ตามที่บริษัทฯ ได้รับแจ้งถึงปัญหาความเสี่ยงด้านความปลอดภัยในระบบ HOSxP ขณะนี้ทีมพัฒนาได้ดำเนินการพัฒนาแพตช์แก้ไขช่องโหว่ CVE-2024-53522 เรียบร้อยแล้ว โดยแพตช์ฉบับใหม่นี้มีการเปลี่ยนไปใช้มาตรฐานการเข้ารหัส AES-256 พร้อมทั้งปรับปรุงกระบวนการจัดการคีย์ (Key Management) เพื่อยกระดับความปลอดภัยในการเชื่อมต่อและการจัดเก็บข้อมูลบนฐานข้อมูลอย่างมีนัยสำคัญ
โดยโปรแกรมรุ่นที่ถูกแก้ไขแล้วเป็นรุ่นของวันที่ 2025-01-07 เป็นต้นมา
- HOSxP XE4 : build 5605 ขึ้นไป
- HOSxP PCU XE : build 864 ขึ้นไป
- HOSxP v3 : รุ่น 3.67.12.30 ขึ้นไป
-
ใช้ AES-256 ในการเข้ารหัส
- เป็นอัลกอริทึมเข้ารหัสระดับสูง ช่วยลดความเสี่ยงจากการถูกถอดรหัสหรือโจมตีด้วยวิธีการต่าง ๆ
-
ปรับปรุงกระบวนการจัดการคีย์ (Key Management)
- ลดการพึ่งพาคีย์แบบฮาร์ดโค้ด และนำแนวทางการจัดการคีย์ที่ปลอดภัยยิ่งขึ้นมาใช้ เพื่อป้องกันไม่ให้ผู้ไม่หวังดีเข้าถึงข้อมูลรับรอง (Credentials) หรือข้อมูลสำคัญอื่น ๆ ได้ง่าย
- การติดตั้งแพตช์ครั้งนี้ไม่กระทบต่อการทำงานหลักของ HOSxP
- แนะนำให้ผู้ดูแลระบบทำการอัปเดตแพตช์โดยเร็วที่สุด เพื่อลดความเสี่ยงในการถูกโจมตี
- กรณีที่มีโปรแกรมอื่น ๆ ใช้ไฟล์คอนฟิก (Configuration) ร่วมกับ HOSxP
- อาจต้องอัปเดตหรือติดตั้งเวอร์ชันใหม่ของโปรแกรมเหล่านั้นด้วย เพื่อรองรับมาตรการเข้ารหัสใหม่ และป้องกันปัญหาเชื่อมต่อฐานข้อมูลไม่ได้
-
อัปเดตโปรแกรมที่ใช้งานเป็นรุ่นที่แก้ไขช่องโหว่แล้ว
- โปรดดำเนินการติดตั้งแพตช์ใหม่ตามคู่มือหรือคำแนะนำจากทีมเทคนิคของเรา
-
ตรวจสอบการเชื่อมต่อฐานข้อมูล
- ยืนยันว่า HOSxP ยังคงทำงานได้ตามปกติหลังติดตั้งแพตช์ และไม่มีการแจ้งเตือนหรือความผิดปกติใด ๆ
- หากใช้งานโปรแกรมอื่น ๆ ที่แชร์ไฟล์คอนฟิกเดียวกัน ควรตรวจสอบและอัปเดตโปรแกรมเหล่านั้นด้วย
-
พิจารณาเปลี่ยนรหัสผ่าน (Credential Rotation)
- หากท่านยังไม่ได้เปลี่ยนรหัสผ่านของฐานข้อมูลหรือบัญชีผู้ดูแลระบบ ควรพิจารณาเปลี่ยนทันที เพื่อความปลอดภัยเพิ่มเติม
-
การ roll back กลับไปใช้โปรแกรมรุ่นที่เก่ากว่า 2025-01-07
- เนื่องจาก ในโปรแกรมรุ่น 2025-01-07 ได้ถูกปรับปรุงช่องโหว่แล้ว หากจำเป็นต้องใช้โปรแกรมรุ่นเก่ากว่า ต้องมีการกำหนดข้อมูลการเชื่อมต่อใหม่
-
การกำหนดค่าระบบ BMS Backup
- เครื่องที่ได้สร้างงาน auto backup เอาไว้ จำเป็นต้องลบงานและสร้างงานใหม่ เพื่อให้โปรแกรม BMSHOSxPXEDBBackupConsole.exe ได้ update เป็นโปรแกรมรุ่นใหม่
หากมีข้อสงสัยหรือต้องการความช่วยเหลือในการติดตั้งแพตช์ สามารถติดต่อทีมสนับสนุนของเราได้ที่
**0-2427-9991 กด 1 **
ขอขอบพระคุณที่ให้ความร่วมมือและใส่ใจในมาตรการรักษาความปลอดภัยของระบบ HOSxP อย่างต่อเนื่อง ทางบริษัทบางกอกเมดิคอลซอฟต์แวร์ จำกัด ได้ประสานงานไปยังบริษัท safecloud เพื่อดำเนินการตรวจสอบโปรแกรมรุ่นใหม่แล้ว ว่ายังพบปัญหาช่องโหว่อื่นๆ อีกหรือไม่
ประกาศ ณ วันที่ 9 มกราคม 2568
reference : https://www.safecloud.co.th/researches/blog/CVE-2024-53522