358/68 (IT) ประจำวันอังคารที่ 23 กันยายน 2568
Fortra ผู้พัฒนาโซลูชันด้าน Managed File Transfer (MFT) ได้ออกแพตช์เพื่อแก้ไขช่องโหว่ความรุนแรงสูงสุด (CVSS Score 10.0) ในซอฟต์แวร์ GoAnywhere MFT ที่หมายเลข CVE-2025-10035 ซึ่งเป็น Deserialization Vulnerability ที่อยู่ใน License Servlet ของซอฟต์แวร์ โดยช่องโหว่ดังกล่าวทำให้ผู้โจมตีสามารถสร้าง License Response Signature ปลอมได้ ทำการ Deserialize Object ที่ควบคุมโดยผู้โจมตีเอง ซึ่งอาจนำไปสู่การโจมตีแบบ Command Injection ได้โดยตรง ทั้งนี้ Fortra แนะนำให้ผู้ใช้งานเร่งอัปเดตเป็นเวอร์ชันที่มีการแพตช์แล้ว ได้แก่ 7.8.4 หรือ Sustain Release 7.6.3 พร้อมทั้งแนะนำให้จำกัดการเข้าถึง GoAnywhere Admin Console จากสาธารณะ เนื่องจากการโจมตีขึ้นอยู่กับการที่ระบบเปิดให้เข้าถึงผ่านอินเทอร์เน็ต
แม้ขณะนี้ยังไม่ชัดเจนว่าช่องโหว่ดังกล่าวถูกนำไปใช้โจมตีแล้วหรือไม่ แต่ที่ผ่านมา GoAnywhere MFT ได้เคยค้นพบช่องโหว่ร้ายแรงมาแล้ว เช่น CVE-2024-0204 (CVSS 9.8) ที่ถูกเปิดเผยในเดือนมกราคม 2024 ซึ่งเป็น Authentication Bypass ที่อนุญาตให้ผู้โจมตีสร้างบัญชีผู้ดูแลระบบใหม่ผ่าน Administration Portal ได้ ซึ่งช่องโหว่ดังกล่าวถูกค้นพบโดยนักวิจัยจาก Spark Engineering Consultants และต่อมาได้รับการวิเคราะห์เชิงเทคนิคโดยทีม Horizon3 Attack Team ซึ่งสามารถพัฒนา Exploit โดยใช้ Path Traversal เข้าถึง Endpoint และเริ่มขั้นตอนสร้างบัญชีใหม่ได้สำเร็จ
เหตุการณ์นี้แสดงให้เห็นว่าซอฟต์แวร์ที่ใช้จัดการ Secure File Transfer และ Data Encryption อย่าง GoAnywhere MFT ซึ่งถูกใช้อย่างแพร่หลายในองค์กรทั่วโลก ยังคงเป็นเป้าหมายสำคัญของแฮกเกอร์ การอัปเดตแพตช์และการจำกัดการเข้าถึงระบบจึงเป็นมาตรการสำคัญที่องค์กรต้องดำเนินการอย่างเร่งด่วนเพื่อป้องกันความเสี่ยงด้านความมั่นคงปลอดภัยไซเบอร์
