างๆ ดังต่อไปนี้เป็นพิเศษ

  • Telnet
  • SNMP
  • TFTP
  • SMI
  • SIET
  • GRE Tunneling

ส่วนการรับมือเบื้องต้น ทาง US-CERT ได้ระบุแนวทางเอาไว้ดังนี้

สำหรับทุกองค์กร เจ้าของธุรกิจ และเหล่าผู้ให้บริการ

  • เลิกใช้ Management Protocol ทั้งหมดที่ไม่ได้มีการเข้ารหัส เช่น Telnet จากภายนอกองค์กร
  • ป้องกันไม่ให้ Management Interface ของอุปกรณ์ Networkd ใดๆ เชื่อมต่อกับ Internet ได้โดยตรง เปิดให้เชื่อมต่อได้เฉพาะกับเครื่องในวง Whitelist ใน LAN เท่านั้น
  • ปิด Protocol เก่าๆ ที่ไม่ปลอดภัยและไม่มีการเข้ารหัสทิ้งให้หมด เช่น Telnet, SNMPv1/v2c หันไปใช้ SSH และ SNMPv3 แทน พร้อมคอยดูแลให้ Protocol เหล่านี้อัปเดตล่าสุดอยู่เสมอเพื่อความปลอดภัย หากอุปกรณ์ที่ใช้งานอยู่ไม่รองรับ SNMPv3 ให้เลิกใช้งาน แล้วไปลงทุนกับอุปกรณ์ที่ใหม่กว่าแทน
  • เปลี่ยนรหัสผ่านแบบ Default ของอุปกรณ์ Network ทั้งหมดให้เป็นรหัสผ่านที่อยู่ในข่าย Strong และห้ามใช้รหัสผ่านเดียวกันในหลายอุปกรณ์ หากเป็นไปได้ให้ใช้ Two-factor Authentication โดยใช้ Public-Private Key แทน
  • ระบุในสัญญากับเหล่า ISP ให้ทำการดูแลอัปเดตอุปกรณ์ต่างๆ ที่นำมาให้ใช้งานในสัญญาเช่าให้ปลอดภัยอยู่เสมอด้วย และต้องเปลี่ยนอุปกรณ์เมื่ออุปกรณ์เหล่านั้น Vendor เลิกสนับสนุนแล้ว
  • ปิดการใช้งาน TFTP ที่มีปลายทางอยู่บน Internet ทั้งหมด
  • ตรวจสอบว่า Firmware และ OS ของอุปกรณ์นั้นมาจากแหล่งที่น่าเชื่อถือได้และพัฒนาโดย Vendor เสมอ

สำหรับ ISP

  • ห้ามใช้ Protocol หรือ Service ซึ่งโบราณ, ไม่เข้ารหัส  หรือใช้งานได้โดยไม่ต้องยืนยันตัวตนไม่ว่าจะบนอุปกรณ์ที่ไซต์ลูกค้าหรือภายใน Core Network ก็ตาม และต้องใส่ข้อบังคับเหล่านี้ลงไปในสัญญาจัดซื้อด้วย
  • ปิด Protocol ซึ่งโบราณ, ไม่เข้ารหัส  หรือใช้งานได้โดยไม่ต้องยืนยันตัวตนทั้งหมดบนทุกอุปกรณ์ทิ้ง ใช้ Protocol ที่เข้ารหัสแทนและอัปเดตเสมอให้ปลอดภัย
  • วางแผนเปลี่ยนอุปกรณ์เก่าๆ ที่ Vendor เลิกให้การสนับสนุนแล้วทันที
  • อัปเดต Software และ Security Patch ที่ติดตั้งใช้งานในไซต์ลูกค้าอยู่เสมอ หากไม่สามารถทำเองได้ให้ติดต่อลูกค้าเพื่อชี้แจงและส่งวิธีการอัปเดตให้ลูกค้าโดยตรง

นอกจากนี้ก็ยังมีแนวทางสำหรับเหล่าผู้ผลิตอุปกรณ์ และรายละเอียดเชิงลึกต่างๆ อีกด้วย สำหรับรายละเอียดฉบับเต็ม สามารถศึกษาได้ที่ https://www.us-cert.gov/ncas/alerts/TA18-106A ครับ แนะนำให้อ่านกันทุกท่านเลยนะครับ

 

ที่มา: https://www.us-cert.gov/ncas/alerts/TA18-106A



About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Oracle ออกแพตช์ 254 ช่องโหว่ประจำเดือนเมษายน แนะผู้ใช้ควรอัปเดต

Oracle แพตช์ช่องโหว่กว่า 254 รายการซึ่ง 153 รายการ กระทบกับฝั่งผลิตภัณฑ์ที่สำคัญต่อธุรกิจ เช่น E-Business Suite, Fusion Middleware, Financial Service Application, …

Microsoft นำเทคโนโลยี Anti-Phishing ให้ใช้งานผ่าน Chrome Extension

Microsoft ได้ออก Chrome Extension ที่ชื่อ ‘Windows Defender Browser Protection’ ซึ่งภายในมีเทคโนโลยีเพื่อป้องกันการล่อลวงผู้ใช้งานเข้าเพจอันตรายด้วยการแสดงผลหน้าเพจเป็นสีแดงเมื่อกำลังเข้าสู่ลิ้งก์ที่ไม่น่าวางใจ