457/68 (IT) ประจำวันอังคารที่ 11 พฤศจิกายน 2568
บริษัทด้านความมั่นคงปลอดภัยไซเบอร์ watchTowr เปิดเผยช่องโหว่ร้ายแรงใน Monsta FTP ซึ่งเป็นแอปพลิเคชันจัดการไฟล์ผ่านเว็บ (Web-based File Management Application) ที่ใช้กันอย่างแพร่หลายในองค์กรและผู้ดูแลเว็บไซต์จำนวนมาก ที่ช่องโหว่หมายเลข CVE-2025-34299 ซึ่งจัดอยู่ในระดับ Critical ช่องโหว่นี้อนุญาตให้ผู้โจมตีเข้าถึงระบบได้โดยไม่ต้องยืนยันตัวตน (pre-authentication) และสามารถเรียกใช้โค้ดจากระยะไกล (Remote Code Execution – RCE) เพื่อยึดระบบเซิร์ฟเวอร์ได้เต็มรูปแบบ
โดยช่องโหว่นี้เกิดจากการที่ Monsta FTP ขาดการตรวจสอบสิทธิ์ก่อนการเข้าถึงกระบวนการที่เกี่ยวข้องกับการดาวน์โหลดไฟล์ ทำให้ผู้โจมตีสามารถหลอกให้ระบบดาวน์โหลดไฟล์อันตราย (Payload) จากภายนอก และบันทึกไว้ในตำแหน่งใดก็ได้บนเซิร์ฟเวอร์ และอาจนำไปสู่การวาง Web Shell และยึดระบบเซิร์ฟเวอร์ได้ทั้งหมด โดย watchTowr ได้ทดสอบและยืนยันการโจมตีสำเร็จ พร้อมพบว่าอินสแตนซ์ของ Monsta FTP มากกว่า 5,000 รายการ ถูกเปิดให้เข้าถึงจากอินเทอร์เน็ต ทำให้ผู้ให้บริการโฮสต์และองค์กรจำนวนมากตกอยู่ในความเสี่ยง
watchTowr แจ้งเตือนทีมพัฒนา Monsta FTP เมื่อวันที่ 13 สิงหาคม 2025 และผู้พัฒนาได้ออกแพตช์ในเวอร์ชัน Monsta FTP 2.11.3 เมื่อวันที่ 26 สิงหาคม 2025 แนะนำให้ผู้ใช้งานตรวจสอบและอัปเดตเป็น เวอร์ชัน 2.11.3 หรือใหม่กว่าโดยทันที เพื่อป้องกันการโจมตีผ่านช่องโหว่นี้ เนื่องจากเป็นช่องโหว่ที่สามารถยึดระบบได้โดยไม่ต้องมีบัญชีผู้ใช้หรือรหัสผ่าน
แหล่งข่าว https://hackread.com/monsta-ftp-flaw-web-servers-open-server-takeover/
