เจาะลึกภัยไซเบอร์ เสริมเกราะให้ Veeam ป้องกันข้อมูลรั่วจากการจัดการ Credential ที่ขาดความปลอดภัย

ระบบ Backup มักถูกมองว่าเป็นแนวป้องกันสุดท้ายขององค์กรเมื่อเผชิญภัยไซเบอร์
แต่ในความเป็นจริง ระบบ Backup เองก็สามารถตกเป็น “จุดอ่อน” ได้ หากขาดการบริหารจัดการความปลอดภัยที่เหมาะสม

หนึ่งในซอฟต์แวร์ยอดนิยมอย่าง Veeam Backup & Replication แม้จะได้รับความไว้วางใจจากหลายองค์กร
แต่หากไม่ตั้งค่าความปลอดภัยอย่างรัดกุม อาจเปิดช่องให้ผู้ไม่หวังดีเข้าถึง Credential ที่สำคัญระดับระบบ Production ได้ทั้งหมด

จากการทดสอบบน GitHub ที่ User Mr-ESSO ได้ทำการทดสอบไว้ เกี่ยวกับ Veeam Backup & Replication ที่พบว่า Credential
ทั้งหมดสามารถถูกดึงออกจากฐานข้อมูล Veeam และถอดรหัสกลับมาเป็น plaintext ได้อย่างง่ายดาย หากไม่มีมาตรการป้องกันที่เหมาะสม

บทความนี้จะอธิบายความเสี่ยงในเชิงลึก พร้อมแนวทางป้องกันที่องค์กรสามารถดำเนินการได้ทันที
เพราะการป้องกันเชิงรุก คือหัวใจสำคัญในการหยุดภัยไซเบอร์ก่อนเกิดเหตุ

  • ภัยคุกคามที่หลายคนอาจไม่ทันระวัง
    รู้หรือไม่ว่าทำไมการโจมตีแบบ Ransomware ที่เข้ามาโจมตี VMware โดยการเข้ารหัสข้อมูลใน Datastore
    ถึงเกิดขึ้นได้ง่ายและสามารถสร้างความเสียหายที่อยู่ภายในได้อย่างร้ายแรงนั่นเป็นเพราะเซิร์ฟเวอร์ (Guest OS)
    จำนวนมากทำงานอยู่บน Datastore ซึ่งหมายความว่าหากถูกเข้ารหัส ระบบ Production ทั้งหมดอาจถูกโจมตี
  • แล้ว Hacker รู้รหัสผ่านของ VMware ได้อย่างไร?
    โดยปกติแล้ว ESXi จะปิดการเข้า SSH (Secure shell) ไว้ จึงทำให้ผู้ดูแลเข้าใจว่า ESXi ปลอดภัยเพราะไม่ได้เปิด SSH ไว้
    แต่กลับพบว่า Hacker นั้น หากมีข้อมูล Credential จะทำให้สามารถอัปโหลดไฟล์ Ransomware ไปยัง Datastore
    และสั่งให้เข้ารหัสไฟล์ได้อย่างง่ายดาย!!

ความเสี่ยงเหล่านี้เป็นสิ่งที่ทุกองค์กรต้องตระหนัก เพราะในโลกของ Cyber Security ไม่มีระบบใดที่รับประกันความปลอดภัยได้ 100%

แล้วประเด็นนี้เกี่ยวข้องกับ Veeam อย่างไร?

โดยปกติ เมื่อเราต้องการให้ Veeam Backup & Replication สำรองข้อมูลของระบบใด ๆ เราจำเป็นต้องเพิ่ม Infrastructure เข้าไป
และใส่ Credential ของระบบนั้น เช่น VMware vCenter, Hyper-V, Windows Physical, Linux และอื่น ๆ
ซึ่ง ต้องเป็น Admin หรือ root privilege

ตัวอย่างการเพิ่ม Infrastructure 

เมื่อทำการ Add Configure infrastructure เข้าไปใน Veeam และกำหนด Credential สำหรับการเชื่อมต่อเรียบร้อยแล้ว
ข้อมูลทั้งหมดเหล่านี้—including ชื่อผู้ใช้และรหัสผ่าน—จะถูกจัดเก็บไว้ในฐานข้อมูลของ Veeam โดยอัตโนมัติ

ซึ่งฐานข้อมูลที่ Veeam ใช้งานจะขึ้นอยู่กับเวอร์ชัน ดังนี้:

  • Microsoft SQL Server Express — ใช้ใน Veeam เวอร์ชัน 11 หรือต่ำกว่า
  • PostgreSQL Server — เริ่มใช้งานใน Veeam เวอร์ชัน 12 เป็นต้นไป

สิ่งที่หลายคนอาจไม่รู้คือ Credential ที่เก็บไว้ในฐานข้อมูลเหล่านี้สามารถถูกดึงออกมาได้ (Extracted)
หากผู้โจมตีมีสิทธิ์เป็น Local Admin บนเครื่อง Veeam Server

แม้ว่าข้อมูล Credential จะถูกเข้ารหัสไว้ แต่สิทธิ์ระดับ Local Admin ก็สามารถใช้สคริปต์ดึงและถอดรหัสข้อมูลออกมา
เป็นข้อความที่อ่านรู้เรื่องได้ (Plaintext)โดยไม่ต้องผ่านกระบวนการตรวจสอบใด ๆ เพิ่มเติม
และนั่นหมายความว่า หาก Veeam Server ถูกเจาะ ระบบสำคัญทั้งหมดที่เชื่อมต่อไว้ก็อาจตกอยู่ในความเสี่ยงทันที

เมื่อทำการ Add Configure infrastructure เข้าไปใน Veeam และกำหนด Credential สำหรับการเชื่อมต่อเรียบร้อยแล้ว
ข้อมูลทั้งหมดเหล่านี้—including ชื่อผู้ใช้และรหัสผ่าน—จะถูกจัดเก็บไว้ในฐานข้อมูลของ Veeam โดยอัตโนมัติ

จากการทดสอบตามแหล่งที่มา สามารถสรุปประเด็นที่น่าสนใจเกี่ยวกับ Database ของ Veeam ได้ดังนี้:Database: Microsoft SQL Server
Reference: https://www.veeam.com/kb4349 How to Recover Account Credentials From the Veeam Backup & Replication Database

ทำการรันสคริปต์ เพื่อดึงข้อมูล user name, password ออกมา ซึ่งตัว password จะอยู่ในรูปแบบการเข้ารหัส เมื่อถูกแปลงโดย สคริปต์ จะสามารถอ่านเป็นภาษาคนที่เข้าใจได้

PowerShell Script Credential-Extraction 

Script Credential-Extraction from PostgreSQL 

หาก Hacker สามารถดึงรหัสผ่านจากระบบ Veeam ได้ ก็เท่ากับว่าพวกเขาสามารถเข้าถึงโครงสร้างพื้นฐาน
ของระบบ Production ทั้งหมดขององค์กรได้โดยตรง
จากนั้นสามารถอัปโหลดและฝัง Ransomware ลงใน Datastore ได้ทันที — ซึ่งแน่นอนว่า เมื่ออ่านมาถึงจุดนี้
หลายคนคงเริ่มรู้สึกถึงความเสี่ยงที่ไม่ควรมองข้ามแล้ว

Ransomware Attack

แนวทางป้องกัน Veeam จากภัยคุกคามไซเบอร์

เพื่อให้ระบบ Backup อย่าง Veeam ปลอดภัยจากการโจมตีและลดความเสี่ยงในการรั่วไหลของข้อมูลสำคัญ
องค์กรควรดำเนินการตามแนวทางเหล่านี้:

จำกัดสิทธิ์การใช้งานระดับ Local Admin
ให้สิทธิ์เฉพาะผู้ที่จำเป็นในการเข้าถึงเซิร์ฟเวอร์ Veeam เท่านั้น เพื่อป้องกันไม่ให้บุคคลภายในหรือผู้ไม่หวังดี
เข้ามาจัดการระบบโดยไม่ได้รับอนุญาต

จำกัดการเข้าถึงเครือข่าย Veeam Server
ควรอนุญาตเฉพาะเครื่องหรือเครือข่ายที่มีหน้าที่ดูแลระบบเท่านั้น ไม่ควรเปิดให้เข้าถึงได้จากเครือข่ายอื่น และควรเปิดพอร์ตที่จำเป็นเท่านั้น

ตั้งค่าเข้ารหัสไฟล์ Configuration (Enable Encryption for Backup Configuration)
เพื่อป้องกันกรณีที่ไฟล์การตั้งค่าถูกขโมยและนำไปเปิดในเครื่องอื่น ควรเปิดการเข้ารหัสไฟล์เหล่านี้ไว้เสมอ

เปิดใช้งาน Audit Log
Audit Log จะช่วยบันทึกและติดตามพฤติกรรมการใช้งาน โดยเฉพาะการเรียกใช้ PowerShell Script
หากมีการใช้งานที่ผิดปกติจะสามารถแจ้งเตือนได้ทันท่วงที

เตรียมแผนรับมือเมื่อเกิดเหตุ (Incident Response Plan)
ควรวางแผนและเตรียมขั้นตอนสำหรับการกู้คืนระบบให้พร้อม หากเกิดการโจมตี เช่น การเรียกใช้ Backup หรือ Recovery
เพื่อลด Downtime และผลกระทบต่อธุรกิจ

ออกแบบการตั้งค่าเครือข่ายให้ปลอดภัย
ควรอนุญาตเฉพาะ IP ต้นทาง, ปลายทาง และพอร์ตที่จำเป็นเท่านั้น ไม่ควรเปิดเครือข่ายแบบกว้าง ๆ ที่อาจถูกเจาะได้ง่าย

หลีกเลี่ยงการตั้งค่าแบบ “Any Any” หรือ “Allow All”
การเปิดให้ทุก IP และทุกพอร์ตเข้าถึงได้โดยไม่มีข้อจำกัด ถือเป็นความเสี่ยงสูงสุด เพราะจะเปิดช่องให้ผู้ไม่หวังดีเจาะเข้าระบบได้โดยง่าย

สรุปท้ายบทความ

Veeam ถือเป็นหนึ่งในโซลูชัน Backup & Replication ระดับโลกที่องค์กรชั้นนำไว้วางใจ ด้วยจุดเด่นด้านประสิทธิภาพ
ความยืดหยุ่น และความสามารถในการกู้คืนข้อมูลได้อย่างรวดเร็วแม้ในสถานการณ์วิกฤต

แต่แม้โซลูชันจะดีแค่ไหน หากการตั้งค่าด้าน Security ขาดความรัดกุม ก็อาจกลายเป็นช่องทางให้ผู้ไม่หวังดี
ดึง Credential สำคัญ ไปใช้โจมตีระบบอย่าง VMware ซึ่งอาจส่งผลกระทบต่อโครงสร้าง Production ขององค์กรทั้งระบบ
เพราะฉะนั้น การใช้ Veeam ให้ปลอดภัย ไม่ใช่แค่ “ติดตั้งให้เป็น” แต่ต้อง “ออกแบบให้ถูก” และ “บริหารให้รัดกุม”
ด้วยแนวทางที่สอดคล้องกับ Best Practice

และหากคุณมองหาพาร์ทเนอร์ที่จะช่วยออกแบบ วางระบบ และเสริมเกราะป้องกันให้กับ Veeam อย่างถูกต้อง
Sirisoft ในฐานะ Veeam Platinum Partner พร้อมเป็นที่ปรึกษาและผู้ดูแลที่คุณไว้วางใจได้

ขอขอบคุณแหล่งที่มา:

https://www.veeam.com/kb4349

Github

เกี่ยวกับ Sirisoft

Sirisoft ผู้ให้คำปรึกษาด้านเทคโนโลยีสารสนเทศโดยใช้ DevOps Culture เป็นแนวคิดที่ช่วยพัฒนา
และดูแลลูกค้าในรูปแบบสมัยใหม่ และให้บริการออกแบบพัฒนาซอฟต์แวร์โดยใช้สถาปัตยกรรมแบบ Microservices
ในการพัฒนา พร้อมด้วยศักยภาพในการทำงาน และการบริหารบุคลากรที่มีความเชี่ยวชาญด้าน High Code
พร้อมให้บริการด้านเทคโนโลยีแบบ end-to-end ในเรื่องของ Infrastructure Optimization และ Cyber Security
ไปจนถึง Digital Transformation ที่จะช่วยออกแบบซอฟต์แวร์และโครงสร้างระบบไอทีหลังบ้านคุณให้ตอบโจทย์ธุรกิจ
เติบโตได้ไว ขยายได้ทันในทุกโอกาสของโลกธุรกิจที่เปลี่ยนแปลงอย่างรวดเร็ว