CISA (Cybersecurity and Infrastructure Security Agency) ได้ออกคำสั่ง Binding Operational Directive (BOD) 26-02 ให้หน่วยงาน Federal Civilian Executive Branch (FCEB) กำจัดอุปกรณ์เครือข่าย Edge ที่หมดระยะเวลาสนับสนุน (End-of-Support – EOS) ออกจากเครือข่าย คำสั่งนี้มีขึ้นเพื่อลดความเสี่ยงด้านความปลอดภัยที่สำคัญจากฮาร์ดแวร์ที่ไม่ได้รับการสนับสนุน ซึ่งรวมถึงอุปกรณ์ต่างๆ เช่น ไฟร์วอลล์, เราเตอร์ และ VPN Gateway อุปกรณ์เหล่านี้ถูกมองว่าเป็นภัยคุกคามที่สำคัญเนื่องจากเสี่ยงต่อการถูกโจมตีโดยผู้คุกคามที่มีความซับซ้อน (advanced threat actors) คำสั่งนี้กำหนดไทม์ไลน์ที่เข้มงวดสำหรับการดำเนินการ รวมถึงการอัปเดตอุปกรณ์ที่ยังรองรับ, การจัดทำรายการอุปกรณ์ EOS และการปลดระวางอุปกรณ์ EOS ทั้งหมดภายใน 18 เดือน พร้อมทั้งสร้างกระบวนการจัดการวงจรชีวิตอย่างต่อเนื่องภายใน 24 เดือน แม้คำสั่งนี้จะมุ่งเน้นที่หน่วยงานรัฐบาลกลาง แต่ CISA แนะนำให้ภาคส่วนอื่นๆ รวมถึงรัฐบาลท้องถิ่นและโครงสร้างพื้นฐานที่สำคัญ นำมาตรการที่คล้ายกันไปใช้.
Severity: สูง
System Impact:
- หน่วยงาน Federal Civilian Executive Branch (FCEB)
- อุปกรณ์เครือข่าย Edge (ไฟร์วอลล์, เราเตอร์, VPN gateways, โหลดบาลานเซอร์, สวิตช์, จุดเชื่อมต่อไร้สาย)
- เครือข่ายองค์กร
- ระบบการจัดการข้อมูลประจำตัว
- องค์กรภาครัฐท้องถิ่น
- ผู้ประกอบการโครงสร้างพื้นฐานที่สำคัญ
- ธุรกิจภาคเอกชน
Technical Attack Steps:
- 1. **การระบุเป้าหมาย**: ผู้คุกคามระบุและกำหนดเป้าหมายอุปกรณ์ Edge ที่หมดระยะเวลาสนับสนุน (EOS) เนื่องจากอุปกรณ์เหล่านี้ไม่มีการอัปเดตด้านความปลอดภัยและมีช่องโหว่ที่ทราบอยู่แล้ว
- 2. **การหาประโยชน์จากช่องโหว่**: ผู้คุกคามใช้ประโยชน์จากช่องโหว่ในเฟิร์มแวร์ที่เป็นกรรมสิทธิ์ของอุปกรณ์ Edge เพื่อเจาะเข้าสู่เครือข่าย
- 3. **การเข้าถึงเครือข่าย**: เมื่ออุปกรณ์ Edge ถูกบุกรุก ผู้คุกคามจะใช้เป็นจุดเชื่อมต่อ (pivot point) เพื่อเข้าถึงเครือข่ายภายในขององค์กรที่ลึกยิ่งขึ้น
- 4. **การดำเนินการหลังการโจมตี**: เมื่อเข้าถึงได้สำเร็จ ผู้คุกคามอาจสกัดกั้นการรับส่งข้อมูล, ขโมยข้อมูลประจำตัว หรือเปิดตัวการโจมตีเพิ่มเติมต่อระบบภายใน
Recommendations:
Short Term:
- อัปเดตอุปกรณ์ Edge ที่ยังได้รับการสนับสนุนซึ่งกำลังรันซอฟต์แวร์ EOS ไปยังเวอร์ชันที่ได้รับการสนับสนุนทันที หากไม่รบกวนการทำงานที่สำคัญของภารกิจ
- ภายใน 3 เดือน: จัดทำรายการอุปกรณ์ Edge เทียบกับรายการฮาร์ดแวร์ EOS ที่ CISA จัดหาให้ และรายงานผลการสำรวจ
Long Term:
- ภายใน 12 เดือน: ปลดระวางอุปกรณ์ทั้งหมดที่ระบุในรายการ EOS เริ่มต้นของ CISA และเริ่มจัดทำรายการอุปกรณ์ EOS อื่นๆ ทั้งหมดในสภาพแวดล้อม
- ภายใน 18 เดือน: กำจัดอุปกรณ์ Edge EOS ที่เหลือทั้งหมดออกจากเครือข่ายและแทนที่ด้วยทางเลือกที่ได้รับการสนับสนุน
- ภายใน 24 เดือน: กำหนดกระบวนการจัดการวงจรชีวิตอย่างต่อเนื่องเพื่อระบุและเปลี่ยนอุปกรณ์ก่อนที่จะถึงวันสิ้นสุดการสนับสนุน
- CISA แนะนำให้องค์กรอื่นๆ (รัฐบาลท้องถิ่น, โครงสร้างพื้นฐานที่สำคัญ, ภาคเอกชน) นำมาตรการที่คล้ายกันมาใช้เพื่อลดความเสี่ยง
Source: https://cybersecuritynews.com/cisa-removal-of-edge-devices/
Share this content: