US-CERT เตือน! รัสเซียหนุนหลังการโจมตีอุปกรณ์ Network ทั่วโลก พร้อมเผยแนวทางระวังตัวสำหรับ Vendor, ISP, องค์กร และผู้ใช้งาน

ในการแจ้งเตือนรหัส TA18-106A ซึ่งเกิดจากความร่วมมือของหน่วยงาน FBI, DHS และ NCSC ของสหรัฐอเมริกาได้ออกมาแจ้งเตือนถึงการที่รัฐบาลรัสเซียได้หนุนหลังให้มีการโจมตีเจาะช่องโหว่ของอุปกรณ์ Router, Switch, Firewall, IDS และอื่นๆ ทั่วโลก โดยมีการรายงานถึงกลวิธี, เทคนิค และกระบวนการที่ถูกใช้ในการโจมตีครั้งนี้

 

Credit: US-CERT

 

ทั้งนี้ในรายงานนี้ก็ได้ระบุด้วยว่าทางรัฐบาลสหรัฐนั้นตรวจพบการโจมตีที่สนับสนุนโดยรัสเซียมาตั้งแต่ปี 2015 แล้ว โดยเป้าหมายในการโจมตีหลักๆ ถูกแบ่งออกเป็น 3 กลุ่ม ดังนี้

  • การเจาะช่องโหว่ใน Protocol เก่าๆ และเหล่าองค์กรที่ไม่ดูแลด้าน Security ของตนเอง
  • การโจมตี Router เพื่อเข้าตรวจสอบและควบคุม Traffic ต่างๆ รวมถึงระบบ Industrial Control System (ICS)
  • การเจาะอุปกรณ์ Network ต่างๆ โดยตรง เนื่องจากเป็นอุปกรณ์ที่เหล่าผู้ใช้งานมักไม่ดูแลให้ปลอดภัย ไม่แก้ไขอะไรตราบเท่าที่ยังใช้งานได้ รวมถึงหากอุปกรณ์เหล่านี้ผู้ผลิตไม่สนับสนุนการใช้งานแล้ว ผู้ใช้งานก็มักยังคงใช้งานต่อไปเพื่อประหยัดค่าใช้จ่าย

ทั้งนี้เมื่ออุปกรณ์เหล่านี้ถูกเจาะได้สำเร็จแล้ว ผู้ใช้งานก็มักจะไม่รู้ตัว และไม่มีการเปลี่ยนอุปกรณ์เหล่านี้ออกจากเครือข่ายด้วย โดยทาง US-CERT ได้เตือนให้เฝ้าระวัง Protocol และเครื่องมือต่างๆ ดังต่อไปนี้เป็นพิเศษ

  • Telnet
  • SNMP
  • TFTP
  • SMI
  • SIET
  • GRE Tunneling

ส่วนการรับมือเบื้องต้น ทาง US-CERT ได้ระบุแนวทางเอาไว้ดังนี้

สำหรับทุกองค์กร เจ้าของธุรกิจ และเหล่าผู้ให้บริการ

  • เลิกใช้ Management Protocol ทั้งหมดที่ไม่ได้มีการเข้ารหัส เช่น Telnet จากภายนอกองค์กร
  • ป้องกันไม่ให้ Management Interface ของอุปกรณ์ Networkd ใดๆ เชื่อมต่อกับ Internet ได้โดยตรง เปิดให้เชื่อมต่อได้เฉพาะกับเครื่องในวง Whitelist ใน LAN เท่านั้น
  • ปิด Protocol เก่าๆ ที่ไม่ปลอดภัยและไม่มีการเข้ารหัสทิ้งให้หมด เช่น Telnet, SNMPv1/v2c หันไปใช้ SSH และ SNMPv3 แทน พร้อมคอยดูแลให้ Protocol เหล่านี้อัปเดตล่าสุดอยู่เสมอเพื่อความปลอดภัย หากอุปกรณ์ที่ใช้งานอยู่ไม่รองรับ SNMPv3 ให้เลิกใช้งาน แล้วไปลงทุนกับอุปกรณ์ที่ใหม่กว่าแทน
  • เปลี่ยนรหัสผ่านแบบ Default ของอุปกรณ์ Network ทั้งหมดให้เป็นรหัสผ่านที่อยู่ในข่าย Strong และห้ามใช้รหัสผ่านเดียวกันในหลายอุปกรณ์ หากเป็นไปได้ให้ใช้ Two-factor Authentication โดยใช้ Public-Private Key แทน
  • ระบุในสัญญากับเหล่า ISP ให้ทำการดูแลอัปเดตอุปกรณ์ต่างๆ ที่นำมาให้ใช้งานในสัญญาเช่าให้ปลอดภัยอยู่เสมอด้วย และต้องเปลี่ยนอุปกรณ์เมื่ออุปกรณ์เหล่านั้น Vendor เลิกสนับสนุนแล้ว
  • ปิดการใช้งาน TFTP ที่มีปลายทางอยู่บน Internet ทั้งหมด
  • ตรวจสอบว่า Firmware และ OS ของอุปกรณ์นั้นมาจากแหล่งที่น่าเชื่อถือได้และพัฒนาโดย Vendor เสมอ

สำหรับ ISP

  • ห้ามใช้ Protocol หรือ Service ซึ่งโบราณ, ไม่เข้ารหัส  หรือใช้งานได้โดยไม่ต้องยืนยันตัวตนไม่ว่าจะบนอุปกรณ์ที่ไซต์ลูกค้าหรือภายใน Core Network ก็ตาม และต้องใส่ข้อบังคับเหล่านี้ลงไปในสัญญาจัดซื้อด้วย
  • ปิด Protocol ซึ่งโบราณ, ไม่เข้ารหัส  หรือใช้งานได้โดยไม่ต้องยืนยันตัวตนทั้งหมดบนทุกอุปกรณ์ทิ้ง ใช้ Protocol ที่เข้ารหัสแทนและอัปเดตเสมอให้ปลอดภัย
  • วางแผนเปลี่ยนอุปกรณ์เก่าๆ ที่ Vendor เลิกให้การสนับสนุนแล้วทันที
  • อัปเดต Software และ Security Patch ที่ติดตั้งใช้งานในไซต์ลูกค้าอยู่เสมอ หากไม่สามารถทำเองได้ให้ติดต่อลูกค้าเพื่อชี้แจงและส่งวิธีการอัปเดตให้ลูกค้าโดยตรง

นอกจากนี้ก็ยังมีแนวทางสำหรับเหล่าผู้ผลิตอุปกรณ์ และรายละเอียดเชิงลึกต่างๆ อีกด้วย สำหรับรายละเอียดฉบับเต็ม สามารถศึกษาได้ที่ https://www.us-cert.gov/ncas/alerts/TA18-106A ครับ แนะนำให้อ่านกันทุกท่านเลยนะครับ

 

ที่มา: https://www.us-cert.gov/ncas/alerts/TA18-106A

from:https://www.techtalkthai.com/us-cert-russia-state-sponsored-attack-are-hitting-worldwide/

Advertisements