ក្រុមហ៊ុនបច្ចេកវិទ្យាអាឡឺម៉ង់ Bosch បានដោះស្រាយបញ្ហាភាពងាយរងគ្រោះដែលប៉ះពាល់ដល់ទែម៉ូម៉ែត្រឆ្លាតវៃ (Smart Thermostats) កាលពីខែតុលា បើយោងតាមការបង្ហាញពីក្រុមហ៊ុននៅសប្តាហ៍នេះ។អ្នកស្រាវជ្រាវនៅក្រុមហ៊ុន Bitdefender បានបង្ហើបប្រាប់ពីបញ្ហារបស់ Bosch BCC100 Thermostats កាលពីខែសីហា បានអនុញ្ញាតឱ្យហេគឃ័រដែលនៅក្នុងបណ្តាញណិតវើកតែមួយអាចធ្វើការ Replace នូវ Device Firmware ជាមួយនឹងជំនាន់របស់មេរោគ។ លោក Bogdan Botezatu នាយកផ្នែកស្រាវជ្រាវនៃការគំរាមកំហែងបានរាយការណ៍ទៅ Bitdefender ពី Recorded Future News ថាហេគឃ័រអាចប្រើភាពងាយរងគ្រោះ CVE-2023-49722 ដើម្បីធ្វើឱ្យឧបករណ៍មិនអាចដំណើរការបាន។
លោក Botezatu បានបន្តថា ដោយការជំនួសមកវិញនូវ Firmware ហេគឃ័រអាចធ្វើការរារាំងឧបករណ៍រក្សាសីតុណ្ហភាពពីការបញ្ជា (Booting Up) ជាហេតុធ្វើឱ្យឧបករណ៍មិនអាចដំណើរការ (Useless)។ ខណៈពេលឧបករណ៍រក្សាសីតុណ្ហភាព (Thermostat) នៅភ្ជួរលើជញ្ជាំង អ្នកប្រើប្រាស់មិនអាចផ្លាស់ប្តូរសីតុណ្ហភាព និងបញ្ជាដំណើរការបានទេ។ ជាងនេះ ហេគឃ័រក៏អាចដាក់បញ្ចូលមេរោគ Backdoor ជាមួយនឹងប្រព័ន្ធដំណើរការដើម (Original) របស់ឧបករណ៍រក្សាសីតុណ្ហភាព ដើម្បីអាចភ្ជាប់ទៅកាន់ណិតវើកពីខាងក្រៅបាន (Outside)។ ករណីកាន់តែអាក្រក់ជាងនេះទៀតគឺអនុញ្ញាតឱ្យហេគឃ័រជំនួស Firmware ដើមជាមួយនឹងការចែកចាយ Linux របស់ពួកគេ និងប្រើប្រាស់មូលដ្ឋានដែលទើបទទួលបានថ្មីនេះចូលទៅក្នុងណិតវើក ដើម្បីចរាចរជាជំនួយដល់ឧបករណ៍ផ្សេងៗទៀតជាដើម។
អ្នកនាំពាក្យរបស់ក្រុមហ៊ុន Bosch បានបញ្ជាក់ថា ក្រុមហ៊ុន Bitdefender បានកត់សម្គាល់ពីបញ្ហាកាលពីចុងខែសីហា។ ពួកគេបានថ្លែងថា បញ្ហាប៉ះពាល់ដល់ឧបករណ៍រក្សាសីតុណ្ហភាព Bosch Home Comfort តែមួយគត់ដែលលក់នៅសហរដ្ឋអាមេរិក និងកាណាដា។ អ្នកអាចទិញឧបករណ៍នេះនៅលើគេហទំព័រ Amazon ក្នុងតម្លៃ ១២៥ដុល្លារ។ ក្រុមហ៊ុនបានចំណាយពេលជាច្រើនសប្តាហ៍ដើម្បីស្វែងរកដំណោះស្រាយ និងដើម្បីប្រាកដថាបញ្ហាកើតមានចំពោះតែឧបករណ៍រក្សាសីតុណ្ហភាពតែមួយនេះ។ បញ្ហាត្រូវបានចាត់ចូលក្នុង CVSS Severity Score 8.3។ អ្នកនាំពាក្យបានថ្លែងថា កាលពីពាក់កណ្តាលខែតុលា កម្មវិធីអាប់ដេត ត្រូវបានបញ្ជូនទៅកាន់អតិថិជនដែលរងផលប៉ះពាល់ទាំងអស់។ នៅក្នុងរបាយការណ៍កាលពីថ្ងៃព្រហស្បតិ៍ របស់ក្រុមហ៊ុន Bitdefender បានឱ្យដឹងដែរថា អ្នកស្រាវជ្រាវពួកគេបានចាប់ផ្តើមត្រួតពិនិត្យ (Audit) ឧបករណ៍ឧបករណ៍ប្រើប្រាស់អ៊ីនធឺណិត (Internet of Things (IoT) Hardware) និងឧបករណ៍រក្សាសីតុណ្ហភាពឆ្លាតវៃជាពិសេស ដោយសារតែអតិថិជនជាច្រើនកំពុងតែចាប់អារម្មណ៍លើវាសម្រាប់រក្សាប្រសិទ្ធភាពថាមពល និងនិរន្តរភាពបរិសា្ថន។ ឧបករណ៍រក្សាសីតុណ្ហភាពឆ្លាតវៃក៏ប៉ះពាល់ដល់ការអភិរក្សថាមពល និងការសន្សំសំចៃនៅពេលដែលតម្លៃថាមពលកាន់តែកើនឡើងជាងធម្មតានោះ។
អ្នកស្រាវជ្រាវបានរកឃើញថា ឧបករណ៍រក្សាសីតុណ្ហភាពមាន WiFi Chip ដែលអាចទំនាក់ទំនងជាមួយអ៊ីនធឺណិត។ ឧបករណ៍នេះមិនអាចបែងចែករវាងសារបន្លំ និងពិតបានទេ ដែលជាបញ្ហាបណ្តាលឱ្យហេគឃ័រអាចផ្ញើ Command ទៅកាន់ឧបករណ៍រក្សាសីតុណ្ហភាព ដែលរួមមានការអាប់ដេតអាក្រក់ទៅលើឧបករណ៍ថែមទៀតផង។ នៅពេលសួរថា តើហេគឃ័រប្រភេទណានឹងវាយប្រហារលើភាពងាយរងគ្រោះប្រភេទនេះ លោក Botezatu បានពន្យល់ថា បញ្ហានេះគឺងាយនឹងកេងចំណេញណាស់។ គាត់បានបន្តថា បញ្ហានេះងាយស្រួលគ្រប់គ្រាន់ក្នុងការកេងចំណេញ ងាយនឹងរងផលប៉ះពាល់បំផុត។ ហេគឃ័រអាចទាញយកប្រយោជន៍ពីបញ្ហានេះដើម្បីបង្ហាញពីសមត្ថភាពរបស់ពួកគេ។ ជាងនេះ ហេគឃ័រក៏អាចប្រើបញ្ហានេះដើម្បីរក្សាវត្តមាននៅក្នុងបណ្តាញណិតវើក និងប្រើឧបករណ៍រក្សាសីតុណ្ហភាពជាមូលដ្ឋានទៅកាន់បណ្តាញណិតវើកដែលគួរឱ្យចាប់អារម្មណ៍ផ្សេង (NAS [Network Attached Storage], Cameras)។ក្រុមហ៊ុន Bitdefender បានព្រមានថា ជាទូទៅ អ្នកប្រើប្រាស់គួរតែត្រួតពិនិត្យលើឧបករណ៍ IoT ឱ្យបានជាប់លាប់ និងកាត់ផ្តាច់ពួកវាចេញពី Local Network ប្រសិនបើអាចធ្វើបាន៕
https://therecord.media/vulnerability-smart-thermostats-bosch-patch
ប្រភពព័ត៌មាន៖ ថ្ងៃទី១៣ ខែមករា ឆ្នាំ២០២៤
