SEC Consult ที่ปรึกษาด้านความปลอดภัยรายงานผลการวิจัยพบว่าผู้ผลิตอุปกรณ์เครือข่ายจำนวนมากไม่ได้สร้างกุญแจลับสำหรับการเข้ารหัสเว็บและ SSH ขึ้นใหม่ แต่ใช้กุญแจตัวอย่างจากชุดพัฒนาโดยตรงทำให้อุปกรณ์เหล่านี้เสี่ยงต่อการถูกคั่นกลางการเชื่อมต่อ (man-in-the-middle attack)
กุญแจที่ตรวจสอบมีทั้งหมด 580 ชุด มีการใช้ซ้ำกันจำนวนมาก เช่นกุญแจสำหรับเข้ารหัสเว็บประมาณ 150 ชุดมีการใช้ซ้ำในอุปกรณ์ถึง 3.2 ล้านเครื่อง ขณะที่กุญแจ SSH ประมาณ 80 ชุดมีการใช้งาน 0.9 ล้านเครื่อง ตัวอย่างกุญแจจาก Broadcom SDK ถูกใช้งานโดยไม่ได้สร้างกุญแจใหม่ และฝังอยู่ในเฟิร์มแวร์ของ Actiontec, Aztech, Comtrend, Innatech, Linksys, Smart RG, Zhone, และ ZyXEL
อุปกรณ์เหล่านี้มักถูกแถมไปกับบริการอินเทอร์เน็ต เช่น CenturyLink ผู้ให้บริการอินเทอร์เน็ตในสหรัฐฯ แจกเราท์เตอร์ที่เปิดพอร์ต HTTPS ทิ้งไว้เพื่อการเข้าไปดูแลระบบ โดยพบอุปกรณ์ที่ใช้กุญแจซ้ำเช่นนี้กว่า 500,000 เครื่อง หรือ Telstra จากออสเตรเลียแจกเราท์เตอร์ซิสโก้ที่เปิดพอร์ต SSH ไว้ประมาณ 26,000 เครื่อง
แม้ว่าผลกระทบจากช่องโหว่นี้จะเป็นวงกว้าง แต่ความเสี่ยงก็ไม่สูงนัก คะแนนระดับความเสี่ยงตาม CVSS อยู่ที่ 5.0 โดยแฮกเกอร์อาจจะหลอกผู้ที่พยายามล็อกอินเข้าเราท์เตอร์เพื่อดักฟังเอารหัสผ่าน ทางแก้สำหรับเครื่องบางรุ่นที่คอนฟิกกุญแจใหม่เข้าไปได้ผู้ใช้อาจจะสร้างกุญแจใหม่เข้าไปเอง หรือหากทำไม่ได้ก็ควรปิดการเข้าถึงเราท์เตอร์จากอินเทอร์เน็ตเสีย
สำหรับนักพัฒนาระบบ IoT ทั้งหลาย บทเรียนครั้งนี้เป็นบทเรียนสำคัญที่ต้องระวังถึงการสร้างกุญแจใหม่เพื่อติดตั้งลงในเครื่องเสมอ
ที่มา - SEC Consult, CERT.org
ผังกุญแจ SSH ที่มีการใช้ซ้ำกันจาก SEC Consult
Comments
แสดง SDK ไม่ได้ป้องกันเรื่องนี้ ใช้ตัวเลขแบบสุ่มแทนได้มั้ย (ถามใครได้บ้างเนี่ย)
มันไม่ใช่เรื่องที่ต้องป้องกันนี่ครับ
lewcpe.com, @wasonliw
ส่วนบ้านเราก่อนจะระวังถึงระดับ technical ขนาดนั้น
ไปเปลี่ยน password wifi ที่ ISP มาติดตั้งให้ก่อนดีกว่า Password admin console ด้วย
Default ยอดนิยมเต็มไปหมด 12345, 0000, หรือแม้กระทั่งใช้หมายเลขโทรศัพท์ที่ขายพร้อมกันเป็น password
อันนั้นยังพอ "ป้องกันตัวเอง" ได้ไงครับ จริงๆ ผมก็เห็นด้วยว่ารหัสผ่านอย่างน้อยที่สุดควรสุ่มมา (และแปะหน้าเครื่องเอา) แต่ผมได้รับเราท์เตอร์มาก็ยังพอป้องกันปัญหาพวกนี้เองได้ เทียบกับ key ที่ hardcode มา ถ้าไม่มีเฟิร์มแวร์อิสระ ผมก็ไม่มีทางแก้อื่นเลย
lewcpe.com, @wasonliw