438/68 (IT) ประจำวันจันทร์ที่ 3 พฤศจิกายน 2568
สำนักงานความมั่นคงปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ได้ออกมายืนยันอย่างเป็นทางการเมื่อวันพฤหัสบดีที่ผ่านมาว่า ช่องโหว่ระดับความรุนแรงสูงใน Linux kernel (รหัส CVE-2024-1086) กำลังถูกกลุ่มอาชญากรไซเบอร์นำไปใช้ในการโจมตีแบบ Ransomware หรือมัลแวร์เรียกค่าไถ่แล้ว แม้ว่าช่องโหว่นี้จะเพิ่งถูกเปิดเผยและได้รับการแก้ไขเมื่อเดือนมกราคม 2024 แต่จากการตรวจสอบพบว่า จุดอ่อนดังกล่าวเป็นข้อบกพร่องประเภท “use-after-free” ในองค์ประกอบที่เรียกว่า ‘netfilter: nf_tables’ ซึ่งโค้ดที่เป็นปัญหาได้แฝงตัวอยู่ใน Linux kernel มานานนับทศวรรษ โดยถูกเพิ่มเข้ามาตั้งแต่เดือนกุมภาพันธ์ 2014
ความอันตรายร้ายแรงของ CVE-2024-1086 คือการที่มันเปิดทางให้ผู้โจมตีที่มีสิทธิ์เข้าถึงระบบในระดับผู้ใช้งานทั่วไป (local access) สามารถยกระดับสิทธิ์ของตนเอง (privilege escalation) จนกลายเป็น ‘root’ หรือผู้ดูแลสูงสุดของระบบได้สำเร็จ ซึ่งหมายความว่าสามารถเข้ายึดครองอุปกรณ์นั้นได้อย่างสมบูรณ์ โดยผู้เชี่ยวชาญชี้ว่า เมื่อแฮกเกอร์ได้สิทธิ์ root พวกเขาสามารถปิดการป้องกัน, แก้ไขไฟล์, ติดตั้งมัลแวร์, ขโมยข้อมูลสำคัญ หรือใช้เครื่องนั้นเป็นฐานในการเคลื่อนที่ (lateral movement) ไปยังส่วนอื่น ๆ ในเครือข่าย ซึ่งช่องโหว่นี้ส่งผลกระทบต่อ Linux ตระกูลหลักหลายตัว เช่น Debian, Ubuntu, Fedora และ Red Hat ที่ใช้ kernel เวอร์ชัน 3.15 ถึง 6.8-rc1
CISA ได้เพิ่มช่องโหว่นี้เข้าไปในบัญชีรายชื่อช่องโหว่ที่ถูกใช้โจมตีจริง (Known Exploited Vulnerabilities – KEV) ตั้งแต่เดือนพฤษภาคม 2024 และได้สั่งการให้หน่วยงานรัฐบาลกลางของสหรัฐฯ ต้องทำการแพตช์ระบบให้เสร็จสิ้นภายในวันที่ 20 มิถุนายน 2024 โดย CISA ย้ำว่าช่องโหว่ลักษณะนี้คือ “ช่องทางการโจมตีที่พบบ่อย” และ “ก่อให้เกิดความเสี่ยงสำคัญ” สำหรับผู้ดูแลระบบที่ยังไม่สามารถอัปเดตแพตช์ได้ทันที CISA แนะนำให้ใช้มาตรการลดผลกระทบชั่วคราว เช่น การบล็อก ‘nf_tables’ หากไม่ได้ใช้งาน หรือการจำกัดการเข้าถึง user namespaces เพื่อลดพื้นผิวการโจมตีโดยรวม
