US-CERT ชี้ผลิตภัณฑ์ HTTPS Interception ก่อความเสี่ยงแก่ความมั่นคงปลอดภัย

US-CERT ศูนย์ประสานการรักษาความมั่นคงระบบคอมพิวเตอร์สหรัฐอเมริกา ออกประกาศแจ้งเตือนไปยังองค์กรทั่วสหรัฐฯ ระบุว่าผลิตภัณฑ์ด้านความมั่นคงปลอดภัยประเภท HTTPS Interception อาจก่อให้เกิดความเสี่ยงต่อการรักษามั่นคงปลอดภัยโดยรวมขององค์กรได้

HTTPS Interception เป็นกระบวนการที่ผลิตภัณฑ์ด้านความมั่นคงปลอดภัยทำหน้าที่เป็น Man-in-the-Middle Proxy ระหว่างเซิร์ฟเวอร์และเครื่องผู้ใช้สำหรับดักจับทราฟฟิก HTTPS จากนั้นถอดรหัสให้กลายเป็น Plaintext เพื่อตรวจสอบมัลแวร์หรือภัยคุกคามที่แฝงมากับทราฟฟิก แล้วเข้ารหัสกลับคืนก่อนส่งต่อทราฟฟิกไปยังเป้าหมาย

US-CERT ระบุว่าผลิตภัณฑ์ด้านความมั่นคงปลอดภัยหลายประเภท เช่น Firewall และ Antivirus มีปัญหาในการสร้าง SSL Connection ให้กลับมามีมาตรฐานเดิมเหมือนกับที่เครื่องผู้ใช้คุยกับเซิร์ฟเวอร์ โดยได้ทำการวิจัยร่วมกับ Google, Mozilla, Cloudflare และ University of Michigan ผลปรากฏว่า 62% ของ SSL Connection ระหว่างผลิตภัณฑ์ HTTPS Interception กับเป้าหมายปลายทางทำให้การรักษาความมั่นคงปลอดภัยขององค์กรลดลง ในขณะที่ 58% ก่อให้เกิดช่องโหว่ร้ายแรง

“ผลิตภัณฑ์ HTTPS Inspection ส่วนใหญ่ยืนยัน Certificate Chain ของเซิร์ฟเวอร์ก่อนเข้ารหัสข้อมูลอีกครั้งแล้วส่งต่อไปยังเครื่องผู้ใช้ไม่ดีเพียงพอ ก่อให้เกิดความเป็นไปได้ที่จะถูกโจมตีแบบ Man-in-the-Middle นอกจากนี้ ความผิดพลาดอันเนื่องจากการยืนยัน Certificate Chain ก็ไม่ได้ถูกส่งต่อไปยังเครื่องผู้ใช้บ่อยๆ ทำให้เครื่องผู้ใช้เชื่อว่าการดำเนินการทุกอย่างเป็นไปตามความต้องการของเซิร์ฟเวอร์จริง” — US-CERT ระบุใน Security Advisory

ตารางด้านล่างแสดงความมั่นคงปลอดภัยของผลิตภัณฑ์ TLS Interception ระดับเครือข่ายและซอฟต์แวร์ Interception บนเครื่องผู้ใช้

Will Dormann นักวิเคราะห์ช่องโหว่ของ US-CERT ออกมาระบุใน Blog ของตนเกี่ยวกับอันตรายของการทำ HTTPS Interception อย่างไม่เหมาะสม ซึ่งปัญหาที่พบบ่อยมีดังนี้

  • Incomplete validation of upstream certificate validity
  • Not conveying validation of upstream certificate to the client
  • Overloading of certificate Canonical Name (CN) field
  • Use of the application layer to convey certificate validity
  • Use of a User-Agent HTTP header to determine when to validate a certificate
  • Communication before warning
  • Same root CA certificate

“ในขณะที่ผู้ที่อยู่สายงานด้านความมั่นคงปลอดภัยทราบมานานแล้วว่าผลิตภัณฑ์ด้านความมั่นคงปลอดภัยดักจับการเชื่อมต่อ [ที่เข้ารหัส] พวกเราส่วนใหญ่กลับเมินเฉยต่อปัญหาดังกล่าว เชื่อว่ามีเพียงการเชื่อมต่อส่วนน้อยเท่านั้นที่ได้รับผลกระทบ อย่างไรก็ตาม เราพบว่าการดักจับเริ่มทำกันอย่างแพร่หลายจนน่าตกใจ และมีผลสืบเนื่องที่น่าเป็นห่วงตามมา” — US-CERT ระบุ

อ่านรายงานการวิจัยเรื่อง The Security Impact of HTTPS Interception [PDF]

ที่มา: https://www.us-cert.gov/ncas/alerts/TA17-075A


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

“ฟอร์ติเน็ตจับมือมหาวิทยาลัยศรีปทุม” เพื่อลดช่องว่างด้านทักษะ เพื่อต่อสู้ภัยไซเบอร์ของบุคลากรไทย [Guest Post]

“เปิดโอกาสให้บุคลากรไทยเข้าถึงหลักสูตรความรู้ด้านความปลอดภัยไซเบอร์ระดับโลกล่าสุดของฟอร์ติเน็ต เพื่อปั้นผู้เชี่ยวชาญมืออาชีพรุ่นเน็กซ์เจนเนอเรชั่น” ฟอร์ติเน็ต ผู้นำระดับโลกด้านโซลูชันการรักษาความปลอดภัยทางไซเบอร์แบบอัตโนมัติและครบวงจร ได้ลงนามในบันทึกความเข้าใจ (MOU) กับมหาวิทยาลัยศรีปทุม เพื่อจัดหลักสูตรการฝึกอบรมและออกประกาศนียบัตรด้านความปลอดภัยทางไซเบอร์อันเป็นที่ยอมรับในอุตสาหกรรมระดับโลกให้นักศึกษาของไทย ความร่วมมือครั้งสำคัญนี้จะช่วยให้นักศึกษาของมหาวิทยาลัยศรีปทุมเพิ่มทักษะด้านการรักษาความปลอดภัยไซเบอร์ที่ตรงกับความต้องการขององค์กรในประเทศไทยจากหลักสูตรที่ได้รับรางวัลของฟอร์ติเน็ต เพื่อเตรียมให้นักศึกษาพร้อมเป็นผู้เชี่ยวชาญ ลดช่องว่างด้านทักษะ ช่วยสร้างโลกดิจิทัลของไทยให้ปลอดภัย

เดลล์ เทคโนโลยีส์ ประกาศเสริมความแข็งแกร่งในการเตรียมพร้อมเพื่อการรับมือกับภัยคุกคามไซเบอร์ด้วยนวัตกรรมด้านความปลอดภัยและการปกป้องข้อมูลบนมัลติคลาวด์ [Guest Post]

ซอฟต์แวร์ที่ทำงานด้วยพลังของ AI จากเดลล์ และความสามารถในการดูแลรักษาความปลอดภัยในการปฏิบัติงานช่วยขับเคลื่อนการทำงานแบบ Zero Trust ที่ปกป้องทั้งข้อมูล พร้อมลดความเสี่ยงจากการโจมตีทางไซเบอร์