สรุปสั้น

นักวิจัยจาก บริษัท Claroty บริษัทด้านความปลอดภัยระบบ cyber-physical ค้นพบช่องโหว่หลายรายการในผลิตภัณฑ์ HVAC และ UPS สองตัวที่ใช้แพร่หลายใน data center พร้อมสาธิตให้เห็นว่าผู้โจมตีสามารถ exploit ช่องโหว่เหล่านี้เพื่อโจมตีก่อกวนการทำงานจากระยะไกลได้ ทีมวิจัยพุ่งเป้าไปที่การ์ดเครือข่าย (network card) ที่ทำหน้าที่เป็น interface ให้กับอุปกรณ์ UPS ของ บริษัท Vertiv ซึ่ง UPS ถูกใช้อย่างหนักใน data center เพื่อรักษาการทำงานเมื่อไฟดับ ป้องกันระบบจากไฟกระชากและไฟตก รวมถึงช่วยปิดระบบอย่างปลอดภัย โดยพบว่าการ์ดเครือข่ายของ Vertiv ที่ให้ web interface แบบดีฟอลต์มีช่องโหว่สองตัวคือ authentication bypass และ remote code execution ซึ่งการ chain สองช่องโหว่เข้าด้วยกันเปิดทางให้ผู้โจมตีเข้าถึง UPS จากระยะไกลและรันโค้ดใดก็ได้ ก่อให้เกิดการก่อกวนการทำงานอย่างมีนัยสำคัญ นอกจากนี้ Claroty ยังวิเคราะห์ HVAC controller รุ่น Trane Tracer SC+ และพบช่องโหว่หลายตัวเช่นกัน

รายละเอียดข่าว

เว็บไซต์ SecurityWeek รายงานเมื่อวันที่ 10 มิถุนายน พ.ศ. 2569 ว่า บริษัท Claroty ได้วิเคราะห์ความปลอดภัยของ Trane Tracer SC+ ซึ่งเป็น HVAC controller ที่ใช้กันอย่างกว้างขวางใน data center และสภาพแวดล้อมสำคัญอื่นๆ ทั่วโลก และค้นพบช่องโหว่หลายรายการ รวมถึง authentication bypass, remote code execution, denial-of-service และการเปิดเผยข้อมูลอ่อนไหว โดย Claroty ระบุว่าช่องโหว่เหล่านี้ exploit ได้ง่ายมาก และหากถูกนำไปใช้เป็นอาวุธจะเปิดทางให้ทำ unauthenticated RCE และเปิดเผยข้อมูลอ่อนไหวจำนวนมาก ในทางปฏิบัติหมายความว่าผู้โจมตีสามารถควบคุมระบบบริหารจัดการอาคาร (building management system) สำคัญได้อย่างสมบูรณ์จากภายนอก ทีมวิจัยอธิบายว่าสิ่งที่ทำให้ช่องโหว่เหล่านี้น่ากังวลเป็นพิเศษคือบริบทการใช้งาน เพราะใน data center ขนาดใหญ่ อุปกรณ์คอมพิวเตอร์แทบทั้งหมดต้องพึ่งพา UPS เพื่อให้ทำงานต่อเนื่องเมื่อเกิดปัญหาด้านไฟฟ้า ความอ่อนแอใดๆ ในโมดูลการสื่อสารของ UPS จึงส่งผลกระทบโดยตรงต่อเครื่องที่มันปกป้อง Claroty ได้รายงานสิ่งที่ค้นพบไปยัง Trane และ Vertiv และทำงานร่วมกับทั้งสองบริษัทเพื่อออกแพตช์แก้ไขช่องโหว่แล้ว

รายละเอียดช่องโหว่

จุดที่ทำให้ช่องโหว่กลุ่มนี้อันตรายเป็นพิเศษคือเป้าหมายที่เป็นโครงสร้างพื้นฐานทางกายภาพของ data center ไม่ใช่เซิร์ฟเวอร์โดยตรง สำหรับ UPS ของ Vertiv ผู้โจมตีต้อง chain ช่องโหว่ authentication bypass เข้ากับ RCE คือใช้ตัวแรกเพื่อข้ามการยืนยันตัวตนเข้าสู่ web interface แล้วใช้ตัวที่สองรันโค้ดบนการ์ดเครือข่าย เมื่อควบคุม UPS ได้ ผู้โจมตีสามารถสั่งตัดไฟ ก่อให้เกิดไฟกระชาก หรือขัดขวางการปิดระบบอย่างปลอดภัย ซึ่งกระทบกับเครื่องทั้งหมดที่ UPS ปกป้องโดยตรง ส่วน HVAC controller Trane Tracer SC+ นั้น เมื่อถูกยึดผู้โจมตีสามารถควบคุมระบบทำความเย็นของ data center ได้ Claroty เตือนว่าเซิร์ฟเวอร์ใน data center ผลิตความร้อนมหาศาล และการที่ HVAC ล้มเหลวไม่ใช่แค่เรื่องความสะดวกสบาย แต่สามารถทำให้เกิด thermal shutdown สร้างความเสียหายต่อฮาร์ดแวร์ราคาแพง ก่อให้เกิดการหยุดชะงักของบริการครั้งใหญ่ และนำไปสู่ความเสียหายมูลค่าหลายล้านดอลลาร์ ช่องโหว่ทั้งสองชุดสะท้อนความเสี่ยงของอุปกรณ์ OT/ICS ที่มักถูกมองข้ามด้านความปลอดภัยทั้งที่เป็นหัวใจของความต่อเนื่องในการให้บริการ

ผลกระทบต่อไทย

ประเทศไทยกำลังเป็นศูนย์กลางการลงทุน data center ที่เติบโตเร็วในภูมิภาคอาเซียน โดยมีผู้ให้บริการคลาวด์และ data center รายใหญ่ทั้งในและต่างประเทศตั้งฐานในไทยจำนวนมาก อุปกรณ์ UPS ของ Vertiv และระบบ HVAC จากผู้ผลิตรายใหญ่อย่าง Trane เป็นอุปกรณ์มาตรฐานที่พบได้ทั่วไปในศูนย์ข้อมูลและอาคารสำคัญของไทย ช่องโหว่ที่เปิดให้ยึดระบบไฟฟ้าและระบบทำความเย็นได้จากระยะไกลโดยไม่ต้องยืนยันตัวตน จึงเป็นภัยคุกคามโดยตรงต่อความต่อเนื่องของบริการดิจิทัลในไทย โดยเฉพาะในยุคที่ data center รองรับทั้งระบบธนาคาร ภาครัฐ และบริการ AI ที่ใช้พลังงานสูง ความเสี่ยงนี้ยังเตือนให้องค์กรไทยตระหนักว่าอุปกรณ์ OT ในห้องเซิร์ฟเวอร์และอาคาร เช่น UPS, HVAC, ระบบควบคุมอาคาร ต้องถูกนับรวมในขอบเขตการรักษาความปลอดภัยไซเบอร์ ไม่ใช่แยกเป็นเรื่องของฝ่ายอาคารสถานที่เพียงอย่างเดียว

คำแนะนำ

ตรวจสอบและติดตั้งแพตช์ที่ Vertiv และ Trane ออกมาแก้ไขช่องโหว่ในการ์ดเครือข่าย UPS และ HVAC controller Tracer SC+ ทันที แยกเครือข่ายของระบบ OT/ICS เช่น UPS, HVAC และ building management system ออกจากเครือข่าย IT ทั่วไปและจากอินเทอร์เน็ตด้วย network segmentation อย่างเข้มงวด ห้ามเปิด web interface ของอุปกรณ์เหล่านี้ให้เข้าถึงได้จากภายนอกโดยตรง เปลี่ยนรหัสผ่านดีฟอลต์และปิด service ที่ไม่จำเป็น ติดตั้งการเฝ้าระวัง (monitoring) เฉพาะสำหรับเครือข่าย OT เพื่อตรวจจับการเข้าถึงและคำสั่งที่ผิดปกติ จัดทำแผนรับมือกรณีระบบไฟฟ้าหรือระบบทำความเย็นถูกโจมตี และนำอุปกรณ์โครงสร้างพื้นฐานทางกายภาพเข้าสู่กระบวนการบริหารจัดการช่องโหว่ (vulnerability management) เช่นเดียวกับระบบ IT

แหล่งอ้างอิง