คำถามที่พบบ่อย: ช่องโหว่ในการแทรกคำสั่ง (Command Injection Vulnerability)
  • คำถาม: อะไรคือช่องโหว่ในการแทรกคำสั่งของตัวอุปกรณ์?

ตอบ: ตามที่ระบุในการแจ้งเตือนความปลอดภัยฉบับที่ HSRC-202109-01 อย่างเป็นทางการของ Hikvision พบช่องโหว่ในการแทรกคำสั่งในเว็บเซิร์ฟเวอร์ของผลิตภัณฑ์ Hikvision บางรายการ เนื่องจากการตรวจสอบอินพุตไม่เพียงพอ ผู้โจมตีอาจใช้ช่องโหว่นี้เพื่อเริ่มการโจมตีด้วยการแทรกคำสั่งโดยการส่งข้อความที่สร้างขึ้นเป็นพิเศษพร้อมคำสั่งที่อาจเป็นอันตราย

 

  • คำถาม: สามารถเช็คข้อมุลเพิ่มเติมได้จากที่ไหนบ้าง?

ตอบประกาศเกี่ยวกับความปลอดภัยของ Hikvision บริษัทได้เผยแพร่การแจ้งเตือนความปลอดภัยบนเว็บไซต์ของบริษัทเมื่อวันที่18  กันยายน และโพสต์บนบัญชีโซเชียลมีเดียเมื่อวันที่ 19 กันยายน 2564

รายงานการเปิดเผยข้อมูลของนักวิจัยด้านความปลอดภัย

 

  • คำถาม: เป็นการเข้าถึงของรัฐบาลจีนใช่หรือไม่?

ตอบ: ไม่ใช่ ทาง Hikvision ไม่มีการเข้าถึงใดๆจากรัฐบาลในผลิตภัณฑ์ของเรา โดยทาง Watchful_IP นักวิจัยด้านความปลอดภัยที่มีหน้าที่รับผิดชอบการรายงานช่องโหว่นี้ต่อ Hikvision ได้กล่าวว่าไม่ใช่อย่างแน่นอน “ทางบริษัทฯจะไม่ทำเช่นนั้น และไม่ได้หมายความว่าเฟิร์มแวร์ทุกตัวจะได้รับผลกระทบ”                         

  • คำถาม: Hikvision จัดการอย่างไรเกี่ยวกับช่องโหว่นี้?

ตอบ: Hikvision ได้ปฏิบัติตามหลักการในการรับผิดชอบการเปิดเผยข้อมูลอย่างเป็นทางการโดยกระบวนการต่างๆเป็นไปตามมาตรฐานซึ่งเป็นที่ยอมรับกันอย่างแพร่หลายในอุตสาหกรรมระดับโลก และเกี่ยวข้องกับกลไกของช่องโหว่ที่ได้เปิดเผยข้อมูลโดยผ่านกระบวนการในการควบคุมที่ดีที่สุดเพื่อปกป้องเจ้าของและผู้ใช้งานซอฟแวร์

        โดยเมื่อวันที่ 23 มิถุนายน พ.ศ. 2564 ทาง Hikvision ได้รับการติดต่อจากนักวิจัยด้านความปลอดภัยชื่อ Watchful IP ซึ่งได้รายงานว่าพบช่องโหว่ที่อาจเกิดขึ้นในกล้อง Hikvision โดยเมื่อหลังจากที่ทางเราได้ยืนยันการรับรายงานนี้ ทาง Hikvision จะทำงานโดยตรงร่วมกับผู้วิจัยด้านความปลอดภัยเพื่อตรวจสอบและแก้ไขช่องโหว่ที่ได้รับรายงานให้ได้อย่างสมบูรณ์

        ดังที่ผู้วิจัยระบุไว้ในรายงานการเปิดเผยข้อมูลของเขาว่า “ยินดีที่ทราบว่าปัญหานี้ได้รับการแก้ไขแล้วตามวิธีที่แนะนำ”

        หลังจากที่ทั้งบริษัทและนักวิจัยได้ทำการตรวจสอบอย่างแน่ใจแล้วว่า ช่องโหว่ที่ตรวจพบนั้นได้รับการแก้ไขอย่างเหมาะสมโดยเฟิร์มแวร์ที่ได้รับการอัปเดตแล้ว ทางบริษัทจึงออกประกาศด้านความปลอดภัยบนเว็บไซต์ของบริษัทและในบัญชีโซเชียลมีเดียในวันที่ 19 กันยายน พ.ศ. 2564

 

  • คำถาม: ทางบริษัทฯ มีคำแนะนำอย่างไรเกี่ยวกับการใช้งาน Port Forwarding?

ตอบ: ในแวดวงของอุตสาหกรรมเว็บไซต์บล๊อกต่างๆ ได้มีการรวบรวมข้อมูลที่อาจทำให้เกิดความเข้าใจผิดต่อคำแนะนำของทางบริษัทฯ ในส่วนของการใช้งาน Port Forwarding ในโพสต์ข้อมุลล่าสุดนั้น  โปรดทราบว่า ตามแนวทางของทางบริษัทฯ ในส่วนของหัวข้อ การใช้งาน Port Forwarding ทาง Hikvision ได้แจ้งเตือนผู้ใช้สำหรับการใช้งาน Port Forwarding โดยแนะนำว่า การใช้งาน Port Forwarding ควรจะใช้งานเมื่อมีความจำเป็นเท่านั้น

        ในกรณีที่ผู้ใช้งานเลือกที่จะตั้งค่า Port Forwarding สำหรับอุปกรณ์ที่จำเป็นต้องเข้าถึงผ่านทางอินเทอร์เน็ต โดยทาง Hikvision ได้สนับสนุนแนวทางปฏิบัติที่ดีที่สุดในการรักษาความปลอดภัยทางไซเบอร์ดังต่อไปนี้: (1) “ลดจำนวนพอร์ตที่เปิดเผยต่ออินเทอร์เน็ต” (2) “หลีกเลี่ยงพอร์ตทั่วไปและกำหนดค่าใหม่เป็นพอร์ตที่กำหนดเองและเปิดใช้งานการกรองหมายเลข IP Address” (3) ตั้งรหัสผ่านที่คาดเดายาก และ (4) อัปเกรดเป็นเฟิร์มแวร์อุปกรณ์ล่าสุดที่ออกโดย Hikvision อย่างสม่ำเสมอ

 

  • คำถาม: ทำอย่างไรหากต้องการเพิ่มความปลอดภัยของอุปกรณ์ Hikvision ที่ใช้งานอยู่?

ตอบ: เพื่อที่จะใช้ประโยชน์จากช่องโหว่นี้ ผู้โจมตีจำเป็นต้องอยู่ในเครือข่ายเดียวกันกับอุปกรณ์ที่มี่ช่องโหว่ หรือกล่าวอีกนัยหนึ่ง หากผู้โจมตีสามารถเข้าถึงหน้าจอการ Login เข้าสู่ระบบของอุปกรณ์ที่มีช่องโหว่ พวกเขาก็อาจจะสามารถโจมตีได้ แต่ถ้าหากไม่สามาระเข้าถึงหน้าจอการ Loginเข้าสู่ระบบของอุปกรณ์ที่มีช่องโหว่ได้ พวกเขาก็จะไม่สามารถใช้ประโยชน์จากช่องโหว่นี้ได้เลย

        ในการเพิ่มความปลอดภัยของอุปกรณ์ที่อาจมีช่องโหว่ ให้ผู้ใช้งานตรวจสอบว่าเป็นรุ่นสินค้าที่ได้รับผลกระทบโดยตรงหรือไม่ และสินค้านั้นได้ทำการเปิดเผยเซิร์ฟเวอร์โปรโตคอล http/https (โดยทั่วไปคือ 80/443) ไปยังอินเทอร์เน็ต (WAN) โดยตรงหรือไม่ ซึ่งจะทำให้ผู้โจมตีสามารถโจมตีอุปกรณ์นั้นมาจากอินเทอร์เน็ตภายนอกได้ . โดยข้อมุลด้านล่างนี้เป็นตัวอย่างบางส่วนของการเชื่อมต่อในรูปแบบต่างๆ:

① เครือข่าย LAN ภายใน ที่ไม่มีอินเทอร์เน็ต (ความเสี่ยงต่ำ)

        ผู้โจมตีไม่สามารถเข้าถึงเว็บเซิร์ฟเวอร์ของตัวอุปกรณ์จากอินเทอร์เน็ตภายนอกได้ ดังนั้นจึงมีความเสี่ยงที่ต่ำมาก) ผู้โจมตีจำเป็นจะต้องมีการเข้าถึง LAN ภายในเพื่อใช้ประโยชน์จากช่องโหว่นี้ นั่นคือเหตุผลที่การใช้งานลักษณะนี้มีความเสี่ยงต่ำมากที่จะถูกโจมตี

 

② เครือข่าย WAN พร้อมอุปกรณ์ไฟร์วอลล์ ที่สามารถบล๊อก http(s) (ความเสี่ยงต่ำ)

เนื่องจากผู้โจมตีอาจยังไม่สามารถเข้าถึงเว็บของอุปกรณ์จากอินเทอร์เน็ตภายนอกได้ ในกรณีนี้ ระบบยังถือว่ามีความเสี่ยงต่ำ

 

③ Hik-Connect & Hik-ProConnect (ความเสี่ยงต่ำ)

Hik-Connect และ Hik-ProConnect เป็นกรณีพิเศษของรูปแบบการใช้งานจาก 2 ตัวอย่างข้างต้น ซึ่งผู้ใช้งานไม่จำเป็นต้องใช้ http ในการใช้บริการ Hik-Connect และ Hik-ProConnect ดังนั้นอุปกรณ์จึงมีความปลอดภัยที่สูงมาก

 

④ การเข้าถึงผ่านทางระบบ VPN จากอินเทอร์เน็ต (ความเสี่ยงต่ำ)

    VPN (Virtual Private Network) อนุญาตให้เฉพาะผู้ใช้ที่ผ่านการตรวจสอบแล้วเท่านั้นที่จะเข้าสู่ระบบและเข้าถึงอุปกรณ์จากเครือข่ายที่กำหนดไว้ จึงเป็นวิธีการที่ปลอดภัยในการเข้าถึงอุปกรณ์และโอกาสที่จะถูกโจมตีนั้นเป็นไปได้ยาก

 

⑤ Port Forwarding (ความเสี่ยงสูง)

    การใช้งาน Port Forwarding เป็นวิธีที่ง่ายและราคาไม่แพงสำหรับผู้ใช้งานในการเข้าถึงอุปกรณ์จากระยะไกล แต่อย่างไรก็ตาม การใช้งาน Port Forwarding อาจทำให้เกิดความเสี่ยงเพิ่มเติม เนื่องจากระบบจะบอกให้ตัวไฟร์วอลล์ไม่ทำการปิดกั้นการรับส่งข้อมูลจากอินเทอร์เน็ตภายนอกไปยังอุปกรณ์โดยตรงผ่านทางพอร์ตที่กำหนด ดังนั้น ด้วยช่องโหว่ในปัจจุบัน ตราบใดที่ผู้โจมตีสามารถเข้าถึงอุปกรณ์ผ่านพอร์ต http ที่ทำการ Forward ไว้ อุปกรณ์ก็จะมีความเสี่ยงสูงที่จะถูกโจมตีได้ง่าย

 

⑥ DDNS (ความเสี่ยงสูง)

Dynamic DNS (DDNS) ยังเป็นส่วนหนึ่งของการใช้งาน Port Forwarding ดังนั้นผู้โจมตีอาจยังคงสามารถเข้าถึงอุปกรณ์จากอินเทอร์เน็ตภายนอกได้ ทำให้อุปกรณ์มีความเสี่ยงสูงที่จะถูกโจมตี

 

⑦ การเข้าถึง WAN โดยตรง (ความเสี่ยงสูง)

บางไซต์งาน ได้ทำการติดตั้งอุปกรณ์และเชื่อมต่อเข้ากับอินเทอร์เน็ต (WAN) โดยตรง ตราบใดที่อุปกรณ์มีหมายเลข IP Address และพอร์ต http ที่เปิดอยู่ และเปิดเผยต่ออินเทอร์เน็ต อุปกรณ์ก็มีความเสี่ยงสูงที่จะถูกโจมตีได้เช่นกัน

 

        สรุป วิธีที่ง่ายที่สุดในการยกระดับความปลอดภัยของระบบ คือการตรวจสอบว่าคุณสามารถเข้าถึงหน้าเว็บของอุปกรณ์ได้โดยตรงโดยไม่ต้องมีรูปแบบเครือข่ายเพิ่มเติมที่ช่วยเพิ่มความปลอดภัยหรือไม่ ถ้าใช่ก็ถือว่าระบบนั้นมีความเสี่ยงสูง

        เท่าที่เราทราบ ปัจจุบันยังไม่มีการพิสูจน์โดยข้อมูลที่เป็นสาธารณะหรือพบการใช้ช่องโหว่นี้ในทางที่ผิดจนถึงปัจจุบัน แต่อย่างไรก็ตาม ก็ได้มีการแก้ไขต่างๆที่ออกมาเพื่อทำการปิดช่องโหว่ที่พบและผู้โจมตีก็จะยังค้นหามันช่องโหว่อื่นๆต่อไป เพราะฉนั้นหากคุณมีกล้องหรือเครื่องบันทึกในรุ่นที่ได้รับผลกระทบและอุปกรณ์เหล่านั้นมีบริการ http ที่เปิดเผยและเชื่อมต่อกับอินเทอร์เน็ตโดยตรง ทาง Hikvision ขอแนะนำอย่างยิ่งให้คุณแก้ไขอุปกรณ์ของคุณทันที และใช้โซลูชันอื่นๆเพิ่มเติมที่ช่วยทำให้ระบบมีความปลอดภัยมากยิ่งขึ้น เช่นการใช้งานผ่านระบบ VPN เป็นต้น

        หมายเหตุ: เอกสารนี้ระบุถึงความเสี่ยงของการโจมตีทางอินเทอร์เน็ต ซึ่งจะถือว่าเครือข่ายภายในของคุณได้มีการแบ่งกลุ่มของเครือข่ายเหมาะสมแล้ว และผู้คุกคามไม่สามารถเข้าถึงเครือข่ายภายในของคุณได้ หากต้องการประเมินความเสี่ยงเพิ่มเติม ให้พิจารณาว่าเครือข่ายภายในของคุณเชื่อถือได้หรือไม่ หากคิดว่าไม่ ให้ใช้มาตรการที่เหมาะสมเพื่อแก้ไขและแบ่งกลุ่มอุปกรณ์ความปลอดภัยของคุณออกจากจากส่วนอื่นๆ ของเครือข่ายภายใน

This website uses necessary cookies to enable the website to function well. We would like to use additional cookies to provide you the best experience on our website. For more information, please see our cookie policy.

ติดต่อเรา