โรงงานอาวุธนิวเคลียร์ของสหรัฐฯ ถูกบุกรุกผ่านช่องโหว่ของ SharePoint

 (csoonline.com)
1 คะแนน โดย GN⁺ 2025-10-22 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • ช่องโหว่ด้านความปลอดภัยของ SharePoint ทำให้แฮกเกอร์ต่างชาติ สามารถเจาะเข้าโรงงานอาวุธนิวเคลียร์ของสหรัฐฯ
  • เหตุการณ์นี้สะท้อนให้เห็นความเสี่ยงที่มีผลต่อสภาพแวดล้อมการปฏิบัติการ เช่น ระบบควบคุมการรับรองคุณภาพ (QA) และ ระบบ SCADA แสดงว่าปัญหาไม่ได้เป็นเพียงเรื่อง IT อย่างเดียว
  • ความไม่สอดคล้องกันของความปลอดภัย IT และ OT โดดเด่นเป็นประเด็นสำคัญในหน่วยงานรัฐบาลกลางทั้งหมด
  • รัฐบาลสหพันธ์สหรัฐฯ ได้พัฒนากลยุทธ์ Zero Trust สำหรับเครือข่าย IT แบบดั้งเดิมมาแล้ว แต่การประยุกต์ใช้กับ OT ยังช้าอยู่
  • กระทรวงกลาโหมสหรัฐฯ กำลังขับเคลื่อนการพัฒนาโซลูชันควบคุม Zero Trust สำหรับ OT และคาดว่าระบบความปลอดภัยแบบบูรณาการที่ครอบคลุม IT และ OT จะเกิดขึ้นในเวลาใกล้

ช่องโหว่ SharePoint และการบุกรุกโรงงานอาวุธนิวเคลียร์ของสหรัฐฯ

  • มีเหตุการณ์ที่ แฮกเกอร์ต่างประเทศเข้าถึงโรงงานอาวุธนิวเคลียร์ของสหรัฐฯ โดยอาศัยข้อบกพร่องของ SharePoint
  • ผู้เชี่ยวชาญ Sovada ระบุว่าการเข้าถึงดังกล่าวอาจส่งผลต่อ ระบบควบคุมการกระจายที่ดูแลการรับรองคุณภาพ หรือ ระบบ SCADA ที่รับผิดชอบการควบคุมไฟฟ้าและสิ่งแวดล้อมด้วย
  • เหตุการณ์นี้ชี้ให้เห็นว่ามันไม่ใช่เพียง ช่องโหว่ด้าน IT เท่านั้น

ความไม่สมดุลระหว่าง IT/OT และความปลอดภัยแบบ Zero Trust

  • เหตุการณ์ที่แคนซัสซิตี้ตอกย้ำให้เห็นปัญหาเชิงโครงสร้างที่เกิดจาก ความไม่สอดคล้องกันระหว่างแนวปฏิบัติด้านความปลอดภัย IT และ OT ในหน่วยงานรัฐบาลกลางทั้งหมด
  • รัฐบาลกลางสหรัฐฯ กำลังเร่งพัฒนา เส้นทางสู่ Zero Trust สำหรับเครือข่าย IT แบบดั้งเดิม
  • แต่ในสภาพแวดล้อมการปฏิบัติการ (OT) การสร้างกรอบความปลอดภัยที่คล้ายคลึงกันยังดำเนินไปอย่างช้ากว่า
  • ขณะเดียวกัน การพัฒนากรอบความปลอดภัยด้าน เทคโนโลยีการปฏิบัติการ (OT) ก็เริ่มมีความคืบหน้า

ความพยายามบูรณาการความปลอดภัย IT และ OT

  • Sovada ระบุว่ามี เครื่องมือการจัดการด้าน IT สำหรับ Zero Trust, การแบ่งส่วนเครือข่าย และการยืนยันตัวตน/การบริหารตัวตน ในรูปแบบแดชบอร์ดอยู่แล้ว
  • กระทรวงกลาโหมสหรัฐฯ กำลังพัฒนาแดชบอร์ดเพื่อรองรับ การนำ Zero Trust ไปใช้ใน OT
  • เป้าหมายสุดท้ายคือการรวมแนวทางการจัดการ Zero Trust ของ IT และ OT ให้เป็นหนึ่งเดียว เพื่อขับเคลื่อนความปลอดภัยที่ครอบคลุมสำหรับเครือข่ายทุกประเภท

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2025-10-22
ความคิดเห็นจาก Hacker News

  • สิ่งหนึ่งที่ฉันมักทำทันทีเมื่อมีข้อเสนองานเข้ามาคือเช็กบันทึก MX ของโดเมนอีเมลบริษัทนั้น เพราะเป็นทางลัดตรวจสอบได้ในหนึ่งวินาทีว่าบริษัทนั้นเป็น Microsoft-based หรือไม่
    ถ้าเป็น Microsoft นี่เป็นสัญญาณเตือนใหญ่สำหรับฉัน แม้จะมาจากประสบการณ์ส่วนตัว แต่หลังทำงานมากว่า 20 ปี ฉันสังเกตว่าบริษัทที่ใช้ MSFT-based IT stack ส่วนใหญ่มีแนวโน้มมีวัฒนธรรมวิศวกรรมที่ฉันไม่ชอบ
    การใช้เฉพาะ Outlook, SharePoint, Teams อย่างเดียวไม่ได้หมายความว่าบริษัทนั้นเลวทั้งบริษัท แต่เป็นสัญญาณที่อาจชี้ได้ดีว่ามีความเสี่ยงเรื่องวัฒนธรรมเทคนิค จึงฉันยังใช้วิธีนี้อยู่
    อาจฟังดูไม่สุภาพกับวิศวกรสาย Microsoft ฉันขอโทษครับ ปัญหาอยู่ที่ตัวฉันเอง

    • พูดตรง ๆ คือถ้าคิดแบบนี้ตัวเองก็ดูเหมือนพนักงานที่มีปัญหา
      บริษัทที่ไม่ใช้ Microsoft ส่วนใหญ่ใช้ Google และประสบการณ์ของฉันคือ มันกลับอาจแย่กว่า
      จากการทำงานกับคนที่ไม่ชอบ Microsoft พวกเขามักเป็นประเภทที่ไม่ใช้เครื่องมือที่องค์กรเลือก ทำให้ทีมติดขัดเสมอ
      (เพิ่มเติม: ไม่รู้ว่าทำไมคะแนนโพสต์เก่าถึงตกลงมาแบบกะทันหัน)

    • ถ้าบริษัทออก MacBook ให้พนักงาน มันเป็นสัญญาณดีสำหรับฉัน แต่ถ้าออก Windows laptop ให้ฉันจะมองลบ
      บริษัทที่ดีที่สุดที่ฉันเคยทำงานให้เคยมี MacBook และ Linux desktop เป็นอุปกรณ์พื้นฐานให้กับ software engineer ทุกคน

    • เห็นด้วยโดยสิ้นเชิง ทำงานทั้งสองสภาพแวดล้อมมาแล้ว ตอนนี้ในสภาพแวดล้อม MS ฉันไม่อยากกลับไปทำงานอีกถ้าเงินเดือนไม่ได้ระดับ 7 หลัก (หลักล้าน)

    • ฉันรู้สึกว่าบริษัทที่ให้ความเคารพแรงงานต่ำ (เช่น การใช้วีซ่า H1B แบบไม่เหมาะสม) มักสัมพันธ์กับการใช้ MS environment
      อยู่ที่แคลิฟอร์เนียแล้วความเคารพต่อคนท้องถิ่นและคนงานแทบไม่เหลือ
      บรรยากาศเช่นนี้ยังทำให้การทำงานของสหภาพแรงงานและกลไกรัฐถูกสั่นคลอนอย่างรวดเร็วได้

    • สิ่งแบบนี้เลวร้ายมาก
      มันสร้างความเชื่อว่าซอฟต์แวร์กับคอมพิวเตอร์ไม่น่าให้ความสำคัญ และน่าจะกระทบคนที่สร้างซอฟต์แวร์ด้วย

  • เวลามีเรื่องแบบนี้มักมีคนพูดว่า Microsoft แย่จัง แต่ไม่ค่อยมีใครคิดว่ามีเหตุผลด้านธุรกิจหนุนไว้
    จะบอกให้เลิกใช้ Exchange ใช่ไหม ทางเลือกคืออะไรรองรับได้ตั้งแต่ 15 คนถึง 15 แสนคนหรือเปล่า? ฉันเคยดูแล Exchange cluster ที่มีผู้ใช้ 70,000 คน
    มีซอฟต์แวร์เมลตัวไหนแทนระบบพร้อม redundancy แบบ non-shared disk และ single endpoint ที่เข้าถึงจากทางเดียวได้บ้าง
    SharePoint โดน RCE เพิ่มอีกสองจุดอีกแล้วหรือ? ก็ไม่น่าเซอร์ไพรส์ ซอฟต์แวร์ตัวนี้ไม่โดดเด่นนัก
    แต่ถึงอย่างนั้นมันรับรองโหลดสูงได้ดี โปรแกรมโอเพ่นซอร์สหลายตัวทำงานได้ดีในสเกลเล็ก แต่สเกลใหญ่มักไม่ค่อยคงที่
    ผมเข้าใจว่าพัฒนาส่วนใหญ่ของโอเพ่นซอร์สไม่ค่อยอยากรับโปรดักต์เชิงระบบพิเศษแบบนี้ที่ต้องทำงานร่วมกับผู้ใช้ที่ไม่ค่อยคุ้นคอมพิวเตอร์
    และซอฟต์แวร์ของ Microsoft ก็ยังมีการรองรับ backward compatibility พอสมควร บริษัทหลายแห่งมีไฟล์ legacy สะสมยาวเป็นสิบปี โดยเฉพาะ resume และไฟล์ Excel ที่มี macro
    แม้อาจกระทบด้าน security ในระดับ Registry แต่ไฟล์ macro Excel ปี 1997 ยังรันได้ ผมเชื่อว่าหา office product ที่เทียบเท่า MS Office ได้ค่อนข้างยาก
    สรุปแล้ว Microsoft มีลักษณะปัญหาแบบปมกอร์ดิอุส และโดยทางแก้คงเป็น “หยุดยึดติดกับ backward compatibility แล้วอัปเกรดทั้งหมด”
    ระหว่างนั้นบริษัทเคยให้ติดต่อให้แก้โซลูชันที่สร้างด้วย Exchange Web Services อีกครั้ง Microsoft ปิด Exchange Web Services ใน Office 365 แล้วขอให้เปลี่ยนไปใช้ GraphAPI

    • Exchange เป็นแกนสำคัญของ Microsoft เช่นเดียวกับที่ Microsoft สร้างแนวกันชนด้วย Exchange ในแบบเดียวกับ Windows
      คำถามคือ ทำไมหลายบริษัทเลือก ecosystem ของ Microsoft ทั้งชุด โดยเฉพาะเว็บเทคโนโลยีที่ทำได้ไม่ดี และ SharePoint ก็เป็นจุดที่แย่สุด
      อย่างไรก็ตาม ยังมีตัวอย่างการติดตั้งระบบเมลขนาดใหญ่ด้วย Postfix/Dovecot อยู่มากพอสมควร
      ตัวอย่างประสบการณ์ตั้งค่าเมลเซิร์ฟเวอร์ขนาดใหญ่

    • พูดถึง SharePoint ว่ามี RCE อีกครั้งว่าจะว่าอันนี้เป็น software แย่หรือไม่
      ในที่สุดมันก็เป็นเครื่องมือแชร์ไฟล์เหมือน ๆ กัน (แต่ผมยังไม่เคยใช้งานจริง)
      Samba หรือ FTP server ก็รับโหลดใหญ่ได้ดี ผมคิดว่าปัญหาอาจเป็นเรื่อง UI มากกว่า

    • สนใจว่าจะเห็นว่าโรงงานอาวุธสมัยก่อนทำงานยังไงโดยไม่ต้องมีระบบพวกนี้

    • ฉันสงสัยว่ามีองค์กรไหนที่ต้องสนับสนุน Exchange server ให้ถึง 150,000 คนจริง ๆ
      ในโรงงานผลิตทั่วไปขนาดนั้นแทบไม่มี

    • นักพัฒนาโอเพ่นซอร์สมักไม่ค่อยอยากรับ software แบบเฉพาะทางนี้ที่ต้องสื่อสารกับผู้ใช้ที่ไม่ค่อยเชี่ยวชาญคอมพิวเตอร์
      รัฐบาลสหรัฐเคยสามารถจ้างนักพัฒนาโอเพ่นซอร์สให้สร้างซอฟต์แวร์เพื่อประโยชน์สาธารณะได้
      ในสมัยโอบามา สหรัฐตั้งหน่วยงาน 18F ขึ้นและทำซอฟต์แวร์ที่มีประโยชน์จริงให้ประชาชน
      โครงการที่เป็นปัญหามายาวนานอย่างระบบยื่นภาษียังทำได้ดี แต่ทรัมป์ยกเลิกหน่วยงานนี้หลังเข้ารับตำแหน่งสมัยที่สอง
      (อ้างอิง: ประวัติศาสตร์และคุณค่าของ 18F, Lawfare: บทเรียนจากมรดก 18F)

  • ฉันยังไม่เข้าใจว่าทำไมโครงสร้างพื้นฐานสำคัญของชาติถึงติดตั้ง SharePoint
    เป็นไปได้อย่างไรว่านำ SharePoint เข้ามาใช้ในสถานที่ที่เกี่ยวข้องกับข้อมูลสำคัญระดับสูง?
    รวมถึง MS Office 365, Teams, Edge อีกด้วย
    ควรรีดีไซน์นโยบายความปลอดภัยทันที

    • ข่าวไม่ดีสำหรับสถานการณ์นี้

    • อยากรู้ว่ามีโซลูชันทางเลือกแนะนำไหม

    • ได้ยินว่ามีคนเคยเก็บเอกสารลับระดับสำคัญในห้องน้ำสาธารณะรีสอร์ท

    • แต่ก็ทำแล้วใช้ได้ฟรีหมดนี่นา! /ล้อเล่น

  • เคยมีประสบการณ์ทำให้ระบบแจ้งเตือนล่มด้วย Excel
    (จริง ๆ แล้วเกี่ยวกับผลข้างเคลื่อนไม่ตั้งใจมากกว่าเรื่อง MSFT โดยตรง)
    ฉันดูแลระบบแจ้งเตือน และใช้การค้นหาคีย์เวิร์ด alert_log จาก log
    สร้าง spreadsheet ใน Excel เพื่อเก็บข้อมูล และตั้งชื่อ sheet หนึ่งว่า alert_log
    ใช้ Excel cloud เวอร์ชัน จึงทำให้ข้อความที่พิมพ์เข้าทั้งหมดผ่าน firewall
    ใน firewall log จึงมีข้อความ alert_log
    ระบบแจ้งเตือนจึงคิดว่ามีคีย์นี้อยู่จริงและ trigger แจ้งเตือนต่อเนื่อง
    การแจ้งเตือนครั้งต่อมาจึงใส่ข้อมูล firewall log ซ้ำ กลายเป็น infinite loop
    ระบบต่าง ๆ ทำงานตอบสนองกันแบบไม่ได้ตั้งใจและอาจเกิดเหตุการณ์ไม่คาดคิดได้
    นี่จึงเป็นตัวอย่างว่าต้องเน้นแนวทางหลายชั้น เช่น audit, red team และ defense in depth

    • ในฐานะวิศวกร firewall ฉันแนะนำให้ปิดการสร้าง log เมื่อ export firewall traffic logs ไปยัง syslog เพื่อหลีกเลี่ยงปัญหานี้

  • SharePoint คือซอฟต์แวร์ที่แย่ที่สุดและมีบั๊กมากที่สุดที่ฉันเคยใช้
    มีบั๊กเมื่อเชื่อมกับ SolidWorks (3D design tool) ที่ไฟล์ไฟล์กะทันหันเปิดไม่ได้อยู่เป็นเวลาหลายปี
    Microsoft รู้เรื่องนี้และแทบไม่เห็นเหตุผลที่แก้ไม่ได้ แต่ยังปล่อยไว้นานหลายปี
    cloud storage ของ Microsoft ดูเหมือนเขาวงกต ไม่รู้เลยว่าไฟล์อยู่ตรงไหนและยังทำงานอยู่หรือไม่
    ฟีเจอร์บางตัวใช้ได้ใน browser บางตัวใช้ได้เฉพาะแอป และไม่มีรายการจัดกลุ่มชัดเจน
    เลยเชื่อว่ามีช่องโหว่อีกมากที่ยังเปิดได้อีกมาก

    • ใช้ผลิตภัณฑ์ Microsoft โดยเฉพาะ cloud แล้วเจอ bug, error และความหน่วงแบบหลายชั้นบ่อยมาก
      ช่วงนี้ผมพยายามตั้งค่า DKIM สำหรับส่งเมลจาก subdomain ใหม่ใน 365 และการค้นหาเมนู DKIM ก็ตามไม่เจอ
      สุดท้ายพบว่าคีย์ DKIM สำหรับอีเมล subdomain ก็ต้องผูกกับ root domain เช่นกัน
      ใช้ได้ไม่ค่อยมีประสิทธิภาพเลย

    • ตอนนี้กำลังทำโปรเจกต์ที่ได้สัญญากับภาครัฐและถูกกดดันให้ย้ายจาก Slack ไป MS Teams ทั้งหมด
      ไม่ได้ใช้ผลิตภัณฑ์ Microsoft มาสองทศวรรษ ทำให้รู้ว่าภาคเอกชนใหญ่และหน่วยงานรัฐมีความอดทนต่อความเจ็บปวดด้าน UX สูงมาก

    • เรา sync ไฟล์เข้า SharePoint ที่โฮสต์โดย Microsoft ด้วย rsync
      สำหรับไฟล์ประเภท Microsoft (เช่น Excel) เมื่อไฟล์มาถึง metadata ภายในจะเปลี่ยนและ checksum ต่างกัน ทำให้ rsync เห็นว่ามีการเปลี่ยนแปลงและต้อง sync ใหม่ซ้ำ

    • MS Word online มีบั๊กลบข้อความมาเกิน 2 ปีบน Firefox Linux (อาจมีบน OS อื่นด้วย)
      หน้าที่หลักของ text editor คือต้องเขียนเนื้อหาในเอกสาร แต่ตรงนี้ไม่ทำและบั๊กก็ไม่ถูกแก้
      กลับดู Overleaf แบบชำระเงินและสอนคนไม่เชี่ยวชาญเรื่อง LaTeX หรือตัว editor ในตัวแล้วดูเหมือนดีกว่า
      เอาท์พุตเอกสารสวยงามและทำงานต่อเนื่องไม่สะดุด ทำให้พอใจมาก
      แม้เป็นลูกค้า business 365 ที่จ่ายเงิน แต่ผมรู้สึกว่า Microsoft ให้ความสำคัญผิดไป
      คำถาม-ตอบอย่างเป็นทางการเรื่องข้อความหายใน MS Word เวอร์ชันเว็บ

    • MS services อย่าง SharePoint ที่อยู่ภายในองค์กรสำคัญกลับดูเหมือนปัญหาที่ถูกมองข้าม

  • ถ้า SharePoint ไม่ดีขนาดนั้น ทำไมไม่พบเหตุล้มเหลวในเชิงทุจริตขนาดใหญ่?
    ฉันทำงานกับองค์กร Fortune 500 หลายเจ้า และรู้สึกว่ากว่า 90% ใช้ SharePoint
    แม้ว่าการออกแบบติดตั้งจะแตกต่างกันมาก แต่ทำได้ดีก็ยังใช้งานได้ค่อนข้างดี
    แม้จะมีทางเลือกที่ดีกว่าอยู่ก็ตาม การดูแลสินค้า vendor หลายตัว 5-10 รายกลับยุ่งยากกว่า
    และฉันไม่เข้าใจว่าคนยังไม่ชอบ Teams เพราะเหตุผลอะไร
    ผมใช้ Zoom, Slack, Discord และอื่น ๆ แต่ Teams ก็ใช้ได้ครบงาน ตั้งแต่ตารางประชุม การประชุม บันทึกเสียง ไปจนถึงการใช้ Copilot
    Discord มีจุดเด่นตรงแชร์หน้าจอหลายจอและเข้าร่วมช่องทางได้เสรีในงาน debug/pair programming แต่ Teams ก็ครอบคลุมความต้องการพื้นฐานทั้งหมด

    • ผู้ใช้ SharePoint ส่วนใหญ่มักเปิดไว้เฉพาะระบบภายใน
      เมื่อ MS ผลักดัน SharePoint รุ่นใหม่แบบ SaaS บน o365 (Office 365) มันกลายเป็นการเปิดสู่ internet โดยตรงแทนที่จะเป็นภายใน
      แต่ Microsoft รับผิดชอบการ patching และ WAF รวมถึงการจัดการความปลอดภัยอื่น ๆ แทน

  • ในฐานะบริษัทที่ดูแลระบบ OT ฉันมักสับสนทุกครั้งที่เห็นสิทธิ์เขียนตรงจาก Level 5 ของ Purdue model ไปยัง Level 1/0
    (เพิ่มเติม) ข้อมูลเพิ่มเติมเรื่อง Purdue model ดูได้ที่ ลิงก์นี้

  • เหตุการณ์นี้ทำให้ฉันนึกถึง ส่วน MSSQL ของ howfuckedismydatabase.com

    • MSSQL เป็นหนึ่งในผลิตภัณฑ์ของ Microsoft ที่ฉันคิดว่าดีมาก
      ลักษณะเฉพาะ (Oracle ก็แบบเดียวกัน) คือฟีเจอร์และเสถียรภาพดีมาก

  • (แชร์ลิงก์เหตุการณ์ความปลอดภัยล่าสุดที่เกี่ยวข้องกับ CVE-2025-53770)

  • คนที่นำข้อมูลโรงงานนิวเคลียร์ฟิชชันไปเผยแพร่สู่ internet ควรติดคุก

    • ความจริงแล้วไม่ใช่โรงงานนิวเคลียร์ฟิชชัน แต่เป็นโรงงานผลิตชิ้นส่วนหลักสำหรับอาวุธนิวเคลียร์ของสหรัฐ
      ตามรายงานข่าว ระบุว่าเป้าหมายคือระบบ IT และระบบจริงอาจถูกแยกเป็น air-gapped จากเครือข่ายภายนอก
      อย่างไรก็ดี โรงงานที่มีข้อมูลการผลิตละเอียดอ่อนก็ยังไม่สามารถตัดการเชื่อมต่อกับโลกภายนอกได้ทั้งหมด
      คนที่ทำงานที่นั่นก็ยังต้องการสิ่งจำเป็นอย่างอาหาร เครื่องใช้สำนักงาน กระดาษชำระ ฯลฯ ดังนั้นต้องมีการเชื่อมต่อกับภายนอกอยู่บ้าง