215/68 (IT) ประจำวันจันทร์ที่ 16 มิถุนายน 2568
สำนักงานความมั่นคงปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ออกคำเตือนล่าสุดเมื่อวันที่ 12 มิถุนายนที่ผ่านมา ระบุว่ากลุ่มแรนซัมแวร์ได้อาศัยช่องโหว่ร้ายแรงในระบบ Remote Monitoring and Management (RMM) ของ SimpleHelp รุ่น 5.5.7 ลงไป เป็นช่องทางเจาะเข้าระบบลูกค้าแบบลูกโซ่ (supply chain attack) โดยช่องโหว่ดังกล่าวมีรหัส CVE-2024-57727 ซึ่งเปิดโอกาสให้แฮกเกอร์ที่ไม่ได้รับสิทธิ์สามารถดาวน์โหลดไฟล์ข้อมูลจากเซิร์ฟเวอร์ SimpleHelp ได้โดยตรง รวมถึงไฟล์ตั้งค่าระบบและรหัสผ่านของผู้ใช้งานในรูปแบบแฮช
แม้ว่าช่องโหว่นี้จะถูกเปิดเผยตั้งแต่เดือนมกราคม 2025 และมีการออกแพตช์แก้ไขในเวลาต่อมา แต่ CISA ระบุว่ามีผู้ใช้งานจำนวนมากที่ยังไม่ได้ทำการอัปเดต จึงกลายเป็นเป้าหมายถาวรของกลุ่มอาชญากรไซเบอร์ โดยเฉพาะในกลุ่มผู้ให้บริการซอฟต์แวร์จัดเก็บบิลค่าสาธารณูปโภคและบริษัทผู้ให้บริการโครงสร้างพื้นฐานสำคัญ (Critical Infrastructure) ทั้งนี้ CISA ชี้ว่าลักษณะการโจมตีครั้งนี้สะท้อนแนวโน้มที่แรนซัมแวร์พุ่งเป้าโจมตีองค์กรผ่านซอฟต์แวร์ RMM ที่ไม่ได้รับการอัปเดตอย่างต่อเนื่องตั้งแต่ต้นปี
CISA แนะนำให้ผู้ใช้งาน SimpleHelp ทุกราย รวมถึงผู้จำหน่ายซอฟต์แวร์ที่นำ SimpleHelp ไปฝังรวมในผลิตภัณฑ์ของตนเอง ต้องเร่งดำเนินการอัปเดตแพตช์ล่าสุดโดยทันที พร้อมทั้งแยกการทำงานของเซิร์ฟเวอร์ SimpleHelp ออกจากอินเทอร์เน็ตเพื่อลดความเสี่ยง ทั้งนี้ควรเสริมมาตรการสำรองข้อมูล (backup) อย่างมีประสิทธิภาพ ปิดการเข้าถึงระบบ Remote Desktop Protocol (RDP) จากภายนอก และจัดทำ Software Bill of Materials (SBOM) เพื่อเพิ่มความปลอดภัยเชิงโซ่อุปทานในระยะยาว ทั้งนี้ CISA ยังย้ำเตือนว่าไม่ควรชำระเงินค่าไถ่แก่ผู้โจมตี
แหล่งข่าว https://www.darkreading.com/cyberattacks-data-breaches/cisa-ransomware-attacks-simplehelp-rmm
