CISA เตือนภัย! ช่องโหว่ร้ายแรงในกล้อง Survision LPR เสี่ยงถูกยึดระบบโดยไม่ต้องล็อกอิน
วันนี้มีเรื่องเล่าที่คนทำงานด้านความปลอดภัยไซเบอร์ต้องฟังให้ดี เพราะ CISA (Cybersecurity and Infrastructure Security Agency) ได้ออกประกาศเตือนถึงช่องโหว่ระดับ “วิกฤต” ในกล้องวงจรปิดอัจฉริยะ Survision LPR (License Plate Recognition) ที่ใช้กันแพร่หลายในระบบจราจรและการจัดการที่จอดรถทั่วโลก
ช่องโหว่นี้มีรหัส CVE-2025-12108 และได้คะแนน CVSS สูงถึง 9.8 ซึ่งหมายถึง “อันตรายขั้นสุด” เพราะมันเปิดช่องให้ผู้ไม่หวังดีสามารถเข้าถึงระบบได้ “โดยไม่ต้องล็อกอิน” หรือยืนยันตัวตนใดๆ ทั้งสิ้น!
กล้อง Survision LPR มีระบบตั้งค่าผ่าน wizard ที่ “ไม่บังคับให้ใส่รหัสผ่าน” โดยค่าเริ่มต้น ทำให้ใครก็ตามที่เข้าถึงระบบสามารถปรับแต่งการทำงานของกล้องได้ทันที ไม่ว่าจะเป็นการเปลี่ยนการตั้งค่าเครือข่าย การจัดเก็บข้อมูล หรือแม้แต่การควบคุมการทำงานของกล้องทั้งหมด
CISA ระบุว่า ช่องโหว่นี้เข้าข่าย CWE-306: Missing Authentication for Critical Function ซึ่งเป็นจุดอ่อนที่อันตรายมากในระบบที่ควบคุมอุปกรณ์สำคัญ
แม้ยังไม่มีรายงานการโจมตีจริงในตอนนี้ แต่ CISA และ Survision แนะนำให้ผู้ใช้งานรีบอัปเดตเฟิร์มแวร์เป็นเวอร์ชัน 3.5 ซึ่งเพิ่มระบบล็อกอินและการตรวจสอบสิทธิ์แบบใหม่ รวมถึงแนะนำให้เปิดใช้การยืนยันตัวตนด้วย certificate และกำหนดสิทธิ์ผู้ใช้งานให้จำกัดที่สุดเท่าที่จะทำได้
สาระเพิ่มเติมจากภายนอก
กล้อง LPR ถูกใช้ในระบบ Smart City, การจัดการจราจร, และระบบรักษาความปลอดภัยในพื้นที่สำคัญ เช่น สนามบินและสถานีขนส่ง
ช่องโหว่แบบ “ไม่มีการตรวจสอบตัวตน” เป็นหนึ่งในช่องโหว่ที่ถูกใช้บ่อยที่สุดในการโจมตีแบบ IoT Hijacking
การโจมตีผ่านอุปกรณ์ IoT เช่นกล้องวงจรปิดสามารถนำไปสู่การสร้าง botnet หรือใช้เป็นจุดเริ่มต้นในการเจาะระบบเครือข่ายองค์กร
รายละเอียดช่องโหว่ CVE-2025-12108
คะแนน CVSS 9.8 ระดับ “Critical”
เกิดจากการไม่บังคับใช้รหัสผ่านใน wizard ตั้งค่า
เข้าข่าย CWE-306: Missing Authentication for Critical Function
ส่งผลให้ผู้ไม่หวังดีสามารถเข้าถึงระบบได้ทันที
กลุ่มผู้ใช้งานที่ได้รับผลกระทบ
หน่วยงานรัฐและเทศบาลที่ใช้กล้อง LPR
ผู้ให้บริการที่จอดรถอัจฉริยะ
ระบบตรวจจับป้ายทะเบียนในสนามบินและสถานีขนส่ง
แนวทางแก้ไขจาก Survision และ CISA
อัปเดตเฟิร์มแวร์เป็น v3.5 เพื่อเปิดใช้ระบบล็อกอิน
กำหนดสิทธิ์ผู้ใช้งานให้จำกัด
เปิดใช้การยืนยันตัวตนด้วย certificate
สำหรับเวอร์ชันเก่า ให้เปิดใช้ “lock password” ใน security parameters
คำเตือนสำหรับผู้ดูแลระบบ
หากยังใช้เฟิร์มแวร์เวอร์ชันเก่า อุปกรณ์อาจถูกยึดระบบได้ทันที
อย่าปล่อยให้ระบบเปิด wizard โดยไม่มีการล็อกอิน
ควรตรวจสอบการตั้งค่าความปลอดภัยของอุปกรณ์ทั้งหมด
อย่ารอให้เกิดการโจมตีจริงก่อนจึงค่อยอัปเดต
เรื่องนี้ไม่ใช่แค่ช่องโหว่เล็กๆ ในกล้องวงจรปิด แต่มันคือ “ประตูหลัง” ที่เปิดให้ใครก็ได้เข้ามาควบคุมระบบของคุณโดยไม่ต้องเคาะ… และถ้าไม่รีบปิดประตูนี้ อาจต้องจ่ายแพงกว่าที่คิด.
https://securityonline.info/cisa-warns-critical-survision-lpr-camera-flaw-cve-2025-12108-cvss-9-8-allows-unauthenticated-takeover/
วันนี้มีเรื่องเล่าที่คนทำงานด้านความปลอดภัยไซเบอร์ต้องฟังให้ดี เพราะ CISA (Cybersecurity and Infrastructure Security Agency) ได้ออกประกาศเตือนถึงช่องโหว่ระดับ “วิกฤต” ในกล้องวงจรปิดอัจฉริยะ Survision LPR (License Plate Recognition) ที่ใช้กันแพร่หลายในระบบจราจรและการจัดการที่จอดรถทั่วโลก
ช่องโหว่นี้มีรหัส CVE-2025-12108 และได้คะแนน CVSS สูงถึง 9.8 ซึ่งหมายถึง “อันตรายขั้นสุด” เพราะมันเปิดช่องให้ผู้ไม่หวังดีสามารถเข้าถึงระบบได้ “โดยไม่ต้องล็อกอิน” หรือยืนยันตัวตนใดๆ ทั้งสิ้น!
กล้อง Survision LPR มีระบบตั้งค่าผ่าน wizard ที่ “ไม่บังคับให้ใส่รหัสผ่าน” โดยค่าเริ่มต้น ทำให้ใครก็ตามที่เข้าถึงระบบสามารถปรับแต่งการทำงานของกล้องได้ทันที ไม่ว่าจะเป็นการเปลี่ยนการตั้งค่าเครือข่าย การจัดเก็บข้อมูล หรือแม้แต่การควบคุมการทำงานของกล้องทั้งหมด
CISA ระบุว่า ช่องโหว่นี้เข้าข่าย CWE-306: Missing Authentication for Critical Function ซึ่งเป็นจุดอ่อนที่อันตรายมากในระบบที่ควบคุมอุปกรณ์สำคัญ
แม้ยังไม่มีรายงานการโจมตีจริงในตอนนี้ แต่ CISA และ Survision แนะนำให้ผู้ใช้งานรีบอัปเดตเฟิร์มแวร์เป็นเวอร์ชัน 3.5 ซึ่งเพิ่มระบบล็อกอินและการตรวจสอบสิทธิ์แบบใหม่ รวมถึงแนะนำให้เปิดใช้การยืนยันตัวตนด้วย certificate และกำหนดสิทธิ์ผู้ใช้งานให้จำกัดที่สุดเท่าที่จะทำได้
สาระเพิ่มเติมจากภายนอก
กล้อง LPR ถูกใช้ในระบบ Smart City, การจัดการจราจร, และระบบรักษาความปลอดภัยในพื้นที่สำคัญ เช่น สนามบินและสถานีขนส่ง
ช่องโหว่แบบ “ไม่มีการตรวจสอบตัวตน” เป็นหนึ่งในช่องโหว่ที่ถูกใช้บ่อยที่สุดในการโจมตีแบบ IoT Hijacking
การโจมตีผ่านอุปกรณ์ IoT เช่นกล้องวงจรปิดสามารถนำไปสู่การสร้าง botnet หรือใช้เป็นจุดเริ่มต้นในการเจาะระบบเครือข่ายองค์กร
รายละเอียดช่องโหว่ CVE-2025-12108
คะแนน CVSS 9.8 ระดับ “Critical”
เกิดจากการไม่บังคับใช้รหัสผ่านใน wizard ตั้งค่า
เข้าข่าย CWE-306: Missing Authentication for Critical Function
ส่งผลให้ผู้ไม่หวังดีสามารถเข้าถึงระบบได้ทันที
กลุ่มผู้ใช้งานที่ได้รับผลกระทบ
หน่วยงานรัฐและเทศบาลที่ใช้กล้อง LPR
ผู้ให้บริการที่จอดรถอัจฉริยะ
ระบบตรวจจับป้ายทะเบียนในสนามบินและสถานีขนส่ง
แนวทางแก้ไขจาก Survision และ CISA
อัปเดตเฟิร์มแวร์เป็น v3.5 เพื่อเปิดใช้ระบบล็อกอิน
กำหนดสิทธิ์ผู้ใช้งานให้จำกัด
เปิดใช้การยืนยันตัวตนด้วย certificate
สำหรับเวอร์ชันเก่า ให้เปิดใช้ “lock password” ใน security parameters
คำเตือนสำหรับผู้ดูแลระบบ
หากยังใช้เฟิร์มแวร์เวอร์ชันเก่า อุปกรณ์อาจถูกยึดระบบได้ทันที
อย่าปล่อยให้ระบบเปิด wizard โดยไม่มีการล็อกอิน
ควรตรวจสอบการตั้งค่าความปลอดภัยของอุปกรณ์ทั้งหมด
อย่ารอให้เกิดการโจมตีจริงก่อนจึงค่อยอัปเดต
เรื่องนี้ไม่ใช่แค่ช่องโหว่เล็กๆ ในกล้องวงจรปิด แต่มันคือ “ประตูหลัง” ที่เปิดให้ใครก็ได้เข้ามาควบคุมระบบของคุณโดยไม่ต้องเคาะ… และถ้าไม่รีบปิดประตูนี้ อาจต้องจ่ายแพงกว่าที่คิด.
https://securityonline.info/cisa-warns-critical-survision-lpr-camera-flaw-cve-2025-12108-cvss-9-8-allows-unauthenticated-takeover/
📸 CISA เตือนภัย! ช่องโหว่ร้ายแรงในกล้อง Survision LPR เสี่ยงถูกยึดระบบโดยไม่ต้องล็อกอิน
วันนี้มีเรื่องเล่าที่คนทำงานด้านความปลอดภัยไซเบอร์ต้องฟังให้ดี เพราะ CISA (Cybersecurity and Infrastructure Security Agency) ได้ออกประกาศเตือนถึงช่องโหว่ระดับ “วิกฤต” ในกล้องวงจรปิดอัจฉริยะ Survision LPR (License Plate Recognition) ที่ใช้กันแพร่หลายในระบบจราจรและการจัดการที่จอดรถทั่วโลก
ช่องโหว่นี้มีรหัส CVE-2025-12108 และได้คะแนน CVSS สูงถึง 9.8 ซึ่งหมายถึง “อันตรายขั้นสุด” เพราะมันเปิดช่องให้ผู้ไม่หวังดีสามารถเข้าถึงระบบได้ “โดยไม่ต้องล็อกอิน” หรือยืนยันตัวตนใดๆ ทั้งสิ้น!
กล้อง Survision LPR มีระบบตั้งค่าผ่าน wizard ที่ “ไม่บังคับให้ใส่รหัสผ่าน” โดยค่าเริ่มต้น ทำให้ใครก็ตามที่เข้าถึงระบบสามารถปรับแต่งการทำงานของกล้องได้ทันที ไม่ว่าจะเป็นการเปลี่ยนการตั้งค่าเครือข่าย การจัดเก็บข้อมูล หรือแม้แต่การควบคุมการทำงานของกล้องทั้งหมด
CISA ระบุว่า ช่องโหว่นี้เข้าข่าย CWE-306: Missing Authentication for Critical Function ซึ่งเป็นจุดอ่อนที่อันตรายมากในระบบที่ควบคุมอุปกรณ์สำคัญ
แม้ยังไม่มีรายงานการโจมตีจริงในตอนนี้ แต่ CISA และ Survision แนะนำให้ผู้ใช้งานรีบอัปเดตเฟิร์มแวร์เป็นเวอร์ชัน 3.5 ซึ่งเพิ่มระบบล็อกอินและการตรวจสอบสิทธิ์แบบใหม่ รวมถึงแนะนำให้เปิดใช้การยืนยันตัวตนด้วย certificate และกำหนดสิทธิ์ผู้ใช้งานให้จำกัดที่สุดเท่าที่จะทำได้
📚 สาระเพิ่มเติมจากภายนอก
🔖 กล้อง LPR ถูกใช้ในระบบ Smart City, การจัดการจราจร, และระบบรักษาความปลอดภัยในพื้นที่สำคัญ เช่น สนามบินและสถานีขนส่ง
🔖 ช่องโหว่แบบ “ไม่มีการตรวจสอบตัวตน” เป็นหนึ่งในช่องโหว่ที่ถูกใช้บ่อยที่สุดในการโจมตีแบบ IoT Hijacking
🔖 การโจมตีผ่านอุปกรณ์ IoT เช่นกล้องวงจรปิดสามารถนำไปสู่การสร้าง botnet หรือใช้เป็นจุดเริ่มต้นในการเจาะระบบเครือข่ายองค์กร
✅ รายละเอียดช่องโหว่ CVE-2025-12108
➡️ คะแนน CVSS 9.8 ระดับ “Critical”
➡️ เกิดจากการไม่บังคับใช้รหัสผ่านใน wizard ตั้งค่า
➡️ เข้าข่าย CWE-306: Missing Authentication for Critical Function
➡️ ส่งผลให้ผู้ไม่หวังดีสามารถเข้าถึงระบบได้ทันที
✅ กลุ่มผู้ใช้งานที่ได้รับผลกระทบ
➡️ หน่วยงานรัฐและเทศบาลที่ใช้กล้อง LPR
➡️ ผู้ให้บริการที่จอดรถอัจฉริยะ
➡️ ระบบตรวจจับป้ายทะเบียนในสนามบินและสถานีขนส่ง
✅ แนวทางแก้ไขจาก Survision และ CISA
➡️ อัปเดตเฟิร์มแวร์เป็น v3.5 เพื่อเปิดใช้ระบบล็อกอิน
➡️ กำหนดสิทธิ์ผู้ใช้งานให้จำกัด
➡️ เปิดใช้การยืนยันตัวตนด้วย certificate
➡️ สำหรับเวอร์ชันเก่า ให้เปิดใช้ “lock password” ใน security parameters
‼️ คำเตือนสำหรับผู้ดูแลระบบ
⛔ หากยังใช้เฟิร์มแวร์เวอร์ชันเก่า อุปกรณ์อาจถูกยึดระบบได้ทันที
⛔ อย่าปล่อยให้ระบบเปิด wizard โดยไม่มีการล็อกอิน
⛔ ควรตรวจสอบการตั้งค่าความปลอดภัยของอุปกรณ์ทั้งหมด
⛔ อย่ารอให้เกิดการโจมตีจริงก่อนจึงค่อยอัปเดต
เรื่องนี้ไม่ใช่แค่ช่องโหว่เล็กๆ ในกล้องวงจรปิด แต่มันคือ “ประตูหลัง” ที่เปิดให้ใครก็ได้เข้ามาควบคุมระบบของคุณโดยไม่ต้องเคาะ… และถ้าไม่รีบปิดประตูนี้ อาจต้องจ่ายแพงกว่าที่คิด.
https://securityonline.info/cisa-warns-critical-survision-lpr-camera-flaw-cve-2025-12108-cvss-9-8-allows-unauthenticated-takeover/
0 ความคิดเห็น
0 การแบ่งปัน
17 มุมมอง
0 รีวิว
English