Tags:
Node Thumbnail

SEC Consult ที่ปรึกษาด้านความปลอดภัยรายงานผลการวิจัยพบว่าผู้ผลิตอุปกรณ์เครือข่ายจำนวนมากไม่ได้สร้างกุญแจลับสำหรับการเข้ารหัสเว็บและ SSH ขึ้นใหม่ แต่ใช้กุญแจตัวอย่างจากชุดพัฒนาโดยตรงทำให้อุปกรณ์เหล่านี้เสี่ยงต่อการถูกคั่นกลางการเชื่อมต่อ (man-in-the-middle attack)

กุญแจที่ตรวจสอบมีทั้งหมด 580 ชุด มีการใช้ซ้ำกันจำนวนมาก เช่นกุญแจสำหรับเข้ารหัสเว็บประมาณ 150 ชุดมีการใช้ซ้ำในอุปกรณ์ถึง 3.2 ล้านเครื่อง ขณะที่กุญแจ SSH ประมาณ 80 ชุดมีการใช้งาน 0.9 ล้านเครื่อง ตัวอย่างกุญแจจาก Broadcom SDK ถูกใช้งานโดยไม่ได้สร้างกุญแจใหม่ และฝังอยู่ในเฟิร์มแวร์ของ Actiontec, Aztech, Comtrend, Innatech, Linksys, Smart RG, Zhone, และ ZyXEL

อุปกรณ์เหล่านี้มักถูกแถมไปกับบริการอินเทอร์เน็ต เช่น CenturyLink ผู้ให้บริการอินเทอร์เน็ตในสหรัฐฯ แจกเราท์เตอร์ที่เปิดพอร์ต HTTPS ทิ้งไว้เพื่อการเข้าไปดูแลระบบ โดยพบอุปกรณ์ที่ใช้กุญแจซ้ำเช่นนี้กว่า 500,000 เครื่อง หรือ Telstra จากออสเตรเลียแจกเราท์เตอร์ซิสโก้ที่เปิดพอร์ต SSH ไว้ประมาณ 26,000 เครื่อง

แม้ว่าผลกระทบจากช่องโหว่นี้จะเป็นวงกว้าง แต่ความเสี่ยงก็ไม่สูงนัก คะแนนระดับความเสี่ยงตาม CVSS อยู่ที่ 5.0 โดยแฮกเกอร์อาจจะหลอกผู้ที่พยายามล็อกอินเข้าเราท์เตอร์เพื่อดักฟังเอารหัสผ่าน ทางแก้สำหรับเครื่องบางรุ่นที่คอนฟิกกุญแจใหม่เข้าไปได้ผู้ใช้อาจจะสร้างกุญแจใหม่เข้าไปเอง หรือหากทำไม่ได้ก็ควรปิดการเข้าถึงเราท์เตอร์จากอินเทอร์เน็ตเสีย

สำหรับนักพัฒนาระบบ IoT ทั้งหลาย บทเรียนครั้งนี้เป็นบทเรียนสำคัญที่ต้องระวังถึงการสร้างกุญแจใหม่เพื่อติดตั้งลงในเครื่องเสมอ

ที่มา - SEC Consult, CERT.org

alt="upic.me"

ผังกุญแจ SSH ที่มีการใช้ซ้ำกันจาก SEC Consult

Get latest news from Blognone

Comments

By: syootakarn
iPhoneWindows PhoneAndroidBlackberry
on 27 November 2015 - 13:29 #864368
syootakarn's picture

แสดง SDK ไม่ได้ป้องกันเรื่องนี้ ใช้ตัวเลขแบบสุ่มแทนได้มั้ย (ถามใครได้บ้างเนี่ย)

By: lew
FounderJusci's WriterMEconomicsAndroid
on 27 November 2015 - 13:34 #864371 Reply to:864368
lew's picture

มันไม่ใช่เรื่องที่ต้องป้องกันนี่ครับ


lewcpe.com, @wasonliw

By: HMage
AndroidWindows
on 27 November 2015 - 16:49 #864421

ส่วนบ้านเราก่อนจะระวังถึงระดับ technical ขนาดนั้น
ไปเปลี่ยน password wifi ที่ ISP มาติดตั้งให้ก่อนดีกว่า Password admin console ด้วย
Default ยอดนิยมเต็มไปหมด 12345, 0000, หรือแม้กระทั่งใช้หมายเลขโทรศัพท์ที่ขายพร้อมกันเป็น password

By: lew
FounderJusci's WriterMEconomicsAndroid
on 28 November 2015 - 02:34 #864496 Reply to:864421
lew's picture

อันนั้นยังพอ "ป้องกันตัวเอง" ได้ไงครับ จริงๆ ผมก็เห็นด้วยว่ารหัสผ่านอย่างน้อยที่สุดควรสุ่มมา (และแปะหน้าเครื่องเอา) แต่ผมได้รับเราท์เตอร์มาก็ยังพอป้องกันปัญหาพวกนี้เองได้ เทียบกับ key ที่ hardcode มา ถ้าไม่มีเฟิร์มแวร์อิสระ ผมก็ไม่มีทางแก้อื่นเลย


lewcpe.com, @wasonliw