US-CERT ชี้ผลิตภัณฑ์ HTTPS Interception ก่อความเสี่ยงแก่ความมั่นคงปลอดภัย

US-CERT ศูนย์ประสานการรักษาความมั่นคงระบบคอมพิวเตอร์สหรัฐอเมริกา ออกประกาศแจ้งเตือนไปยังองค์กรทั่วสหรัฐฯ ระบุว่าผลิตภัณฑ์ด้านความมั่นคงปลอดภัยประเภท HTTPS Interception อาจก่อให้เกิดความเสี่ยงต่อการรักษามั่นคงปลอดภัยโดยรวมขององค์กรได้

HTTPS Interception เป็นกระบวนการที่ผลิตภัณฑ์ด้านความมั่นคงปลอดภัยทำหน้าที่เป็น Man-in-the-Middle Proxy ระหว่างเซิร์ฟเวอร์และเครื่องผู้ใช้สำหรับดักจับทราฟฟิก HTTPS จากนั้นถอดรหัสให้กลายเป็น Plaintext เพื่อตรวจสอบมัลแวร์หรือภัยคุกคามที่แฝงมากับทราฟฟิก แล้วเข้ารหัสกลับคืนก่อนส่งต่อทราฟฟิกไปยังเป้าหมาย

US-CERT ระบุว่าผลิตภัณฑ์ด้านความมั่นคงปลอดภัยหลายประเภท เช่น Firewall และ Antivirus มีปัญหาในการสร้าง SSL Connection ให้กลับมามีมาตรฐานเดิมเหมือนกับที่เครื่องผู้ใช้คุยกับเซิร์ฟเวอร์ โดยได้ทำการวิจัยร่วมกับ Google, Mozilla, Cloudflare และ University of Michigan ผลปรากฏว่า 62% ของ SSL Connection ระหว่างผลิตภัณฑ์ HTTPS Interception กับเป้าหมายปลายทางทำให้การรักษาความมั่นคงปลอดภัยขององค์กรลดลง ในขณะที่ 58% ก่อให้เกิดช่องโหว่ร้ายแรง

“ผลิตภัณฑ์ HTTPS Inspection ส่วนใหญ่ยืนยัน Certificate Chain ของเซิร์ฟเวอร์ก่อนเข้ารหัสข้อมูลอีกครั้งแล้วส่งต่อไปยังเครื่องผู้ใช้ไม่ดีเพียงพอ ก่อให้เกิดความเป็นไปได้ที่จะถูกโจมตีแบบ Man-in-the-Middle นอกจากนี้ ความผิดพลาดอันเนื่องจากการยืนยัน Certificate Chain ก็ไม่ได้ถูกส่งต่อไปยังเครื่องผู้ใช้บ่อยๆ ทำให้เครื่องผู้ใช้เชื่อว่าการดำเนินการทุกอย่างเป็นไปตามความต้องการของเซิร์ฟเวอร์จริง” — US-CERT ระบุใน Security Advisory

ตารางด้านล่างแสดงความมั่นคงปลอดภัยของผลิตภัณฑ์ TLS Interception ระดับเครือข่ายและซอฟต์แวร์ Interception บนเครื่องผู้ใช้

Will Dormann นักวิเคราะห์ช่องโหว่ของ US-CERT ออกมาระบุใน Blog ของตนเกี่ยวกับอันตรายของการทำ HTTPS Interception อย่างไม่เหมาะสม ซึ่งปัญหาที่พบบ่อยมีดังนี้

  • Incomplete validation of upstream certificate validity
  • Not conveying validation of upstream certificate to the client
  • Overloading of certificate Canonical Name (CN) field
  • Use of the application layer to convey certificate validity
  • Use of a User-Agent HTTP header to determine when to validate a certificate
  • Communication before warning
  • Same root CA certificate

“ในขณะที่ผู้ที่อยู่สายงานด้านความมั่นคงปลอดภัยทราบมานานแล้วว่าผลิตภัณฑ์ด้านความมั่นคงปลอดภัยดักจับการเชื่อมต่อ [ที่เข้ารหัส] พวกเราส่วนใหญ่กลับเมินเฉยต่อปัญหาดังกล่าว เชื่อว่ามีเพียงการเชื่อมต่อส่วนน้อยเท่านั้นที่ได้รับผลกระทบ อย่างไรก็ตาม เราพบว่าการดักจับเริ่มทำกันอย่างแพร่หลายจนน่าตกใจ และมีผลสืบเนื่องที่น่าเป็นห่วงตามมา” — US-CERT ระบุ

อ่านรายงานการวิจัยเรื่อง The Security Impact of HTTPS Interception [PDF]

ที่มา: https://www.us-cert.gov/ncas/alerts/TA17-075A


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

Veeam กับเป้าหมายเบอร์ 1 ด้าน Cloud Data Management ในยุค Hybrid Cloud

เมื่อปริมาณข้อมูลเติบโตมากขึ้น และมีความต้องการในการใช้ข้อมูลมากขึ้น สิ่งที่เติบโตตามขึ้นมาคือความต้องการ Ecosystem ที่จะช่วยให้ธุรกิจสามารถมีระบบข้อมูลที่พร้อมใช้งานตลอดเวลา มีการจัดการกับข้อมูลได้อย่างมีประสิทธิภาพ และการรักษาความปลอดภัยที่ดี Veeam เป็นหนึ่งในธุรกิจที่อาสาเข้ามาตอบโจทย์ตรงนี้

Forrester ออกรายงาน The Forrester Wave™: Vulnerability Risk Management, Q4 2019 ผล Tenable ครองที่ 1

Forrester Research บริษัทวิจัยและที่ปรึกษาด้านธุรกิจและเทคโนโลยี ออกรายงาน The Forrester Wave™: Vulnerability Risk Management ประจำไตรมาสที่ 4 ปี 2019 ผลปรากฎว่า …