ข้อบกพร่อง DHCP เปิดทางแฮกเกอร์ ป่วนระบบไอทีองค์กร

ข้อบกพร่อง DHCP เปิดทางแฮกเกอร์ ป่วนระบบไอทีองค์กร

นับวันเหล่าบรรดาแฮกเกอร์ก็ได้คิดค้นเทคนิคใหม่ๆ เพื่อแสวงหาผลประโยชน์จากเหยื่อในรูปแบบที่ไม่ซ้ำเดิม อีกทั้งยังสามารถต่อยอดการพัฒนาจากระบบป้องกันที่องค์กรต่างๆ ใช้งานอยู่ในปัจจุบันเพื่อหลบเลี่ยงการตรวจจับและเจาะเข้าระบบโดยที่เหยื่อไม่รู้ตัว

อย่างในวันนี้ มีเทคนิคใหม่อย่าง TunnelVision ซึ่งใช้ประโยชน์จาก CVE-2024-3661 ซึ่งเป็นข้อบกพร่องในการออกแบบ DHCP โดยที่ข้อความจะไม่ได้รับการรับรองความถูกต้องส่งผลให้ข้อความเหล่านี้ถูกกำหนดเส้นทางใหม่เพื่อเลี่ยงการรับส่งข้อมูลของ VPN

จากนั้นแฮกเกอร์ก็จะจัดการวงจรของเส้นทางการรับส่งข้อมูลและเปลี่ยนเส้นทางไปยัง local network ที่ไม่น่าเชื่อถือ

สำหรับผู้ใช้ VPN ที่คาดหวังให้ VPN ปกป้องระบบบนเครือข่ายที่ไม่น่าเชื่อถือเพื่อรักษาความปลอดภัยก็มีความเสี่ยงที่จะถูกโจมตีเหมือนกับว่าผู้ใช้งานไม่ได้ใช้ VPN เลย เพราะระบบนี้ไม่เกี่ยวข้องกับ VPN หรือโปรโตคอลพื้นฐาน จึงทำให้สามารถทำงานได้อย่างสมบูรณ์และเป็นอิสระจากผู้ให้บริการ VPN

แต่ที่น่าสนใจไปกว่านั้นระบบของเหยื่อจะยังคงบ่งชี้ว่าการเชื่อมต่อ VPN ที่ปลอดภัยนั้นทำงานอยู่อย่างต่อเนื่องซึ่งทำให้ผู้ใช้หรือเจ้าหน้าที่ไอทีเข้าใจผิดในการตรวจสอบบันทึกเกี่ยวกับมาตรการรักษาความปลอดภัย และลักษณะการลักลอบแบบนี้ทำให้การโจมตีอันตรายมากยิ่งขึ้น เนื่องจากผู้ใช้เชื่อว่าการสื่อสารของพวกเขาปลอดภัยซึ่งนี่จะเป็นการเปิดช่องโหว่ให้แฮกเกอร์เข้าโจมตีแบบไม่มีการขัดขวางเลย

จึงอาจกล่าวได้ว่า การโจมตีกำหนดเป้าหมายกลไกการกำหนดเส้นทาง IP พื้นฐานผ่าน DHCP ไม่ขึ้นอยู่กับเทคโนโลยี VPN หรือผู้ให้บริการโดยตรง ซึ่งตีความได้ว่าระบบ VPN ที่ใช้การกำหนดเส้นทาง IP ส่วนใหญ่อาจเสี่ยงต่อการโจมตีนี้ได้

ดังนั้นเพื่อเป็นการป้องกัน TunnelVision ทีมรักษาความปลอดภัยควรอัพเดทซอฟต์แวร์ VPN เป็นประจำเพื่อแก้ไขช่องโหว่ต่างๆ หลีกเลี่ยงการใช้เครือข่าย Wi-Fi สาธารณะทุกครั้งที่เป็นไปได้ และเปิดใช้งานคุณสมบัติ kill-switch ในไคลเอนต์ VPN เพื่อป้องกันการรั่วไหลของการรับส่งข้อมูล

เราจะเห็นได้ว่า การโจมตีที่มุ่งเป้า (target attack) เพิ่มมากขึ้นอย่างต่อเนื่อง โดยเฉพาะ VPN gateway อย่าง Firewall, SSL VPN gateway และยังไม่มีวิธีปกป้องได้อย่าง 100% แต่อย่างไรก็ดี บรรดาเจ้าของผลิตภัณฑ์รักษาความปลอดภัยทางไซเบอร์ที่มีช่องโหว่ก็มีการอัพเดทแพช (patch) ออกมาเรื่อยๆ

ดังนั้นผู้บริหารทางด้านไซเบอร์ซีเคียวริตี้ขององค์กรที่ใช้ VPN ต้องให้ความสำคัญหมั่นดูแลระบบให้มีความปลอดภัยอยู่เสมอหรือติดต่อเจ้าของผลิตภัณฑ์รักษาความปลอดภัยที่องค์กรใช้งาน VPN gateway อยู่

โดยการอัพเดท ตรวจสอบและตรวจตราระบบเครือข่ายภายใน (Network Detection and Response หรือ NDR) ระบบเตือนภัยต่างๆ เพื่อแจ้งเตือนเมื่อมี traffic ที่ไม่ประสงค์ดีเข้ามาก่อกวนระบบได้อย่างทันถ่วงที

ต้องอย่าลืมว่าแฮกเกอร์พยายามเจาะระบบและทำการแรนซัมแวร์เพื่อขัดขวางการทำงานของผู้ใช้งานอยู่ตลอดเวลาครับ