พบระบบควบคุมความเย็นจำนวนมากต่ออินเทอร์เน็ตและรหัสผ่านค่าเริ่มต้น รู้ URL ก็แก้ไขระบบได้

2019-02-09

นักวิจัยความปลอดภัยจาก Safety Detective ออกรายงานช่องโหว่ของระบบควบคุมอุณหภูมิในตู้แช่ที่เปิดโอกาสให้ผู้บุกรุกเข้ายึดครองอุปกรณ์และทำลายของที่แช่อยู่ในตู้ได้

ระบบที่ใช้ในตู้แช่นี้ พัฒนาโดย Resource Data Management หรือ RDM นิยมใช้กันแพร่หลายในร้านขายของชำ, โรงพยาบาลหรือองค์กรด้านเภสัช รวมถึงอีกหลาย ๆ ที่ ซึ่งตัวระบบใช้รหัสผ่านแบบที่ไม่ปลอดภัย และมีการเชื่อมต่ออินเทอร์เน็ต

นักวิจัยใช้ Shodan เสิร์ชเอนจินที่แสดงอุปกรณ์เฉพาะที่เชื่อมต่ออินเทอร์เน็ต และพบว่ามีผลิตภัณฑ์กว่า 7,419 ชิ้นของ RDM มีช่องโหว่นี้ คือใช้โปรโตคอล HTTP ธรรมดาด้วยพอร์ต 9000 (บางเครื่องก็ใช้ 8080, 8100 หรือแม้กระทั่ง 80), ใช้ชื่อผู้ใช้และรหัสผ่านค่าเริ่มต้น ที่ผู้ดูแลระบบแทบไม่มีการเปลี่ยน (Safety Detective ระบุว่าภาพหน้าจอที่บันทึกมาในบทความต้นฉบับ เข้าได้โดยไม่ต้องใส่ชื่อผู้ใช้หรือรหัสผ่านเลย) ซึ่งสุ่มเสี่ยงต่อการถูกยึดระบบได้ง่ายมาก

นักวิจัยระบุว่า เขาได้ทดลองบอกเลขาในสำนักงานว่าหาอุปกรณ์ที่ออนไลน์ได้อย่างไร ในเวลาไม่นานนักเธอก็ใช้ Google หาเจอเลยว่ามีระบบควบคุมความเย็นในโรงงานประเทศเยอรมนี และโรงพยาบาลในสหราชอาณาจักรออนไลน์อยู่ ซึ่งนักวิจัยระบุเพิ่มเติมว่าระบบพวกนี้เข้าได้ผ่านเบราว์เซอร์เพียงรู้ URL เท่านั้น ซึ่งหาได้ไม่ยาก และถ้าจะแก้อะไรระบบ เช่นเปลี่ยนอุณหภูมิ เพียงกดปุ่มแล้วใส่ชื่อผู้ใช้และรหัสผ่านค่าเริ่มต้นก็เป็นอันเสร็จสิ้น

RDM ซึ่งเป็นผู้ผลิตสินค้าระบุว่าปัญหาเหล่านี้เกิดจากการใช้รหัสผ่านค่าเริ่มต้นซึ่งทางบริษัทก็ได้สนับสนุนให้ผู้ใช้เปลี่ยนอยู่แล้ว แต่ Engadget ให้ความเห็นว่าบริษัทควรบังคับให้ผู้ใช้เปลี่ยนรหัสผ่านมากกว่า

ที่มา – Safety Detective, Engadget

No Description

Topics: