มาตรวัดระดับอัตโนมัติ ที่ใช้ในโครงสร้างพื้นฐานที่สำคัญเต็มไปด้วยช่องโหว่ที่สำคัญ

338/67 (IT) ประจำวันพฤหัสบดีที่ 26 กันยายน 2567

บริษัท Bitsight ได้ค้นพบช่องโหว่ร้ายแรงในผลิตภัณฑ์หลายชนิดของ “ระบบวัดระดับถังเชื้อเพลิงอัตโนมัติ (Automatic Tank Gauge – ATG)” ซึ่งถูกนำมาใช้ในหลายภาคส่วนของหน่วยงานโครงสร้างพื้นฐานสำคัญ เช่น ฐานทัพทหาร โรงพยาบาล สนามบิน และโรงไฟฟ้า แม้ว่าจะมีการเตือนภัยเรื่องการโจมตีผ่านระบบ ATG มานานเกือบทศวรรษ แต่รายงานการวิเคราะห์ล่าสุดในปีนี้ โดย Bitsight พบว่าสถานการณ์ยังไม่ดีขึ้น ระบบ ATG ใช้ในการตรวจสอบปริมาณ แรงดัน และอุณหภูมิในถังเก็บเชื้อเพลิง โดยเฉพาะในสถานีบริการน้ำมัน ยังถูกใช้งานในหน่วยงานที่มีความสำคัญต่อความมั่นคงของประเทศ

Bitsight ได้วิเคราะห์ ATG จำนวน 6 ระบบจากผู้ผลิต 5 ราย และพบช่องโหว่ รวมทั้งหมด 10 รายการ โดยมี 7 ช่องโหว่ เป็นระดับร้ายแรง เช่น การข้ามการยืนยันตัวตน การใช้รหัสผ่านที่ตั้งค่าไว้ล่วงหน้า การรันคำสั่งในระบบปฏิบัติการ และการโจมตีแบบ SQL injection ช่องโหว่อื่น ๆ ที่มีความรุนแรงสูงรวมถึงการโจมตีแบบ XSS การยกระดับสิทธิ์ และการอ่านไฟล์ที่ไม่ได้รับอนุญาต โดยช่องโหว่เหล่านี้ เปิดโอกาสให้แฮกเกอร์สามารถเข้าถึงสิทธิ์การจัดการระดับผู้ดูแลระบบ หรือแม้แต่ควบคุมระบบปฏิบัติการได้ทั้งหมด ซึ่งอาจทำให้เกิดความเสียหายร้ายแรง เช่น การหยุดการทำงานของอุปกรณ์หรือทำลายอุปกรณ์ได้จริง นอกจากนี้ Bitsight ยังเตือนว่าผู้โจมตีอาจทำให้เกิดการรั่วไหลของเชื้อเพลิง โดยการปรับเปลี่ยนค่าพารามิเตอร์ที่สำคัญ เช่น ขนาดและความจุของถัง หรือการปิดใช้งานระบบเตือนภัยทั้งแบบอัตโนมัติและแบบควบคุมด้วยตนเอง    

การโจมตีอาจทำให้เกิดความเสียหายทางกายภาพต่ออุปกรณ์หรือส่วนประกอบที่เชื่อมต่อได้ โดย Bitsight ได้แสดงให้เห็นว่าแฮกเกอร์สามารถเข้าถึงระบบและควบคุมรีเลย์ให้ทำงานด้วยความเร็วสูง จนทำให้เกิดความเสียหายต่ออุปกรณ์ นอกจากนี้ Bitsight ยังระบุถึงความเสี่ยงในการที่แฮกเกอร์สามารถตรวจสอบยอดขายของสถานีบริการน้ำมัน เพื่อหาข้อมูลเชิงการเงิน หรือลบข้อมูลในถังก่อนที่จะขโมยเชื้อเพลิงอย่างเงียบ ๆ การโจมตีดังกล่าวยังมีแนวโน้มเพิ่มขึ้นในหลายพื้นที่ และจากการสำรวจพบว่าระบบ ATG ที่มีช่องโหว่ยังคงถูกใช้งานอยู่เป็นจำนวนมากในสหรัฐอเมริกาและยุโรป รวมถึงในสนามบิน หน่วยงานรัฐบาล โรงงาน และระบบสาธารณูปโภค แม้ผู้ผลิตจะได้รับแจ้งผ่านหน่วยงานด้านความปลอดภัยทางไซเบอร์ของสหรัฐฯ (CISA)แล้ว  แต่ยังไม่มีข้อมูลว่ามีผู้ผลิตรายใดได้ดำเนินการแก้ไขไปแล้วบ้าง

แหล่งข่าว https://www.securityweek.com/automatic-tank-gauges-used-in-critical-infrastructure-plagued-by-critical-vulnerabilities/