337/68 (IT) ประจำวันศุกร์ที่ 12 กันยายน 2568
ผู้เชี่ยวชาญด้านความมั่นคงปลอดภัยไซเบอร์จาก Rapid7 ได้ออกคำเตือนเร่งด่วนถึงการโจมตีทางไซเบอร์ที่มีความรุนแรงขึ้น โดยกลุ่มมัลแวร์เรียกค่าไถ่ Akira ได้กลับมาใช้ประโยชน์จากช่องโหว่ของอุปกรณ์ SonicWall อีกครั้ง ซึ่งรวมถึงช่องโหว่ร้ายแรงที่เคยถูกใช้เมื่อปีที่แล้ว โดยการโจมตีนี้ไม่ได้อาศัยช่องโหว่ใหม่ (Zero-day) ตามที่เคยมีการตั้งข้อสังเกตในตอนแรก แต่เป็นการใช้ประโยชน์จากช่องโหว่เก่าอย่าง CVE-2024-40766 ซึ่งเป็นช่องโหว่ Improper Access Control ที่มีคะแนนความรุนแรงสูงถึง 9.8 ตามมาตรฐาน CVSS ซึ่งถูกเปิดเผยมาตั้งแต่เดือนสิงหาคม 2024 นอกจากนี้ Akira ยังอาศัยช่องโหว่จากการตั้งค่า SonicWall SSLVPN ที่ไม่ถูกต้อง เพื่อเจาะเข้าสู่ระบบและทำการโจมตีด้วยมัลแวร์เรียกค่าไถ่
รายงานจาก Rapid7 ระบุว่าได้ตอบสนองต่อเหตุการณ์ที่ลูกค้าถูกโจมตีด้วยช่องโหว่เหล่านี้แล้วหลายสิบราย ซึ่งบ่งชี้ถึงศักยภาพในการก่อผลกระทบในวงกว้าง โดยข้อมูลจาก Bitsight เปิดเผยว่ายังคงมีอุปกรณ์ SonicWall ที่สามารถเข้าถึงได้จากภายนอกมากกว่า 438,000 เครื่อง ทำให้ยังคงเป็นเป้าหมายที่สำคัญสำหรับผู้ไม่หวังดี SonicWall ได้ยอมรับว่าเหตุการณ์การโจมตีที่เกิดขึ้นในช่วงต้นเดือนสิงหาคมนี้ มีความเชื่อมโยงกับ CVE-2024-40766 และพบว่าหลายกรณีเกี่ยวข้องกับการย้ายข้อมูลจากไฟร์วอลล์ Gen 6 ไปยัง Gen 7 โดยไม่ได้มีการรีเซ็ตรหัสผ่านของผู้ใช้งานเก่า ส่งผลให้แฮกเกอร์สามารถใช้ข้อมูลบัญชีที่รั่วไหลหรือถูกขโมยมาก่อนหน้านี้ในการเข้าถึงระบบได้
เพื่อป้องกันการตกเป็นเหยื่อของการโจมตี ผู้ใช้งานอุปกรณ์ SonicWall ทุกองค์กรควรดำเนินการแก้ไขอย่างเร่งด่วน ซึ่งรวมถึงการอัปเดตเฟิร์มแวร์เป็นเวอร์ชันล่าสุด โดยเฉพาะอย่างยิ่ง SonicOS 7.3.0 ที่มีการเพิ่มความปลอดภัยในการใช้งาน MFA (Multi-Factor Authentication) นอกจากนี้ยังจำเป็นต้องรีเซ็ตรหัสผ่านสำหรับบัญชีผู้ใช้งานในระบบทั้งหมด โดยเฉพาะบัญชีที่ถูกย้ายมาจากการอัปเกรดรุ่น และควรจำกัดการเข้าถึงพอร์ทัล Virtual Office ให้เฉพาะเครือข่ายภายในเท่านั้น การละเลยการอัปเดตและการตั้งค่าความปลอดภัยที่เหมาะสมอาจทำให้องค์กรมีความเสี่ยงสูงต่อการถูกโจมตีจากกลุ่มแรนซัมแวร์อย่าง Akira และกลุ่มอื่น ๆ ที่จ้องหาช่องโหว่เหล่านี้เพื่อเข้าสู่ระบบ
แหล่งข่าว https://www.theregister.com/2025/09/10/akira_ransomware_abusing_sonicwall/
