Kaspersky เผยผลตรวจสอบความปลอดภัยไซเบอร์ครั้งสำคัญ ชี้พบ ช่องโหว่ความปลอดภัยระดับวิกฤต (Zero-Day Vulnerability) ในโครงสร้างพื้นฐานของผู้รับเหมา ทำให้ผู้โจมตีสามารถเข้าถึงและ ควบคุมรถยนต์ที่เชื่อมต่ออินเทอร์เน็ต (Connected Cars) ของผู้ผลิตรถยนต์รายหนึ่งได้โดยไม่ได้รับอนุญาต ช่องโหว่นี้อาจส่งผลกระทบโดยตรงต่อ ความปลอดภัยทางกายภาพ ของผู้ขับขี่และผู้โดยสาร
เจาะระบบเทเลเมติกส์: จุดอ่อนร้ายแรงในอุตสาหกรรมยานยนต์
การโจมตีครั้งนี้ใช้ประโยชน์จากช่องโหว่ซีโร่เดย์ในแอปพลิเคชัน wiki ที่เข้าถึงได้สาธารณะของผู้รับเหมา โดยนักวิจัยของแคสเปอร์สกี้สามารถเจาะผ่านช่องโหว่ SQL injection เพื่อดึงรายชื่อผู้ใช้และแฮชรหัสผ่านบางส่วนที่คาดเดาได้ง่าย การละเมิดนี้ได้นำไปสู่การเข้าถึงระบบติดตามปัญหา ซึ่งบรรจุข้อมูลการกำหนดค่าที่ละเอียดอ่อนเกี่ยวกับโครงสร้างพื้นฐานเทเลเมติกส์ของผู้ผลิตรถยนต์ รวมถึงรหัสผ่านของผู้ใช้เซิร์ฟเวอร์เทเลเมติกส์
นอกจากนี้ การค้นพบ ไฟร์วอลล์ที่กำหนดค่าไม่ถูกต้อง ยังเผยให้เห็นเซิร์ฟเวอร์ภายใน ซึ่งนักวิจัยสามารถใช้ข้อมูลบัญชีบริการที่ได้มาก่อนหน้าเพื่อเข้าถึงระบบไฟล์ และท้ายที่สุดก็สามารถ ควบคุมโครงสร้างพื้นฐานเทเลเมติกส์ได้อย่างสมบูรณ์
ภัยคุกคามถึงชีวิต: การเข้าถึงระบบควบคุมหลักของรถ
สิ่งที่น่าตกใจที่สุดคือการค้นพบ คำสั่งอัปเดตเฟิร์มแวร์ ที่อนุญาตให้สามารถอัปโหลดเฟิร์มแวร์ที่แก้ไขแล้วไปยัง หน่วยควบคุมเทเลเมติกส์ (TCU) ซึ่งเปิดโอกาสให้เข้าถึง เน็ตเวิร์กควบคุมพื้นที่ (Controller Area Network – CAN) อันเป็นระบบหลักที่เชื่อมต่อส่วนประกอบสำคัญของรถ เช่น เครื่องยนต์ และ ระบบส่งกำลัง การเข้าถึงนี้หมายถึงผู้โจมตีสามารถ จัดการฟังก์ชันสำคัญต่างๆ ของรถ ซึ่งรวมถึงการบังคับเปลี่ยนเกียร์หรือดับเครื่องยนต์ในขณะที่รถกำลังขับขี่อยู่บนท้องถนน
เรียกร้องมาตรฐานความปลอดภัยไซเบอร์ที่เข้มงวดกว่าเดิม
อาร์เทม ซิเนนโก หัวหน้าฝ่ายวิจัยและประเมินช่องโหว่ Kaspersky ICS CERT ชี้ว่า ข้อบกพร่องด้านความปลอดภัยเหล่านี้เป็นปัญหาที่พบได้ทั่วไปในอุตสาหกรรมยานยนต์ อาทิ บริการเว็บที่เข้าถึงได้โดยสาธารณะ, การใช้รหัสผ่านที่คาดเดาได้ง่าย, การขาดการยืนยันตัวตนแบบสองปัจจัย (2FA) และการจัดเก็บข้อมูลสำคัญที่ไม่ได้เข้ารหัส การละเมิดครั้งนี้แสดงให้เห็นอย่างชัดเจนว่า จุดอ่อนเพียงจุดเดียวในโครงสร้างพื้นฐานของเธิร์ตปาร์ตี้ สามารถส่งผลกระทบอย่างร้ายแรงต่อรถยนต์ที่เชื่อมต่ออินเทอร์เน็ตทั้งหมดได้ จึงเน้นย้ำความจำเป็นที่อุตสาหกรรมยานยนต์ต้องให้ความสำคัญกับ แนวปฏิบัติด้านความปลอดภัยทางไซเบอร์ที่เข้มงวด
ข้อแนะนำจากแคสเปอร์สกี้เพื่อเสริมความปลอดภัย
แคสเปอร์สกี้ได้ให้คำแนะนำเพื่อเพิ่มความปลอดภัยทางไซเบอร์ โดยสำหรับ ผู้รับเหมา ควรจำกัดการเข้าถึงอินเทอร์เน็ตผ่าน VPN, แยกบริการออกจากเครือข่ายองค์กร, บังคับใช้นโยบายรหัสผ่านที่เข้มงวด, ดำเนินการ 2FA, เข้ารหัสข้อมูลสำคัญ และผสานรวมการบันทึกข้อมูลเข้ากับระบบ SIEM เพื่อการตรวจสอบแบบเรียลไทม์
ส่วน ผู้ผลิตยานยนต์ ควรจำกัดการเข้าถึงแพลตฟอร์มเทเลเมติกส์จากเซ็กเมนต์เครือข่ายยานยนต์, ใช้รายการอนุญาตสำหรับการโต้ตอบเครือข่าย, ปิดการใช้งานการตรวจสอบรหัสผ่าน SSH, รันบริการด้วยสิทธิ์ขั้นต่ำ และรับรองความถูกต้องของคำสั่งใน TCU ควบคู่ไปกับการรวม SIEM
