September 19, 2020

Language:

CamSA18-14: សេចក្តីណែនាំបច្ចេកទេសសម្រាប់អភិបាលគ្រប់គ្រងណេតវើកដើម្បីការពារប្រឆាំងទៅនឹងការវាយប្រហារនាពេលថ្មីៗចំពោះណេតវើក

1. ព័ត៌មានទូទៅ

ក្រុមឆ្លើយតបបញ្ហាបន្ទាន់ US-CERT បានបញ្ចេញសេចក្តីណែនាំ​ (TA18-106A) ពាក់ព័ន្ទទៅនឹងការគំរាមគំហែងមានគោលដៅទៅលើឧបករណ៍បណ្តាញ​ (network infrastructure devices) ។ នៅក្នុងសេចក្តីណែនាំនោះមានបង្ហាញអំពីយុទ្ធសាស្ត្រមួយចំនួនសម្រាប់បុគ្គលពាក់ព័ន្ធដើម្បីធ្វើការកំណត់អត្តសញ្ញាណ និងកាត់បន្ថយនូវការវាយប្រហារពីសកម្មភាពមិនប្រក្រតីមួយចំនួន។

ឧក្រិដ្ឋជនអាចធ្វើការវាយលុកទៅលើឧបករណ៍ណេតវើក ដោយមិនត្រូវការនូវចំនុចខ្សោយ Zero-day ឬបញ្ចូលមេរោគទៅក្នុងឧបករណ៍នោះឡើយ ដោយគ្រាន់តែវាយលុកទៅឧករណ៍ទាំងឡាយណាដែល៖

  • មាននូវ legacy unencrypted protocols ឬក៏ unauthenticated services,
  • មិនមានការពង្រឹងសន្តិសុខគ្រប់គ្រាន់​ មុនពេលដែលតម្លើង
  • មិនមានការគាំទ្របច្ចេកទេសបន្តទៀត​ (security patches) ពីអ្នកផលិត (end-of-life devices)

២. ផលិតផដែលប៉ៈពាល់

ឧបករណ៍ដែលប្រើប្រាស់នូវ Protocols ដូចខាងក្រោមគឺមានផលប៉ៈពាល់

  • Generic Routing Encapsulation (GRE)
  • Cisco Smart Install (SMI)
  • Simple Network Management Protocol (SNMP)

៣. ផលប៉ៈពាល់

ឧក្រិដ្ឋជនដែលវាយលុកបានជោគជ័យទៅលើចំណុចខ្សោយអាចៈ

  • ទាញយកនូវ device configurations
  • គូសវាសនូវប្លង់បណ្តាញផ្ទៃក្នុងទាំងមូល (internal network architectures)
  • ជ្រៀតចូលដូចជាអ្នកមានសិទ្ធអនុញ្ញាត
  • ធ្វើការកែប្រែ modify device firmware, operating systems និង configurations
  • ធ្វើការចំលង ឬបង្វែរចរាចរទិន្នន័យរបស់ជនរងគ្រោះទៅកាន់កន្លែងផ្សេង

៤​. ការណែនាំ

អភិបាលគ្រប់គ្រងប្រព័ន្ធគួរតែធ្វើការត្រួតពិនិត្យទៅលើកំណត់ត្រាឧបករណ៍ណេតវើក (network device logs) និងទិន្នន័យនៅក្នុង NetFlow សម្រាប់ស្វែងរកនូវ

  • TCP Telnet-protocol traffic ចំពោះ port 23 រាល់ឧបករណ៍ណេតវើកទាំងអស់
  • UDP SNMP traffic directed ចំពោះ port 161/162 រាល់ឧបករណ៍ណេតវើកទាំងអស់
  • TCP SMI protocol traffic ចំពោះ port 4786 រាល់ឧបករណ៍ណេតវើកទាំងអស់

អភិបាលគ្រប់គ្រងគួរតែធ្វើការត្រួតពិនិត្យ​ (inspect) នូវវត្តមាននៃចរាចរដែលឆ្លងកាត់ទៅ/មក អាស័យដ្ឋានអាយភីមិនច្បាស់លាស់ ឬក៏វត្តមាននៃ GRE tunnel ដែលអ្នកមិនអាចពន្យល់បាន, ការកែប្រែ ឬលប់ចោលនូវ log files  ។

ខាងក្រោមនេះគឺជាការអនុវត្តល្អៗសម្រាប់អភិបាលគ្រប់គ្រងណេតវើកដើម្បីអនុវត្តនៅក្នុងអង្គភាពអ្នកៈ

  • មិនត្រូវអនុញ្ញាតឲ្យ unencrypted (i.e., plaintext) management protocols (e.g. Telnet) ចូលទៅក្នុងប្រព័ន្ធរបស់អ្នកមកពីអ៊ិនធឺណិតឡើយ​ បើសិនជាមិនចាំបាច់។ នៅពេលដែលយើងមិនអាចប្រើប្រាស់ protocol ដូចជា SSH, HTTPS  ឬ TLS,  អ្នកគួរតែប្រើប្រាស់នូវ Virtual Private Network (VPN)
  • មិនត្រូវអនុញ្ញាតឲ្យមានអាក់សេសអ៊ិនធឺណិតពីកាន់ឧបករណ៍ណេតវើកនោះឡើយ ។ ការអនុវត្តន៍ដ៏ល្អនោះគឺធ្វើការ ប្លុកការអាក់សេសពីអ៊ិនធឺណិត ប៉ុន្តែបើកឲ្យមានការអាក់សេសពីខាងក្នុង (internal trusted ) និងបញ្ជី whiteliested host ឬក៏ LAN ជាដើម។ បើសិនជាមិនអាចធ្វើទៅបានចំពោះបណ្តាញខាងក្នុង គួរតែធ្វើការ restrict ចំពោះ remote access តាមរយៈ  encrypted VPN
  • បិទមិនឲ្យដំណើរការចំពោះ protocols ដែលមិនមានការ encrypted  មានដូចជា Telnet និង SNMPV1 ឬ V2c បើសិនជាមិនចាំបាច់។ សូមព្យាយាមប្រើប្រាស់ protocols​ ថ្មីៗមានដូចជា  SSH និង SNMPV3 ជាដើម
  • ធ្វើការផ្លាស់ប្តូរពាក្យសម្ងាត់ដែលភ្ជាប់មកជាមួយឧបករណ៍ (default password) ហើយដាក់ពាក្យសម្ងាត់ខ្លាំង។ មិនត្រូវប្រើប្រាស់ពាក្យសម្ងាត់ដដែលៗចំពោះឧករណ៍ទាំងអស់នោះទេ។ បើសិនជាអាចសូមធ្វើការប្រើប្រាស់ two-factor authenticaiton (2FA)
  • សូមធ្វើការអាប់ដេត security patches ទៅលើឧបករណ៍ណេតវើក
  • ឧបករណ៍ណេតវើកគួរតែត្រូវបានរៀបចំឲ្យធ្វើការបញ្ជូន configuration data ដើម្បីធ្វើការផ្ញើរទៅកាន់ទីតាំងដែលមានសុវត្ថិភាពនៅក្នុង LAN
  • សូមធ្វើការផ្ទៀងផ្ទាត់ទៅលើ firmware និង​ OS នៅលើឧបករណ៍បណ្តាញគឺមកពីប្រភពច្បាស់លាស់ និងចេញដោយអ្នកផលិត (manufacturer)
  • សូមធ្វើការ configure network devices ជាមុនសិន មុនពេលដាក់ដំណើរការទៅក្នុងអ៊ិនធឺណិត។ បើសិនជា SMI ត្រូវបានប្រើប្រាស់ក្នុងពេលតម្លើង (installation) សូមធ្វើការបិទមុខងារ SMI  នេះ ដោយប្រើប្រាស់ពាក្យបញ្ជា “no vstack”  ជាមុនសិន មុនពេលដាក់ឧបករណ៍នោះទៅក្នុងដំណើរការ
  • ហាមឧបករណ៍ដែលភ្ជាប់មកពីចម្ងាយដែលធ្វើការព្យាយាមឆ្លងកាត់ព្រំដែនណេតវើក (network boundary) តាមរយៈ port 4786 តាមរយៈ SMI
  • ហាមមិនឲ្យមានត្រាហ្វិកណេតវើកចេញទៅក្រៅតាមរយៈ UDP port 69 តាមរយៈ TFTP.
  • ធ្វើការផ្ទៀងផ្ទាត់ routing tables configured ទាំងអស់ ថាតើត្រូវបានកំណត់ត្រឹមត្រូវដែរឬទេ
  • ធ្វើការផ្ទៀងផ្ទាត់ថាតើ​ រាល់ GRE tunnels ដែលបានបង្កើតទាំងអស់គឺត្រឹមត្រូវ

សូមធ្វើការពិនិត្យបន្ថែមទៅលើបច្ចេកទេសលំអិតនៅទីនេះ

៥. ព័ត៌មានពាក់ព័ន្ធ

https://www.us-cert.gov/ncas/alerts/TA18-106A

https://www.camcert.gov.kh/camsa18-11-smart-install-cisco-vulnerability/

***Disclaimer: CamCERT own some of the content. Our purpose is pure to help spread the awareness, tips or other information related to security to everyone. Even though every information is true, accurate, completed and appropriate, we make no responsibility nor warranty since everything could go wrong.