คำถามที่พบบ่อย: ช่องโหว่ในการแทรกคำสั่ง (Command Injection Vulnerability)

คำถาม: อะไรคือช่องโหว่ในการแทรกคำสั่งของตัวอุปกรณ์?

ตอบ: ตามที่ระบุในการแจ้งเตือนความปลอดภัยฉบับที่ HSRC-202109-01 อย่างเป็นทางการของ Hikvision พบช่องโหว่ในการแทรกคำสั่งในเว็บเซิร์ฟเวอร์ของผลิตภัณฑ์ Hikvision บางรายการ เนื่องจากการตรวจสอบอินพุตไม่เพียงพอ ผู้โจมตีอาจใช้ช่องโหว่นี้เพื่อเริ่มการโจมตีด้วยการแทรกคำสั่งโดยการส่งข้อความที่สร้างขึ้นเป็นพิเศษพร้อมคำสั่งที่อาจเป็นอันตราย

คำถาม: สามารถเช็คข้อมุลเพิ่มเติมได้จากที่ไหนบ้าง?

ตอบ: ประกาศเกี่ยวกับความปลอดภัยของ Hikvision บริษัทได้เผยแพร่การแจ้งเตือนความปลอดภัยบนเว็บไซต์ของบริษัทเมื่อวันที่18 กันยายน และโพสต์บนบัญชีโซเชียลมีเดียเมื่อวันที่ 19 กันยายน 2564

รายงานการเปิดเผยข้อมูลของนักวิจัยด้านความปลอดภัย

คำถาม: เป็นการเข้าถึงของรัฐบาลจีนใช่หรือไม่?

ตอบ: ไม่ใช่ ทาง Hikvision ไม่มีการเข้าถึงใดๆจากรัฐบาลในผลิตภัณฑ์ของเรา โดยทาง Watchful_IP นักวิจัยด้านความปลอดภัยที่มีหน้าที่รับผิดชอบการรายงานช่องโหว่นี้ต่อ Hikvision ได้กล่าวว่าไม่ใช่อย่างแน่นอน “ทางบริษัทฯจะไม่ทำเช่นนั้น และไม่ได้หมายความว่าเฟิร์มแวร์ทุกตัวจะได้รับผลกระทบ”

คำถาม: Hikvision จัดการอย่างไรเกี่ยวกับช่องโหว่นี้?

ตอบ: Hikvision ได้ปฏิบัติตามหลักการในการรับผิดชอบการเปิดเผยข้อมูลอย่างเป็นทางการโดยกระบวนการต่างๆเป็นไปตามมาตรฐานซึ่งเป็นที่ยอมรับกันอย่างแพร่หลายในอุตสาหกรรมระดับโลก และเกี่ยวข้องกับกลไกของช่องโหว่ที่ได้เปิดเผยข้อมูลโดยผ่านกระบวนการในการควบคุมที่ดีที่สุดเพื่อปกป้องเจ้าของและผู้ใช้งานซอฟแวร์

โดยเมื่อวันที่ 23 มิถุนายน พ.ศ. 2564 ทาง Hikvision ได้รับการติดต่อจากนักวิจัยด้านความปลอดภัยชื่อ Watchful IP ซึ่งได้รายงานว่าพบช่องโหว่ที่อาจเกิดขึ้นในกล้อง Hikvision โดยเมื่อหลังจากที่ทางเราได้ยืนยันการรับรายงานนี้ ทาง Hikvision จะทำงานโดยตรงร่วมกับผู้วิจัยด้านความปลอดภัยเพื่อตรวจสอบและแก้ไขช่องโหว่ที่ได้รับรายงานให้ได้อย่างสมบูรณ์

ดังที่ผู้วิจัยระบุไว้ในรายงานการเปิดเผยข้อมูลของเขาว่า “ยินดีที่ทราบว่าปัญหานี้ได้รับการแก้ไขแล้วตามวิธีที่แนะนำ”

หลังจากที่ทั้งบริษัทและนักวิจัยได้ทำการตรวจสอบอย่างแน่ใจแล้วว่า ช่องโหว่ที่ตรวจพบนั้นได้รับการแก้ไขอย่างเหมาะสมโดยเฟิร์มแวร์ที่ได้รับการอัปเดตแล้ว ทางบริษัทจึงออกประกาศด้านความปลอดภัยบนเว็บไซต์ของบริษัทและในบัญชีโซเชียลมีเดียในวันที่ 19 กันยายน พ.ศ. 2564

คำถาม: ทางบริษัทฯ มีคำแนะนำอย่างไรเกี่ยวกับการใช้งาน Port Forwarding?

ตอบ: ในแวดวงของอุตสาหกรรมเว็บไซต์บล๊อกต่างๆ ได้มีการรวบรวมข้อมูลที่อาจทำให้เกิดความเข้าใจผิดต่อคำแนะนำของทางบริษัทฯ ในส่วนของการใช้งาน Port Forwarding ในโพสต์ข้อมุลล่าสุดนั้น โปรดทราบว่า ตามแนวทางของทางบริษัทฯ ในส่วนของหัวข้อ การใช้งาน Port Forwarding ทาง Hikvision ได้แจ้งเตือนผู้ใช้สำหรับการใช้งาน Port Forwarding โดยแนะนำว่า การใช้งาน Port Forwarding ควรจะใช้งานเมื่อมีความจำเป็นเท่านั้น

ในกรณีที่ผู้ใช้งานเลือกที่จะตั้งค่า Port Forwarding สำหรับอุปกรณ์ที่จำเป็นต้องเข้าถึงผ่านทางอินเทอร์เน็ต โดยทาง Hikvision ได้สนับสนุนแนวทางปฏิบัติที่ดีที่สุดในการรักษาความปลอดภัยทางไซเบอร์ดังต่อไปนี้: (1) “ลดจำนวนพอร์ตที่เปิดเผยต่ออินเทอร์เน็ต” (2) “หลีกเลี่ยงพอร์ตทั่วไปและกำหนดค่าใหม่เป็นพอร์ตที่กำหนดเองและเปิดใช้งานการกรองหมายเลข IP Address” (3) ตั้งรหัสผ่านที่คาดเดายาก และ (4) อัปเกรดเป็นเฟิร์มแวร์อุปกรณ์ล่าสุดที่ออกโดย Hikvision อย่างสม่ำเสมอ

คำถาม: ทำอย่างไรหากต้องการเพิ่มความปลอดภัยของอุปกรณ์ Hikvision ที่ใช้งานอยู่?

ตอบ: เพื่อที่จะใช้ประโยชน์จากช่องโหว่นี้ ผู้โจมตีจำเป็นต้องอยู่ในเครือข่ายเดียวกันกับอุปกรณ์ที่มี่ช่องโหว่ หรือกล่าวอีกนัยหนึ่ง หากผู้โจมตีสามารถเข้าถึงหน้าจอการ Login เข้าสู่ระบบของอุปกรณ์ที่มีช่องโหว่ พวกเขาก็อาจจะสามารถโจมตีได้ แต่ถ้าหากไม่สามาระเข้าถึงหน้าจอการ Loginเข้าสู่ระบบของอุปกรณ์ที่มีช่องโหว่ได้ พวกเขาก็จะไม่สามารถใช้ประโยชน์จากช่องโหว่นี้ได้เลย

ในการเพิ่มความปลอดภัยของอุปกรณ์ที่อาจมีช่องโหว่ ให้ผู้ใช้งานตรวจสอบว่าเป็นรุ่นสินค้าที่ได้รับผลกระทบโดยตรงหรือไม่ และสินค้านั้นได้ทำการเปิดเผยเซิร์ฟเวอร์โปรโตคอล http/https (โดยทั่วไปคือ 80/443) ไปยังอินเทอร์เน็ต (WAN) โดยตรงหรือไม่ ซึ่งจะทำให้ผู้โจมตีสามารถโจมตีอุปกรณ์นั้นมาจากอินเทอร์เน็ตภายนอกได้ . โดยข้อมุลด้านล่างนี้เป็นตัวอย่างบางส่วนของการเชื่อมต่อในรูปแบบต่างๆ:

① เครือข่าย LAN ภายใน ที่ไม่มีอินเทอร์เน็ต (ความเสี่ยงต่ำ)

ผู้โจมตีไม่สามารถเข้าถึงเว็บเซิร์ฟเวอร์ของตัวอุปกรณ์จากอินเทอร์เน็ตภายนอกได้ ดังนั้นจึงมีความเสี่ยงที่ต่ำมาก) ผู้โจมตีจำเป็นจะต้องมีการเข้าถึง LAN ภายในเพื่อใช้ประโยชน์จากช่องโหว่นี้ นั่นคือเหตุผลที่การใช้งานลักษณะนี้มีความเสี่ยงต่ำมากที่จะถูกโจมตี

② เครือข่าย WAN พร้อมอุปกรณ์ไฟร์วอลล์ ที่สามารถบล๊อก http(s) (ความเสี่ยงต่ำ)

เนื่องจากผู้โจมตีอาจยังไม่สามารถเข้าถึงเว็บของอุปกรณ์จากอินเทอร์เน็ตภายนอกได้ ในกรณีนี้ ระบบยังถือว่ามีความเสี่ยงต่ำ

③ Hik-Connect & Hik-ProConnect (ความเสี่ยงต่ำ)

Hik-Connect และ Hik-ProConnect เป็นกรณีพิเศษของรูปแบบการใช้งานจาก 2 ตัวอย่างข้างต้น ซึ่งผู้ใช้งานไม่จำเป็นต้องใช้ http ในการใช้บริการ Hik-Connect และ Hik-ProConnect ดังนั้นอุปกรณ์จึงมีความปลอดภัยที่สูงมาก

④ การเข้าถึงผ่านทางระบบ VPN จากอินเทอร์เน็ต (ความเสี่ยงต่ำ)

VPN (Virtual Private Network) อนุญาตให้เฉพาะผู้ใช้ที่ผ่านการตรวจสอบแล้วเท่านั้นที่จะเข้าสู่ระบบและเข้าถึงอุปกรณ์จากเครือข่ายที่กำหนดไว้ จึงเป็นวิธีการที่ปลอดภัยในการเข้าถึงอุปกรณ์และโอกาสที่จะถูกโจมตีนั้นเป็นไปได้ยาก

⑤ Port Forwarding (ความเสี่ยงสูง)

การใช้งาน Port Forwarding เป็นวิธีที่ง่ายและราคาไม่แพงสำหรับผู้ใช้งานในการเข้าถึงอุปกรณ์จากระยะไกล แต่อย่างไรก็ตาม การใช้งาน Port Forwarding อาจทำให้เกิดความเสี่ยงเพิ่มเติม เนื่องจากระบบจะบอกให้ตัวไฟร์วอลล์ไม่ทำการปิดกั้นการรับส่งข้อมูลจากอินเทอร์เน็ตภายนอกไปยังอุปกรณ์โดยตรงผ่านทางพอร์ตที่กำหนด ดังนั้น ด้วยช่องโหว่ในปัจจุบัน ตราบใดที่ผู้โจมตีสามารถเข้าถึงอุปกรณ์ผ่านพอร์ต http ที่ทำการ Forward ไว้ อุปกรณ์ก็จะมีความเสี่ยงสูงที่จะถูกโจมตีได้ง่าย

⑥ DDNS (ความเสี่ยงสูง)

Dynamic DNS (DDNS) ยังเป็นส่วนหนึ่งของการใช้งาน Port Forwarding ดังนั้นผู้โจมตีอาจยังคงสามารถเข้าถึงอุปกรณ์จากอินเทอร์เน็ตภายนอกได้ ทำให้อุปกรณ์มีความเสี่ยงสูงที่จะถูกโจมตี

⑦ การเข้าถึง WAN โดยตรง (ความเสี่ยงสูง)

บางไซต์งาน ได้ทำการติดตั้งอุปกรณ์และเชื่อมต่อเข้ากับอินเทอร์เน็ต (WAN) โดยตรง ตราบใดที่อุปกรณ์มีหมายเลข IP Address และพอร์ต http ที่เปิดอยู่ และเปิดเผยต่ออินเทอร์เน็ต อุปกรณ์ก็มีความเสี่ยงสูงที่จะถูกโจมตีได้เช่นกัน

สรุป วิธีที่ง่ายที่สุดในการยกระดับความปลอดภัยของระบบ คือการตรวจสอบว่าคุณสามารถเข้าถึงหน้าเว็บของอุปกรณ์ได้โดยตรงโดยไม่ต้องมีรูปแบบเครือข่ายเพิ่มเติมที่ช่วยเพิ่มความปลอดภัยหรือไม่ ถ้าใช่ก็ถือว่าระบบนั้นมีความเสี่ยงสูง

เท่าที่เราทราบ ปัจจุบันยังไม่มีการพิสูจน์โดยข้อมูลที่เป็นสาธารณะหรือพบการใช้ช่องโหว่นี้ในทางที่ผิดจนถึงปัจจุบัน แต่อย่างไรก็ตาม ก็ได้มีการแก้ไขต่างๆที่ออกมาเพื่อทำการปิดช่องโหว่ที่พบและผู้โจมตีก็จะยังค้นหามันช่องโหว่อื่นๆต่อไป เพราะฉนั้นหากคุณมีกล้องหรือเครื่องบันทึกในรุ่นที่ได้รับผลกระทบและอุปกรณ์เหล่านั้นมีบริการ http ที่เปิดเผยและเชื่อมต่อกับอินเทอร์เน็ตโดยตรง ทาง Hikvision ขอแนะนำอย่างยิ่งให้คุณแก้ไขอุปกรณ์ของคุณทันที และใช้โซลูชันอื่นๆเพิ่มเติมที่ช่วยทำให้ระบบมีความปลอดภัยมากยิ่งขึ้น เช่นการใช้งานผ่านระบบ VPN เป็นต้น

หมายเหตุ: เอกสารนี้ระบุถึงความเสี่ยงของการโจมตีทางอินเทอร์เน็ต ซึ่งจะถือว่าเครือข่ายภายในของคุณได้มีการแบ่งกลุ่มของเครือข่ายเหมาะสมแล้ว และผู้คุกคามไม่สามารถเข้าถึงเครือข่ายภายในของคุณได้ หากต้องการประเมินความเสี่ยงเพิ่มเติม ให้พิจารณาว่าเครือข่ายภายในของคุณเชื่อถือได้หรือไม่ หากคิดว่าไม่ ให้ใช้มาตรการที่เหมาะสมเพื่อแก้ไขและแบ่งกลุ่มอุปกรณ์ความปลอดภัยของคุณออกจากจากส่วนอื่นๆ ของเครือข่ายภายใน