เจาะลึกช่องโหว่ระบบไฟ-ระบบแอร์ (UPS & HVAC) ภัยเงียบที่อาจทำ Data Center ทั่วโลกรวมถึงไทยล่มได้ในพริบตา

ในการบริหารจัดการศูนย์ข้อมูล (Data Center) หรือห้องมั่นคงปลอดภัยทางคอมพิวเตอร์ (Server Room) สิ่งที่คนส่วนใหญ่มักจะนึกถึงเป็นอันดับแรกๆ คือการป้องกันการแฮกเกอร์โจมตีไปที่ตัวเซิร์ฟเวอร์, ระบบฐานข้อมูล หรือแอปพลิเคชันโดยตรง แต่รายงานล่าสุดจากบริษัทความปลอดภัยไซเบอร์ระดับโลกชี้ให้เห็นว่า ระบบโครงสร้างพื้นฐานกายภาพ (Physical Infrastructure) อย่างระบบสำรองไฟฟ้า และระบบทำความเย็น ก็กำลังกลายเป็นเป้าหมายใหม่ที่อันตรายไม่แพ้กัน

เกิดอะไรขึ้น? นักวิจัยพบช่องโหว่ร้ายแรงบนสองแบรนด์ยักษ์ใหญ่

นักวิจัยจากบริษัท Claroty ซึ่งเป็นผู้เชี่ยวชาญด้านความปลอดภัยของระบบ Cyber-Physical Systems ได้ค้นพบช่องโหว่ความปลอดภัยระดับร้ายแรงในอุปกรณ์สนับสนุนการทำงานของศูนย์ข้อมูล 2 ชนิด ที่มีการติดตั้งใช้งานอย่างแพร่หลายทั่วโลก:
    1.    การ์ดเครือข่ายสำหรับเครื่องสำรองไฟฟ้า (UPS) แบรนด์ Vertiv
        o    ลักษณะของอุปกรณ์: ใน UPS ระดับองค์กร (Enterprise) หรือขนาดกลางสำหรับสำนักงาน (SMB) ด้านหลังเครื่องจะมีช่องสล็อตที่สามารถซื้อ "การ์ดจัดการเครือข่าย (Network Management Card)" มาเสียบเพิ่มเพื่อให้มี พอร์ต LAN (RJ-45) ได้ พอร์ตนี้มีไว้เพื่อให้ทีมไอทีสามารถรีโมทเข้ามามอนิเตอร์สถานะไฟฟ้า แบตเตอรี่ อุณหภูมิ และที่สำคัญที่สุดคือใช้ส่งสัญญาณสั่งปิดเซิร์ฟเวอร์อย่างปลอดภัย (Graceful Shutdown) เมื่อเกิดไฟดับเป็นเวลานานเพื่อป้องกันข้อมูลเสียหาย
        o    ช่องโหว่ที่พบ: พบข้อบกพร่องร้ายแรง 2 รายการร่วมกัน คือ ช่องโหว่การข้ามระบบยืนยันตัวตน (Authentication Bypass) และช่องโหว่การรันโค้ดจากระยะไกล (Remote Code Execution - RCE)
        o    ผลกระทบ: แฮกเกอร์สามารถเจาะผ่านหน้าเว็บอินเทอร์เฟซของการ์ด LAN นี้เพื่อเข้ายึดสิทธิ์ควบคุม UPS จากระยะไกลได้ทันที ซึ่งอาจส่งผลให้แฮกเกอร์สั่งตัดการจ่ายกระแสไฟไปยังเซิร์ฟเวอร์วิกฤตทั้งหมดที่ UPS ตัวนั้นดูแลอยู่
    2.    ระบบควบคุมเครื่องปรับอากาศ (HVAC Controller) แบรนด์ Trane (รุ่น Tracer SC+)
        o    ลักษณะของอุปกรณ์: เป็นกล่องควบคุมอัจฉริยะที่ใช้บริหารจัดการระบบทำความเย็นและความชื้นภายในอาคารและศูนย์ข้อมูล
        o    ช่องโหว่ที่พบ: พบช่องโหว่หลายรายการ เช่น การข้ามระบบยืนยันตัวตน, การรันโค้ดจากระยะไกล (RCE), และการโจมตีให้ระบบหยุดทำงาน (Denial of Service - DoS)
        o    ผลกระทบ: เนื่องจากเซิร์ฟเวอร์ใน Data Center ปล่อยความร้อนมหาศาลตลอดเวลา การแฮกเข้าระบบคุมแอร์ (Building Management System - BMS) เพื่อสั่งปิดระบบทำความเย็น จะทำให้เกิดภาวะความร้อนเกินพิกัดในเวลาอันรวดเร็ว ส่งผลให้ฮาร์ดแวร์พังเสียหาย หรือระบบเซิร์ฟเวอร์ต้องเปิดฟังก์ชันปิดตัวเองอัตโนมัติหนีความร้อน (Thermal Shutdown) นำไปสู่ความสูญเสียทางธุรกิจมูลค่ามหาศาล

ความสำคัญของ Log ในมุมมองการตรวจจับ

จากภัยคุกคามข้างต้น รวมถึงปัญหาภัยไซเบอร์ทั่วไป สิ่งที่เป็นเสมือน "ไดอารี่" บันทึกร่องรอยการโจมตีก็คือ Network Log ที่อุปกรณ์ทุกชิ้น (เราเตอร์, ไฟร์วอลล์, เซิร์ฟเวอร์ รวมถึงการ์ด LAN ของ UPS เหลานี้) จดบันทึกเอาไว้ ทว่า "แค่เก็บข้อมูล Log ไว้เฉยๆ นั้นยังไม่พอ"

ในความเป็นจริง ปริมาณ Log ที่มหาศาลเป็นล้านๆ บรรทัดต่อวันทำให้มนุษย์ไม่สามารถนั่งไล่ดูด้วยมือได้ องค์กรจึงจำเป็นต้องพึ่งพาระบบ SIEM (Security Information and Event Management) มาช่วยรวบรวมข้อมูลให้อยู่ในมาตรฐานเดียวกัน (Normalization) และหาความเชื่อมโยงของพฤติกรรมผิดปกติ (Correlation) เช่น หากพบข้อมูลใน Log ว่ามีการพยายามรีโมทเข้าหน้าเว็บของการ์ดแลน UPS ถี่ผิดปกติในเวลาเที่ยงคืน ระบบจะสามารถปักธงแจ้งเตือน (Alert) ได้ทันท่วงทีก่อนที่ความเสียหายจะเกิดขึ้น

นอกจากเรื่องความปลอดภัยแล้ว ข้อมูล Log เหล่านี้ในสภาพแวดล้อมองค์กรยังสามารถนำไปต่อยอดได้อีกมากมาย เช่น:
    •    Capacity Planning: นำ Log มาวิเคราะห์เพื่อวางแผนสั่งซื้อลิงก์อินเทอร์เน็ตหรืออัปเกรดระบบล่วงหน้า
    •    Cost Optimization: ตรวจหาเซิร์ฟเวอร์ที่เปิดทิ้งไว้แต่ไม่มีการใช้งาน (Zombie VMs) เพื่อสั่งปิดและประหยัดค่าใช้จ่าย
    •    Productivity & UX: ตรวจสอบพฤติกรรมพนักงานว่าแอบใช้แอปพลิเคชันนอกเหนือมาตรฐานบริษัท (Shadow IT) หรือไม่ หรือระบบใช้งานยากจนมีการล็อกอินล้มเหลวบ่อยเกินไปหรือไม่

สแกนสถานการณ์ในประเทศไทย: น่ากังวลแค่ไหน?

หากหันกลับมามองที่ตลาดประเทศไทย แบรนด์ Vertiv (หรือในอดีตคือ Emerson Network Power) ถือเป็นผู้เล่นระดับท็อปในกลุ่มโครงสร้างพื้นฐาน Data Center ของไทย ปริมาณการใช้งาน UPS แบรนด์นี้จึงมีอยู่เป็นจำนวนมหาศาลและกระจัดกระจายอยู่ในกลุ่มธุรกิจวิกฤต เช่น:
    •    Hyperscale & Colocation Data Center: ศูนย์ฝากตู้แร็คและดาต้าเซ็นเตอร์ของผู้ให้บริการโทรคมนาคมรายใหญ่ในไทย
    •    ภาคธนาคารและโรงพยาบาล: ห้อง Server Room ของธนาคารที่ต้องรันระบบโมบายแบงก์กิ้ง 24 ชั่วโมง หรือห้องควบคุมเครื่องมือแพทย์ในโรงพยาบาลใหญ่ๆ
    •    โรงงานอุตสาหกรรม: ห้องควบคุมสายการผลิตอัตโนมัติในเขตพื้นที่ EEC

ระดับความเสี่ยงในไทย: แม้ว่าในทางปฏิบัติ เจ้าหน้าที่ไอทีในไทยส่วนใหญ่จะติดตั้งอุปกรณ์เหล่านี้ไว้ใน เครือข่ายภายใน (Internal LAN) ไม่ได้เปิด Public IP ออกสู่สายตาคนนอกบนอินเทอร์เน็ตโดยตรง ซึ่งช่วยลดความเสี่ยงจากการถูกแฮกเกอร์ทั่วโลกสแกนเจอได้ระดับหนึ่ง

แต่ความเสี่ยงที่แท้จริงจะเกิดขึ้นทันทีหากเกิดกรณี การโจมตีจากภายใน (Insider Threat) หรือกรณีที่แฮกเกอร์แอบเจาะผ่านช่องทางอื่นเข้ามาฝังตัวในวงเน็ตเวิร์กของบริษัทได้สำเร็จ (Lateral Movement) แฮกเกอร์จะสามารถใช้ช่องโหว่ RCE ตามข่าวนี้ สแกนหาการ์ด LAN ของ UPS หรือแอร์ และทำการยึดสิทธิ์เพื่อสั่งปิดระบบสร้างความเสียหายทางกายภาพทันที

บทสรุปและแนวทางแก้ไข

ขณะนี้ ทั้งผู้ผลิตอย่าง Vertiv และ Trane ได้รับทราบข้อมูลและได้ออกแพตช์ (Patch) เพื่อปิดช่องโหว่เหล่านี้เป็นที่เรียบร้อยแล้ว

คำแนะนำเร่งด่วนสำหรับผู้ดูแลระบบและวิศวกรโครงสร้างพื้นฐานในไทย คือการเร่งอัปเดตเฟิร์มแวร์ของการ์ดเครือข่ายให้เป็นเวอร์ชันล่าสุด ควบคู่ไปกับการทำ Network Segmentation เพื่อแยกวงเครือข่ายฝั่งอุปกรณ์กายภาพ (OT/Management) ออกจากวงเครือข่ายคอมพิวเตอร์ทั่วไปของพนักงานอย่างเด็ดขาด เพื่อไม่ให้ช่องโหว่บนพอร์ต LAN เหล่านี้กลายเป็นประตูเปิดรับแฮกเกอร์เข้ามาปิดไฟหรือปิดแอร์ในห้องเซิร์ฟเวอร์ขององค์กรครับ

Reference : Critical HVAC and UPS Vulnerabilities Could Let Hackers Disrupt Data Centers