164/68 (IT) ประจำวันศุกร์ที่ 2 พฤษภาคม 2568
SonicWall ได้เปิดเผยว่าช่องโหว่ความปลอดภัยจำนวนสองรายการที่ส่งผลกระทบต่ออุปกรณ์ในกลุ่ม SMA100 Secure Mobile Access (SMA) ยังคงถูกนำไปใช้ในการโจมตีแบบ active exploitation แม้ว่าช่องโหว่ทั้งสองจะได้รับการแพตช์แล้วก็ตาม โดยรายละเอียดของช่องโหว่มีดังนี้:
– CVE-2023-44221 ( CVSS 7.2 ) เป็นช่องโหว่ OS Command Injection ที่เกิดจากการ neutralize ข้อมูลไม่ถูกต้องในอินเทอร์เฟซจัดการของ SMA100 SSL-VPN ทำให้ผู้โจมตีที่มีสิทธิ์ระดับแอดมินสามารถ inject คำสั่งที่เป็นอันตรายในฐานะผู้ใช้ ‘nobody’ ได้
– CVE-2024-38475 ( CVSS 9.8 ) เป็นช่องโหว่ใน Apache HTTP Server (mod_rewrite) ที่ทำให้ผู้โจมตีสามารถ map URL ไปยังตำแหน่งไฟล์ในระบบที่ไม่ควรเข้าถึงได้ อาจนำไปสู่การ session hijacking
โดยช่องโหว่ทั้งสองส่งผลกระทบต่ออุปกรณ์ SMA 100 Series ได้แก่ SMA 200, 210, 400, 410 และ 500v โดย SonicWall ได้ปล่อยแพตช์แก้ไขแล้วในเวอร์ชัน:
– CVE-2023-44221: แก้ไขในเวอร์ชัน 10.2.1.10-62sv ขึ้นไป (ออกเมื่อ 4 ธันวาคม 2023)
– CVE-2024-38475: แก้ไขในเวอร์ชัน 10.2.1.14-75sv ขึ้นไป (ออกเมื่อ 4 ธันวาคม 2024)
ในการอัปเดตล่าสุดเมื่อวันที่ 29 เมษายน 2025 SonicWall ระบุว่า ทีมนักวิเคราะห์ด้านความปลอดภัยได้ตรวจพบเทคนิคการโจมตีเพิ่มเติมผ่านช่องโหว่ CVE-2024-38475 ซึ่งอาจทำให้ผู้ไม่หวังดีเข้าถึงไฟล์บางรายการโดยไม่ได้รับอนุญาต และสามารถใช้ช่องโหว่นี้เพื่อ hijack session ได้ แม้ในขณะนี้ยังไม่มีข้อมูลแน่ชัดเกี่ยวกับกลุ่มเป้าหมายหรือขอบเขตของการโจมตี แต่เหตุการณ์นี้เกิดขึ้นเพียงไม่กี่สัปดาห์หลังจากที่ CISA ของสหรัฐฯ ได้เพิ่มช่องโหว่เก่า CVE-2021-20035 ของ SonicWall SMA100 ลงใน Known Exploited Vulnerabilities (KEV) catalog หลังตรวจพบการโจมตี โดย SonicWall แนะนำให้ผู้ดูแลระบบตรวจสอบอุปกรณ์ SMA หาความผิดปกติในการล็อกอิน และอัปเดตซอฟต์แวร์ให้เป็นเวอร์ชันล่าสุดเพื่อแก้ไขช่องโหว่และลดความเสี่ยงจากการโจมตี
แหล่งข่าว https://thehackernews.com/2025/05/sonicwall-confirms-active-exploitation.html
