CamSA18-14: សេចក្តីណែនាំបច្ចេកទេសសម្រាប់អភិបាលគ្រប់គ្រងណេតវើកដើម្បីការពារប្រឆាំងទៅនឹងការវាយប្រហារនាពេលថ្មីៗចំពោះណេតវើក

1. ព័ត៌មានទូទៅ

ក្រុមឆ្លើយតបបញ្ហាបន្ទាន់ US-CERT បានបញ្ចេញសេចក្តីណែនាំ​ (TA18-106A) ពាក់ព័ន្ទទៅនឹងការគំរាមគំហែងមានគោលដៅទៅលើឧបករណ៍បណ្តាញ​ (network infrastructure devices) ។ នៅក្នុងសេចក្តីណែនាំនោះមានបង្ហាញអំពីយុទ្ធសាស្ត្រមួយចំនួនសម្រាប់បុគ្គលពាក់ព័ន្ធដើម្បីធ្វើការកំណត់អត្តសញ្ញាណ និងកាត់បន្ថយនូវការវាយប្រហារពីសកម្មភាពមិនប្រក្រតីមួយចំនួន។

ឧក្រិដ្ឋជនអាចធ្វើការវាយលុកទៅលើឧបករណ៍ណេតវើក ដោយមិនត្រូវការនូវចំនុចខ្សោយ Zero-day ឬបញ្ចូលមេរោគទៅក្នុងឧបករណ៍នោះឡើយ ដោយគ្រាន់តែវាយលុកទៅឧករណ៍ទាំងឡាយណាដែល៖

• មាននូវ legacy unencrypted protocols ឬក៏ unauthenticated services,
• មិនមានការពង្រឹងសន្តិសុខគ្រប់គ្រាន់​ មុនពេលដែលតម្លើង
• មិនមានការគាំទ្របច្ចេកទេសបន្តទៀត​ (security patches) ពីអ្នកផលិត (end-of-life devices)

២. ផលិតផដែលប៉ៈពាល់

ឧបករណ៍ដែលប្រើប្រាស់នូវ Protocols ដូចខាងក្រោមគឺមានផលប៉ៈពាល់

• Generic Routing Encapsulation (GRE)
• Cisco Smart Install (SMI)
• Simple Network Management Protocol (SNMP)

៣. ផលប៉ៈពាល់

ឧក្រិដ្ឋជនដែលវាយលុកបានជោគជ័យទៅលើចំណុចខ្សោយអាចៈ

• ទាញយកនូវ device configurations
• គូសវាសនូវប្លង់បណ្តាញផ្ទៃក្នុងទាំងមូល (internal network architectures)
• ជ្រៀតចូលដូចជាអ្នកមានសិទ្ធអនុញ្ញាត
• ធ្វើការកែប្រែ modify device firmware, operating systems និង configurations
• ធ្វើការចំលង ឬបង្វែរចរាចរទិន្នន័យរបស់ជនរងគ្រោះទៅកាន់កន្លែងផ្សេង

៤​. ការណែនាំ

អភិបាលគ្រប់គ្រងប្រព័ន្ធគួរតែធ្វើការត្រួតពិនិត្យទៅលើកំណត់ត្រាឧបករណ៍ណេតវើក (network device logs) និងទិន្នន័យនៅក្នុង NetFlow សម្រាប់ស្វែងរកនូវ

• TCP Telnet-protocol traffic ចំពោះ port 23 រាល់ឧបករណ៍ណេតវើកទាំងអស់
• UDP SNMP traffic directed ចំពោះ port 161/162 រាល់ឧបករណ៍ណេតវើកទាំងអស់
• TCP SMI protocol traffic ចំពោះ port 4786 រាល់ឧបករណ៍ណេតវើកទាំងអស់

អភិបាលគ្រប់គ្រងគួរតែធ្វើការត្រួតពិនិត្យ​ (inspect) នូវវត្តមាននៃចរាចរដែលឆ្លងកាត់ទៅ/មក អាស័យដ្ឋានអាយភីមិនច្បាស់លាស់ ឬក៏វត្តមាននៃ GRE tunnel ដែលអ្នកមិនអាចពន្យល់បាន, ការកែប្រែ ឬលប់ចោលនូវ log files  ។

ខាងក្រោមនេះគឺជាការអនុវត្តល្អៗសម្រាប់អភិបាលគ្រប់គ្រងណេតវើកដើម្បីអនុវត្តនៅក្នុងអង្គភាពអ្នកៈ

• មិនត្រូវអនុញ្ញាតឲ្យ unencrypted (i.e., plaintext) management protocols (e.g. Telnet) ចូលទៅក្នុងប្រព័ន្ធរបស់អ្នកមកពីអ៊ិនធឺណិតឡើយ​ បើសិនជាមិនចាំបាច់។ នៅពេលដែលយើងមិនអាចប្រើប្រាស់ protocol ដូចជា SSH, HTTPS  ឬ TLS,  អ្នកគួរតែប្រើប្រាស់នូវ Virtual Private Network (VPN)
• មិនត្រូវអនុញ្ញាតឲ្យមានអាក់សេសអ៊ិនធឺណិតពីកាន់ឧបករណ៍ណេតវើកនោះឡើយ ។ ការអនុវត្តន៍ដ៏ល្អនោះគឺធ្វើការ ប្លុកការអាក់សេសពីអ៊ិនធឺណិត ប៉ុន្តែបើកឲ្យមានការអាក់សេសពីខាងក្នុង (internal trusted ) និងបញ្ជី whiteliested host ឬក៏ LAN ជាដើម។ បើសិនជាមិនអាចធ្វើទៅបានចំពោះបណ្តាញខាងក្នុង គួរតែធ្វើការ restrict ចំពោះ remote access តាមរយៈ  encrypted VPN
• បិទមិនឲ្យដំណើរការចំពោះ protocols ដែលមិនមានការ encrypted  មានដូចជា Telnet និង SNMPV1 ឬ V2c បើសិនជាមិនចាំបាច់។ សូមព្យាយាមប្រើប្រាស់ protocols​ ថ្មីៗមានដូចជា  SSH និង SNMPV3 ជាដើម
• ធ្វើការផ្លាស់ប្តូរពាក្យសម្ងាត់ដែលភ្ជាប់មកជាមួយឧបករណ៍ (default password) ហើយដាក់ពាក្យសម្ងាត់ខ្លាំង។ មិនត្រូវប្រើប្រាស់ពាក្យសម្ងាត់ដដែលៗចំពោះឧករណ៍ទាំងអស់នោះទេ។ បើសិនជាអាចសូមធ្វើការប្រើប្រាស់ two-factor authenticaiton (2FA)
• សូមធ្វើការអាប់ដេត security patches ទៅលើឧបករណ៍ណេតវើក
• ឧបករណ៍ណេតវើកគួរតែត្រូវបានរៀបចំឲ្យធ្វើការបញ្ជូន configuration data ដើម្បីធ្វើការផ្ញើរទៅកាន់ទីតាំងដែលមានសុវត្ថិភាពនៅក្នុង LAN
• សូមធ្វើការផ្ទៀងផ្ទាត់ទៅលើ firmware និង​ OS នៅលើឧបករណ៍បណ្តាញគឺមកពីប្រភពច្បាស់លាស់ និងចេញដោយអ្នកផលិត (manufacturer)
• សូមធ្វើការ configure network devices ជាមុនសិន មុនពេលដាក់ដំណើរការទៅក្នុងអ៊ិនធឺណិត។ បើសិនជា SMI ត្រូវបានប្រើប្រាស់ក្នុងពេលតម្លើង (installation) សូមធ្វើការបិទមុខងារ SMI  នេះ ដោយប្រើប្រាស់ពាក្យបញ្ជា “no vstack”  ជាមុនសិន មុនពេលដាក់ឧបករណ៍នោះទៅក្នុងដំណើរការ
• ហាមឧបករណ៍ដែលភ្ជាប់មកពីចម្ងាយដែលធ្វើការព្យាយាមឆ្លងកាត់ព្រំដែនណេតវើក (network boundary) តាមរយៈ port 4786 តាមរយៈ SMI
• ហាមមិនឲ្យមានត្រាហ្វិកណេតវើកចេញទៅក្រៅតាមរយៈ UDP port 69 តាមរយៈ TFTP.
• ធ្វើការផ្ទៀងផ្ទាត់ routing tables configured ទាំងអស់ ថាតើត្រូវបានកំណត់ត្រឹមត្រូវដែរឬទេ
• ធ្វើការផ្ទៀងផ្ទាត់ថាតើ​ រាល់ GRE tunnels ដែលបានបង្កើតទាំងអស់គឺត្រឹមត្រូវ

សូមធ្វើការពិនិត្យបន្ថែមទៅលើបច្ចេកទេសលំអិតនៅទីនេះ

៥. ព័ត៌មានពាក់ព័ន្ធ

https://www.us-cert.gov/ncas/alerts/TA18-106A

https://www.camcert.gov.kh/camsa18-11-smart-install-cisco-vulnerability/