483/68 (IT) ประจำวันจันทร์ที่ 24 พฤศจิกายน 2568
หน่วยงานรักษาความมั่นคงปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ได้ประกาศเพิ่มช่องโหว่ความปลอดภัยระดับวิกฤตของ Oracle Identity Manager เข้าสู่บัญชีรายชื่อช่องโหว่ที่ถูกนำไปใช้โจมตี (KEV) โดยระบุว่ามีหลักฐานการโจมตีระบบจากผู้ไม่หวังดีเกิดขึ้นจริง โดยช่องโหว่ดังกล่าวคือ CVE-2025-61757 มีคะแนนความรุนแรงสูงถึง 9.8/10 ซึ่งเกิดจากข้อผิดพลาดในการตรวจสอบสิทธิ์การเข้าถึง (Authentication) ทำให้แฮกเกอร์สามารถรันโค้ดอันตรายจากระยะไกล (RCE) เพื่อยึดครองระบบได้ทันทีโดยไม่ต้องมีชื่อผู้ใช้งานหรือรหัสผ่าน ส่งผลกระทบโดยตรงต่อเวอร์ชัน 12.2.1.4.0 และ 14.1.2.1.0
นักวิจัยจาก Searchlight Cyber อธิบายว่าช่องโหว่นี้เกิดจากความล้มเหลวของระบบกรองความปลอดภัย (Security Filter) ที่ใช้การจับคู่รูปแบบข้อความ (Regex) เพียงแค่ผู้โจมตีเติมคำว่า ?WSDL หรือ ;.wadl ต่อท้ายลิงก์ (URI) ก็สามารถหลอกระบบให้เข้าใจผิดว่าเป็นเส้นทางสาธารณะที่เข้าถึงได้โดยไม่ต้องยืนยันตัวตน จากนั้นแฮกเกอร์จะใช้ช่องทางนี้ส่งคำสั่งผ่าน API ที่ใช้ตรวจสอบสคริปต์ภาษา Groovy เพื่อสั่งให้โค้ดอันตรายทำงานในขั้นตอน Compile ซึ่งเทคนิคนี้เปิดทางให้ผู้โจมตีสามารถยกระดับสิทธิ์ของตนเองและเจาะลึกเข้าไปยังระบบสำคัญอื่น ๆ ภายในองค์กรได้อย่างง่ายดาย
ความน่ากังวลคือ ข้อมูลจาก SANS Technology Institute ตรวจพบสัญญาณการสแกนและพยายามโจมตีผ่านช่องโหว่นี้มาตั้งแต่ช่วงปลายเดือนสิงหาคมถึงต้นเดือนกันยายน 2025 ซึ่งเกิดขึ้นก่อนที่ Oracle จะออกแพตช์แก้ไขเมื่อเดือนที่ผ่านมา แสดงให้เห็นว่านี่คือการโจมตีแบบ Zero-Day ที่เกิดขึ้นก่อนผู้ผลิตจะรู้ตัว ทาง CISA จึงได้ออกคำสั่งให้หน่วยงานรัฐบาลกลางเร่งติดตั้งแพตช์ความปลอดภัยให้แล้วเสร็จภายในวันที่ 12 ธันวาคม 2025 เพื่อปิดความเสี่ยง ดังนั้น ผู้ดูและระบบในองค์กรที่ใช้งาน Oracle Identity Manager จึงควรเร่งตรวจสอบและอัปเดตแพตช์ล่าสุดทันทีเพื่อป้องกันความเสียหายที่อาจเกิดขึ้น
แหล่งข่าว https://thehackernews.com/2025/11/cisa-warns-of-actively-exploited.html
